AWS políticas gerenciadas para AWS CodePipeline - AWS CodePipeline

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para AWS CodePipeline

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.

Importante

As políticas gerenciadas pela AWS AWSCodePipelineFullAccess e AWSCodePipelineReadOnlyAccess foram substituídas. Use as políticas AWSCodePipeline_FullAccess e AWSCodePipeline_ReadOnlyAccess.

AWS política gerenciada: AWSCodePipeline_FullAccess

Esta é uma política que concede acesso total CodePipeline a. Para ver o documento de política JSON no console do IAM, consulte AWSCodePipeline_FullAccess.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • codepipeline— Concede permissões para CodePipeline.

  • chatbot— Concede permissões para permitir que os diretores gerenciem recursos em AWS Chatbot.

  • cloudformation— Concede permissões para permitir que os diretores gerenciem as pilhas de recursos no. AWS CloudFormation

  • cloudtrail— Concede permissões para permitir que os diretores gerenciem CloudTrail os recursos de registro.

  • codebuild— Concede permissões para permitir que os diretores acessem os recursos de construção no CodeBuild.

  • codecommit— Concede permissões para permitir que os diretores acessem os recursos de origem em CodeCommit.

  • codedeploy— Concede permissões para permitir que os diretores acessem os recursos de implantação no CodeDeploy.

  • codestar-notifications— Concede permissões para permitir que os diretores acessem recursos nas AWS CodeStar Notificações.

  • ec2— Concede permissões para permitir implantações CodeCatalyst para gerenciar o balanceamento elástico de carga no Amazon EC2.

  • ecr: concede permissões para o acesso a recursos no Amazon ECR.

  • elasticbeanstalk: concede permissões para que as entidades principais acessem recursos no Elastic Beanstalk.

  • iam: concede permissões para que as entidades principais gerenciem perfis e políticas no IAM.

  • lambda: concede permissões para que as entidades principais gerenciem recursos no Lambda.

  • events— Concede permissões para permitir que os diretores gerenciem recursos em CloudWatch Eventos.

  • opsworks— Concede permissões para permitir que os diretores gerenciem recursos em AWS OpsWorks.

  • s3: concede permissões para que as entidades principais gerenciem recursos no Amazon S3.

  • sns: concede permissões para que as entidades principais gerenciem recursos de notificação no Amazon SNS.

  • states— Concede permissões para permitir que os diretores visualizem as máquinas de estado em AWS Step Functions. Uma máquina de estado consiste em uma coleção de estados que gerenciam tarefas e fazem a transição entre estados.

