で IAM ユーザーに承認許可を付与する CodePipeline

組織内の IAM ユーザーが承認アクションを承認または拒否するには、パイプラインのアクセスと承認アクションのステータスの更新を行うアクセス許可が必要です。すべてのパイプラインと、アカウントの承認アクションに対するアクセス許可を付与するには、AWSCodePipelineApproverAccess マネージドポリシーを IAM ユーザー、ロール、またはグループにアタッチします。また、アクセス許可を制限するには、IAM ユーザー、ロール、またはグループでアクセスできる各リソースを指定します。

注記

このトピックに記載されているアクセス許可でアクセスできる範囲はかなり制限されています。ユーザー、ロール、グループを有効化して、複数の承認アクションを承認または拒否するには、他の管理ポリシーをアタッチします。で使用できる マネージドポリシーの詳細については CodePipeline、「」を参照してくださいAWS の マネージドポリシー AWS CodePipeline。

すべてのパイプラインおよび承認アクションに承認アクセス許可を付与する

で承認アクションを実行する必要があるユーザーには CodePipeline、 AWSCodePipelineApproverAccessマネージドポリシーを使用します。

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

• のユーザーとグループ AWS IAM Identity Center：

  アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。

• IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については、「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。

• IAM ユーザー:

  • ユーザーが担当できるロールを作成します。手順については、「IAM ユーザーガイド」の「IAM ユーザー用ロールの作成」を参照してください。

  • (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。詳細については、「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。

特定のパイプラインや承認アクションに対する承認アクセス許可を指定します。

で承認アクションを実行する必要があるユーザーには CodePipeline、次のカスタムポリシーを使用します。以下のポリシーで、ユーザーがアクセスできる個々のリソースを指定します。たとえば、以下のポリシーは、米国東部 (オハイオ) リージョン (us-east-2) の MyApprovalAction パイプラインで MyFirstPipeline という名前のアクションのみを承認または拒否する権限をユーザーに付与します。

注記

アクセスcodepipeline:ListPipelines許可は、IAM ユーザーがこのパイプラインのリストを表示するために CodePipeline ダッシュボードにアクセスする必要がある場合にのみ必要です。コンソールへのアクセスが必要ない場合は、codepipeline:ListPipelines を省略できます。

JSON ポリシーエディタでポリシーを作成するには

1. にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

2. 左側のナビゲーションペインで、[ポリシー] を選択します。

   初めて [ポリシー] を選択する場合には、[管理ポリシーにようこそ] ページが表示されます。[今すぐ始める] を選択します。

3. ページの上部で、[ポリシーを作成] を選択します。

4. [ポリシーエディタ] セクションで、[JSON] オプションを選択します。

5. 次の JSON ポリシードキュメントを入力します。

    {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "codepipeline:ListPipelines"
               ],
               "Resource": [
                   "*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "codepipeline:GetPipeline",
                   "codepipeline:GetPipelineState",
                   "codepipeline:GetPipelineExecution"
               ],
               "Resource": "arn:aws:codepipeline:us-east-2:80398EXAMPLE:MyFirstPipeline"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "codepipeline:PutApprovalResult"
               ],
               "Resource": "arn:aws:codepipeline:us-east-2:80398EXAMPLE:MyFirstPipeline/MyApprovalStage/MyApprovalAction"
           }
       ]
   } 

6. [次へ] をクリックします。

   注記

   いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [次] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「IAM ユーザーガイド」の「ポリシーの再構成」を参照してください。

7. [確認と作成] ページで、作成するポリシーの [ポリシー名] と [説明] (オプション) を入力します。[このポリシーで定義されているアクセス許可] を確認して、ポリシーによって付与されたアクセス許可を確認します。

8. [ポリシーの作成] をクリックして、新しいポリシーを保存します。