CodeDeploy 권한 참조

IAM 자격 증명에 연결할 수 있는 액세스 및 쓰기 권한 정책(자격 증명 기반 정책)을 설정할 때 다음 표를 사용합니다. 이 표에는 각 CodeDeploy API 작업, 수행 권한을 부여할 수 있는 작업, 권한을 부여하는 데 사용할 리소스 ARN의 형식이 나열되어 있습니다. 정책의 Action 필드에 작업을 지정합니다. 정책의 Resource 필드에 리소스 값으로 와일드카드 문자(*)를 사용하거나 사용하지 않고 ARN을 지정합니다.

CodeDeploy 정책에서 AWS전체 조건 키를 사용하여 조건을 표시할 수 있습니다. AWS전체 키의 전체 목록은 IAM 사용 설명서의 사용 가능한 키를 참조하세요.

작업을 지정하려면 codedeploy: 접두사 다음에 API 작업 이름을 사용합니다(예: codedeploy:GetApplication 및 codedeploy:CreateApplication). 문장 하나에 여러 작업을 지정하려면 쉼표로 구분합니다(예: "Action": ["codedeploy:action1", "codedeploy:action2"]).

와일드카드 문자 사용

ARN에 와일드카드(*)를 사용하여 여러 작업 또는 리소스를 지정할 수 있습니다. 예를 들어, codedeploy:*는 모든 CodeDeploy 작업을 지정하고, codedeploy:Get*는 Get이라는 단어로 시작하는 모든 CodeDeploy 작업을 지정합니다. 다음 예제에서는 이름이 West로 시작하는 배포 그룹 중에서 이름이 Test로 시작하는 애플리케이션과 연결된 모든 배포 그룹에 대한 액세스 권한을 부여합니다.

arn:aws:codedeploy:us-west-2:444455556666:deploymentgroup:Test*/West*

표에 나열된 다음 리소스에 와일드카드를 사용할 수 있습니다.

• application-name

• deployment-group-name

• deployment-configuration-name

• instance-ID

와일드카드는 region 또는 account-id에는 사용할 수 없습니다. 와일드카드에 대한 자세한 내용은 IAM 사용 설명서에서 IAM 식별자를 참조하세요.

참고

각 작업의 ARN에는 리소스 다음에 콜론(:)이 있습니다. 이 리소스 다음에 슬래시(/)가 올 수도 있습니다. 자세한 내용은 CodeDeploy 예제 ARN을 참조하세요.

스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.

