Etapa 3: limitar as permissões do CodeDeploy usuário - AWS CodeDeploy

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 3: limitar as permissões do CodeDeploy usuário

Por motivos de segurança, recomendamos que você limite as permissões do usuário administrativo que você criou apenas Etapa 1: configuração às necessárias para criar e gerenciar implantações no CodeDeploy.

Use a série de procedimentos a seguir para limitar as permissões do usuário CodeDeploy administrativo.

Antes de começar

  • Certifique-se de ter criado um usuário CodeDeploy administrativo no IAM Identity Center seguindo as instruções emEtapa 1: configuração.

Para criar um conjunto de permissões

Você atribuirá esse conjunto de permissões ao usuário CodeDeploy administrativo posteriormente.

  1. Faça login no AWS Management Console e abra o AWS IAM Identity Center console em https://console.aws.amazon.com/singlesignon/.

  2. No painel de navegação, escolha Conjuntos de permissões e, em seguida, escolha Criar conjunto de permissões.

  3. Escolha Conjunto de permissões personalizado.

  4. Escolha Próximo.

  5. Selecione Políticas em linha.

  6. Remova o código de exemplo.

  7. Adicione a política a seguir:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CodeDeployAccessPolicy",
      "Effect": "Allow",
      "Action": [
        "autoscaling:*",
        "codedeploy:*",
        "ec2:*",
        "lambda:*",
        "ecs:*",
        "elasticloadbalancing:*",
        "iam:AddRoleToInstanceProfile",
        "iam:AttachRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:DeleteRole",
        "iam:DeleteRolePolicy",
        "iam:GetInstanceProfile",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:ListInstanceProfilesForRole",
        "iam:ListRolePolicies",
        "iam:ListRoles",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile",
        "s3:*",
        "ssm:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CodeDeployRolePolicy",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::account-ID:role/CodeDeployServiceRole"
    }
  ]
}

    Nessa política, substitua arn:aws:iam: :account-id:role/ pelo valor ARN da função de serviço que você criou CodeDeployServiceRole em. CodeDeploy Etapa 2: criar uma função de serviço para CodeDeploy É possível encontrar o valor do ARN na página de detalhes do perfil de serviço no console do IAM.

    A política anterior permite que você implante um aplicativo em uma plataforma de computação AWS Lambda, em uma plataforma de computação EC2/On-Premises e em uma plataforma de computação Amazon ECS.

    Você pode usar os AWS CloudFormation modelos fornecidos nesta documentação para iniciar instâncias do Amazon EC2 que sejam compatíveis com o. CodeDeploy Para usar AWS CloudFormation modelos para criar aplicativos, grupos de implantação ou configurações de implantação, você deve fornecer acesso a AWS CloudFormation— e AWS serviços e ações que AWS CloudFormation dependam — adicionando a cloudformation:* permissão à política de permissão do usuário CodeDeploy administrativo, da seguinte forma:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        ...
        "cloudformation:*"        
      ],
      "Resource": "*"
    }
  ]
}

  8. Escolha Próximo.

  9. Em Nome do conjunto de permissões, digite:

    CodeDeployUserPermissionSet

  10. Escolha Próximo.

  11. Na página Revisar e criar, revise as informações e selecione Criar.

Para atribuir o conjunto de permissões ao usuário CodeDeploy administrativo

  1. No painel de navegação Contas da AWS, escolha e marque a caixa de seleção ao lado da caixa de seleção na Conta da AWS qual você está conectado no momento.

  2. Escolha o botão Atribuir usuários ou grupos.

  3. Escolha a guia Users.

  4. Marque a caixa de seleção ao lado do usuário CodeDeploy administrativo.

  5. Escolha Próximo.

  6. Marque a caixa de seleção ao lado dos logs do CodeDeployUserPermissionSet.

  7. Escolha Próximo.

  8. Revise suas informações e selecione Enviar.

    Agora você atribuiu o usuário CodeDeploy administrativo e CodeDeployUserPermissionSet ao seu Conta da AWS, vinculando-os.

Para sair e entrar novamente como usuário CodeDeploy administrativo

  1. Antes de sair, verifique se você tem a URL do portal de AWS acesso, o nome de usuário e a senha de uso único do usuário CodeDeploy administrativo.

    nota

    Se você não tiver essas informações, acesse a página de detalhes do usuário CodeDeploy administrativo no IAM Identity Center, escolha Redefinir senha, Gerar uma senha de uso único [...] e redefina a senha novamente para exibir as informações na tela.

  2. Sair de AWS.

  3. Cole o URL do portal de AWS acesso na barra de endereço do seu navegador.

  4. Faça login como usuário CodeDeploy administrativo.

    Uma caixa de Conta da AWS aparece na tela.

  5. Escolha e Conta da AWS, em seguida, escolha o nome do Conta da AWS ao qual você atribuiu o usuário CodeDeploy administrativo e o conjunto de permissões.

  6. Ao lado de CodeDeployUserPermissionSet, selecione Console de gerenciamento.

    O AWS Management Console aparece. Agora você está conectado como usuário CodeDeploy administrativo com as permissões limitadas. Agora você pode realizar operações CodeDeploy relacionadas, e somente operações CodeDeploy relacionadas, como esse usuário.