{ "Statement": [ { "Action": [ "codepipeline:*", "cloudformation:DescribeStacks", "cloudformation:ListStacks", "cloudformation:ListChangeSets", "cloudtrail:DescribeTrails", "codebuild:BatchGetProjects", "codebuild:CreateProject", "codebuild:ListCuratedEnvironmentImages", "codebuild:ListProjects", "codecommit:ListBranches", "codecommit:GetReferences", "codecommit:ListRepositories", "codedeploy:BatchGetDeploymentGroups", "codedeploy:ListApplications", "codedeploy:ListDeploymentGroups", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ecr:DescribeRepositories", "ecr:ListImages", "ecs:ListClusters", "ecs:ListServices", "elasticbeanstalk:DescribeApplications", "elasticbeanstalk:DescribeEnvironments", "iam:ListRoles", "iam:GetRole", "lambda:ListFunctions", "events:ListRules", "events:ListTargetsByRule", "events:DescribeRule", "opsworks:DescribeApps", "opsworks:DescribeLayers", "opsworks:DescribeStacks", "s3:ListAllMyBuckets", "sns:ListTopics", "codestar-notifications:ListNotificationRules", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource", "codestar-notifications:ListEventTypes", "states:ListStateMachines" ], "Effect": "Allow", "Resource": "*", "Sid": "CodePipelineAuthoringAccess" }, { "Action": [ "s3:GetObject", "s3:ListBucket", "s3:GetBucketPolicy", "s3:GetBucketVersioning", "s3:GetObjectVersion", "s3:CreateBucket", "s3:PutBucketPolicy" ], "Effect": "Allow", "Resource": "arn:aws:s3::*:codepipeline-*", "Sid": "CodePipelineArtifactsReadWriteAccess" }, { "Action": [ "cloudtrail:PutEventSelectors", "cloudtrail:CreateTrail", "cloudtrail:GetEventSelectors", "cloudtrail:StartLogging" ], "Effect": "Allow", "Resource": "arn:aws:cloudtrail:*:*:trail/codepipeline-source-trail", "Sid": "CodePipelineSourceTrailReadWriteAccess" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/service-role/cwe-role-*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "events.amazonaws.com" ] } }, "Sid": "EventsIAMPassRole" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "codepipeline.amazonaws.com" ] } }, "Sid": "CodePipelineIAMPassRole" }, { "Action": [ "events:PutRule", "events:PutTargets", "events:DeleteRule", "events:DisableRule", "events:RemoveTargets" ], "Effect": "Allow", "Resource": [ "arn:aws:events:*:*:rule/codepipeline-*" ], "Sid": "CodePipelineEventsReadWriteAccess" }, { "Sid": "CodeStarNotificationsReadWriteAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:DeleteNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe" ], "Resource": "*", "Condition": { "StringLike": { "codestar-notifications:NotificationsForResource": "arn:aws:codepipeline:*" } } }, { "Sid": "CodeStarNotificationsSNSTopicCreateAccess", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:SetTopicAttributes" ], "Resource": "arn:aws:sns:*:*:codestar-notifications*" }, { "Sid": "CodeStarNotificationsChatbotAccess", "Effect": "Allow", "Action": [ "chatbot:DescribeSlackChannelConfigurations", "chatbot:ListMicrosoftTeamsChannelConfigurations" ], "Resource": "*" } ], "Version": "2012-10-17" }

AWS política gerenciada: AWSCodePipeline_ReadOnlyAccess

Essa é uma política que concede acesso somente para leitura a. CodePipeline Para ver o documento de política JSON no console do IAM, consulte AWSCodePipeline_ReadOnlyAccess.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • codepipeline— Concede permissões para ações em CodePipeline.

  • codestar-notifications— Concede permissões para permitir que os diretores acessem recursos nas AWS CodeStar Notificações.

  • s3: concede permissões para que as entidades principais gerenciem recursos no Amazon S3.

  • sns: concede permissões para que as entidades principais gerenciem recursos de notificação no Amazon SNS.

{ "Statement": [ { "Action": [ "codepipeline:GetPipeline", "codepipeline:GetPipelineState", "codepipeline:GetPipelineExecution", "codepipeline:ListPipelineExecutions", "codepipeline:ListActionExecutions", "codepipeline:ListActionTypes", "codepipeline:ListPipelines", "codepipeline:ListTagsForResource", "s3:ListAllMyBuckets", "codestar-notifications:ListNotificationRules", "codestar-notifications:ListEventTypes", "codestar-notifications:ListTargets" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "s3:GetObject", "s3:ListBucket", "s3:GetBucketPolicy" ], "Effect": "Allow", "Resource": "arn:aws:s3::*:codepipeline-*" }, { "Sid": "CodeStarNotificationsReadOnlyAccess", "Effect": "Allow", "Action": [ "codestar-notifications:DescribeNotificationRule" ], "Resource": "*", "Condition": { "StringLike": { "codestar-notifications:NotificationsForResource": "arn:aws:codepipeline:*" } } } ], "Version": "2012-10-17" }

AWS política gerenciada: AWSCodePipelineApproverAccess

Esta é uma política que concede permissão para aprovar ou rejeitar uma ação de aprovação manual. Para ver o documento de política JSON no console do IAM, consulte.. AWSCodePipelineApproverAccess