CodeDeploy API 작업 및 작업에 필요한 권한

CodeDeploy API 작업	필요한 권한(API 작업)	리소스
AddTagsToOnPremisesInstances	codedeploy:AddTagsToOnPremisesInstances 하나 이상의 온프레미스 인스턴스에 태그를 추가하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:instance/instance-ID
BatchGetApplicationRevisions	codedeploy:BatchGetApplicationRevisions 사용자와 연결된 여러 애플리케이션 개정에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:application:application-name
BatchGetApplications	codedeploy:BatchGetApplications 사용자와 연결된 여러 애플리케이션에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:application:*
BatchGetDeploymentGroups	codedeploy:BatchGetDeploymentGroups 사용자와 연결된 여러 배포 그룹에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
BatchGetDeploymentInstances	codedeploy:BatchGetDeploymentInstances 배포 그룹에서 하나 이상의 인스턴스에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
BatchGetDeployments	codedeploy:BatchGetDeployments 사용자와 연결된 여러 배포에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
BatchGetOnPremisesInstances	codedeploy:BatchGetOnPremisesInstances 하나 이상의 온프레미스 인스턴스에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:*
ContinueDeployment	codedeploy:ContinueDeployment 블루/그린 배포 중 대체 환경에서 Elastic Load Balancing 로드 밸런서를 사용하여 인스턴스 등록 프로세스를 시작하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
CreateApplication	codedeploy:CreateApplication 사용자와 연결된 애플리케이션을 만드는 데 필요합니다.	arn:aws:codedeploy:region:account-id:application:application-name
CreateDeployment ¹	codedeploy:CreateDeployment 사용자와 연결된 애플리케이션에 대한 배포를 만드는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
CreateDeploymentConfig	codedeploy:CreateDeploymentConfig 사용자와 연결된 사용자 지정 배포 구성을 만드는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentconfig:deployment-configuration-name
CreateDeploymentGroup	codedeploy:CreateDeploymentGroup 사용자와 연결된 애플리케이션에 대한 배포 그룹을 만드는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
DeleteApplication	codedeploy:DeleteApplication 사용자와 연결된 애플리케이션을 삭제하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:application:application-name
DeleteDeploymentConfig	codedeploy:DeleteDeploymentConfig 사용자와 연결된 사용자 지정 배포 구성을 삭제하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentconfig:deployment-configuration-name
DeleteDeploymentGroup	codedeploy:DeleteDeploymentGroup 사용자와 연결된 애플리케이션에 대한 배포 그룹을 삭제하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
DeregisterOnPremisesInstance	codedeploy:DeregisterOnPremisesInstance 온프레미스 인스턴스를 등록 취소하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:instance/instance-ID
GetApplication	codedeploy:GetApplication 사용자와 연결된 단일 애플리케이션에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:application:application-name
GetApplicationRevision	codedeploy:GetApplicationRevision 사용자와 연결된 애플리케이션의 단일 애플리케이션 개정에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:application:application-name
GetDeployment	codedeploy:GetDeployment 사용자와 연결된 애플리케이션의 배포 그룹에 대한 단일 배포의 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
GetDeploymentConfig	codedeploy:GetDeploymentConfig 사용자와 연결된 단일 배포 구성에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentconfig:deployment-configuration-name
GetDeploymentGroup	codedeploy:GetDeploymentGroup 사용자와 연결된 애플리케이션의 단일 배포 그룹에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
GetDeploymentInstance	codedeploy:GetDeploymentInstance 사용자와 연결된 배포의 단일 인스턴스에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
GetDeploymentTarget	codedeploy:GetDeploymentTarget 사용자와 연결된 배포의 대상에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
GetOnPremisesInstance	codedeploy:GetOnPremisesInstance 단일 온프레미스 인스턴스에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:instance/instance-ID
ListApplicationRevisions	codedeploy:ListApplicationRevisions 사용자와 연결된 애플리케이션의 모든 애플리케이션 개정에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:application:*
ListApplications	codedeploy:ListApplications 사용자와 연결된 모든 애플리케이션에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:application:*
ListDeploymentConfigs	codedeploy:ListDeploymentConfigs 사용자와 연결된 모든 배포 구성에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentconfig:*
ListDeploymentGroups	codedeploy:ListDeploymentGroups 사용자와 연결된 애플리케이션의 모든 배포 그룹에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/*
ListDeploymentInstances	codedeploy:ListDeploymentInstances 사용자 또는 AWS 계정과 연결된 배포의 모든 인스턴스에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
ListDeployments	codedeploy:ListDeployments 사용자와 연결된 배포 그룹에 대한 모든 배포의 정보를 가져오거나 사용자와 연결된 모든 배포를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
ListDeploymentTargets	codedeploy:ListDeploymentTargets 사용자와 연결된 배포의 모든 대상에 대한 정보를 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
ListGitHubAccountTokenNames	codedeploy:ListGitHubAccountTokenNames GitHub 계정에 대한 저장된 연결의 이름 목록을 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:*
ListOnPremisesInstances	codedeploy:ListOnPremisesInstances 하나 이상의 온프레미스 인스턴스 이름 목록을 가져오는 데 필요합니다.	arn:aws:codedeploy:region:account-id:*
PutLifecycleEventHookExecutionStatus	codedeploy:PutLifecycleEventHookExecutionStatus 수명 주기 후크 이벤트의 실행 상태에 대한 알림을 제공해야 합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
RegisterApplicationRevision	codedeploy:RegisterApplicationRevision 사용자와 연결된 애플리케이션의 애플리케이션 개정에 대한 정보를 등록하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:application:application-name
RegisterOnPremisesInstance	codedeploy:RegisterOnPremisesInstance CodeDeploy에 온프레미스 인스턴스를 등록하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:instance/instance-ID
RemoveTagsFromOnPremisesInstances	codedeploy:RemoveTagsFromOnPremisesInstances 하나 이상의 온프레미스 인스턴스에서 태그를 제거하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:instance/instance-ID
SkipWaitTimeForInstanceTermination	codedeploy:SkipWaitTimeForInstanceTermination 블루/그린 배포에서 지정된 대기 시간을 재정의하고 원본 환경에서 즉시 인스턴스 종료를 시작하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:instance/instance-ID
StopDeployment	codedeploy:StopDeployment 사용자와 연결된 애플리케이션의 배포 그룹에 대해 진행 중인 배포를 중지하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
UpdateApplication ³	codedeploy:UpdateApplication 사용자와 연결된 애플리케이션에 대한 정보를 변경하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:application:application-name
UpdateDeploymentGroup ³	codedeploy:UpdateDeploymentGroup 사용자와 연결된 애플리케이션의 단일 배포 그룹에 대한 정보를 변경하는 데 필요합니다.	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
¹ CreateDeployment 권한을 지정할 때 배포 구성에 대한 GetDeploymentConfig 권한과 애플리케이션 개정에 대한 GetApplicationRevision 또는 RegisterApplicationRevision 권한도 지정해야 합니다. 또한 CreateDeployment API 호출에 overrideAlarmConfiguration 파라미터를 포함하는 경우 UpdateDeploymentGroup 권한을 지정해야 합니다. ² 특정 배포 그룹을 제공하는 경우 ListDeployments에 유효하지만, 사용자와 연결된 모든 배포를 나열하는 경우에는 유효하지 않습니다. ³ UpdateApplication의 경우 이전 애플리케이션 이름과 새 애플리케이션 이름 모두에 대한 UpdateApplication 권한이 있어야 합니다. 배포 그룹의 이름 변경과 관련된 UpdateDeploymentGroup 작업의 경우 이전 배포 그룹 이름과 새 배포 그룹 이름 모두에 대한 UpdateDeploymentGroup 권한이 있어야 합니다.