ステップ 3: CodeDeploy ユーザーのアクセス許可を制限する - AWS CodeDeploy

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 3: CodeDeploy ユーザーのアクセス許可を制限する

セキュリティ上の理由から、 で作成した管理ユーザーのアクセス許可ステップ 1: セットアップは、 でのデプロイの作成と管理に必要なアクセス許可のみに制限することをお勧めします CodeDeploy。

以下の一連の手順を使用して、 CodeDeploy 管理ユーザーのアクセス許可を制限します。

開始する前に

  • 「」の手順に従って、IAM Identity Center で CodeDeploy 管理ユーザーを作成済みであることを確認しますステップ 1: セットアップ

アクセス権限セットを作成するには

このアクセス許可セットは、後で CodeDeploy 管理ユーザーに割り当てます。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/singlesignon/ で AWS IAM Identity Center コンソールを開きます。

  2. ナビゲーションペインで [アクセス許可セット] を選択し、[アクセス許可セットの作成] を選択します。

  3. [カスタム許可セット] を選択します。

  4. [次へ] をクリックします。

  5. [インラインポリシー] を選択します。

  6. サンプルコードを削除します。

  7. 以下のポリシーを追加します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeDeployAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "autoscaling:*",
        "codedeploy:*",
        "ec2:*",
        "lambda:*",
        "ecs:*",
        "elasticloadbalancing:*",
        "iam:AddRoleToInstanceProfile",
        "iam:AttachRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:DeleteRole",
        "iam:DeleteRolePolicy",
        "iam:GetInstanceProfile",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:ListInstanceProfilesForRole",
        "iam:ListRolePolicies",
        "iam:ListRoles",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile",
        "s3:*",
        "ssm:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeDeployRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/CodeDeployServiceRole"
    }
  ]
}

    このポリシーでは、arn:aws:iam::account-ID:role/CodeDeployServiceRole を、 で作成した CodeDeploy サービスロールの ARN 値に置き換えますステップ 2: のサービスロールを作成する CodeDeploy。ARN 値は、IAM コンソールのサービスロールの詳細ページにあります。

    前述のポリシーにより AWS Lambda コンピューティングプラットフォーム、EC2/オンプレミスコンピューティングプラットフォーム、および Amazon ECS コンピューティングプラットフォームにアプリケーションをデプロイできます。

    このドキュメントに記載されている AWS CloudFormation テンプレートを使用して、 と互換性のある Amazon EC2 インスタンスを起動できます CodeDeploy。 AWS CloudFormation テンプレートを使用してアプリケーション、デプロイグループ、またはデプロイ設定を作成するには、 CodeDeploy 次のような管理ユーザーのcloudformation:*アクセス許可ポリシーに アクセス許可を追加することで、 AWS CloudFormationおよび AWS CloudFormation が依存する AWS サービスとアクションへのアクセスを提供する必要があります。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        ...
        "cloudformation:*"        
      ],
      "Resource": "*"
    }
  ]
}

  8. [次へ] をクリックします。

  9. アクセス許可セット名」に、次のように入力します。

    CodeDeployUserPermissionSet

  10. [次へ] をクリックします。

  11. [確認と作成] ページで情報を確認し、[グループの作成] を選択します。

アクセス許可セットを管理 CodeDeploy ユーザーに割り当てるには

  1. ナビゲーションペインで を選択しAWS アカウント、現在サインイン AWS アカウント している の横にあるチェックボックスをオンにします。

  2. [ユーザーまたはグループの割り当て] ボタンを選択します。

  3. [ユーザー] タブを選択します。

  4. CodeDeploy 管理ユーザーの横にあるチェックボックスをオンにします。

  5. [次へ] をクリックします。

  6. [CodeDeployUserPermissionSet] のチェックボックスをオンにします。

  7. [次へ] をクリックします。

  8. 情報を確認し、[送信] を選択します。

    これで、 CodeDeploy 管理ユーザー と を CodeDeployUserPermissionSetに割り当て AWS アカウント、それらをバインドしました。

CodeDeploy 管理者ユーザーとしてサインアウトして再度サインインするには

  1. サインアウトする前に、 AWS アクセスポータル URL と CodeDeploy 、管理者ユーザーのユーザー名とワンタイムパスワードがあることを確認してください。

    注記

    この情報がない場合は、IAM Identity Center CodeDeploy の管理ユーザーの詳細ページに移動し、パスワードのリセット、ワンタイムパスワードの生成 [...]、パスワードのリセットをもう一度選択して画面に情報を表示します。

  2. からサインアウトします AWS。

  3. AWS アクセスポータル URL をブラウザのアドレスバーに貼り付けます。

  4. CodeDeploy 管理者ユーザーとしてサインインします。

    画面に AWS アカウント ボックスが表示されます。

  5. を選択しAWS アカウント、 CodeDeploy 管理者ユーザーとアクセス許可セット AWS アカウント を割り当てた の名前を選択します。

  6. CodeDeployUserPermissionSet の横にある [管理コンソール] を選択します。

    AWS Management Console が表示されます。これで、アクセス許可が制限された CodeDeploy 管理者ユーザーとしてサインインしました。このユーザーとして、 CodeDeploy関連の操作と 関連の操作のみ CodeDeployを実行できるようになりました。