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • codepipeline— Concede permissões para ações em CodePipeline.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "codepipeline:GetPipeline", "codepipeline:GetPipelineState", "codepipeline:GetPipelineExecution", "codepipeline:ListPipelineExecutions", "codepipeline:ListPipelines", "codepipeline:PutApprovalResult" ], "Effect": "Allow", "Resource": "*" } ] }

AWS política gerenciada: AWSCodePipelineCustomActionAccess

Essa é uma política que concede permissão para criar ações personalizadas CodePipeline ou integrar recursos do Jenkins para criar ou testar ações. Para ver o documento de política JSON no console do IAM, consulte AWSCodePipelineCustomActionAccess.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • codepipeline— Concede permissões para ações em CodePipeline.

{ "Statement": [ { "Action": [ "codepipeline:AcknowledgeJob", "codepipeline:GetJobDetails", "codepipeline:PollForJobs", "codepipeline:PutJobFailureResult", "codepipeline:PutJobSuccessResult" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }

CodePipeline políticas e notificações gerenciadas

CodePipeline suporta notificações, que podem notificar os usuários sobre mudanças importantes nos pipelines. Políticas gerenciadas para CodePipeline incluir declarações de política para funcionalidade de notificação. Para obter mais informações, consulte O que são notificações?.

Permissões relacionadas a notificações em políticas gerenciadas de acesso total

Essa política gerenciada concede permissões CodePipeline junto com os serviços relacionados CodeCommit CodeBuild, CodeDeploy, e AWS CodeStar notificações. A política também concede as permissões necessárias para trabalhar com outros serviços que se integram aos seus pipelines, como Amazon S3, Elastic Beanstalk, Amazon EC2 e. CloudTrail AWS CloudFormation Os usuários com essa política gerenciada aplicada também podem criar e gerenciar tópicos do Amazon SNS para notificações, assinar e cancelar a assinatura de usuários nos tópicos, listar tópicos a serem escolhidos como destinos para regras de notificação e listar clientes do AWS Chatbot configurados para Slack.

A política gerenciada AWSCodePipeline_FullAccess inclui as declarações a seguir para permitir acesso total às notificações.

{ "Sid": "CodeStarNotificationsReadWriteAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:DeleteNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource", "codestar-notifications:ListEventTypes" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsSNSTopicCreateAccess", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:SetTopicAttributes" ], "Resource": "arn:aws:sns:*:*:codestar-notifications*" }, { "Sid": "SNSTopicListAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsChatbotAccess", "Effect": "Allow", "Action": [ "chatbot:DescribeSlackChannelConfigurations", "chatbot:ListMicrosoftTeamsChannelConfigurations" ], "Resource": "*" }

Permissões relacionadas a notificações em políticas gerenciadas somente leitura

A política gerenciada AWSCodePipeline_ReadOnlyAccess inclui as instruções a seguir para permitir acesso somente leitura às notificações. Os usuários com essa política aplicada podem visualizar notificações de recursos, mas não podem criá-las, gerenciá-las ou inscrever-se nelas.

{ "Sid": "CodeStarNotificationsPowerUserAccess", "Effect": "Allow", "Action": [ "codestar-notifications:DescribeNotificationRule" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListEventTypes", "codestar-notifications:ListTargets" ], "Resource": "*" }

Para obter mais informações sobre o IAM e as notificações, consulte Identity and Access Management para o AWS CodeStar Notifications.

AWS CodePipeline atualizações nas políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas CodePipeline desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do CodePipeline documento.

Alteração Descrição Data
AWSCodePipeline_FullAccess— Atualizações da política existente CodePipeline adicionou uma permissão a essa política para dar suporte ListStacks em AWS CloudFormation. 15 de março de 2024
AWSCodePipeline_FullAccess— Atualizações da política existente Esta política foi atualizada para adicionar permissões para AWS Chatbot. Para ter mais informações, consulte CodePipeline políticas e notificações gerenciadas. 21 de junho de 2023

AWSCodePipeline_FullAccesse políticas AWSCodePipeline_ReadOnlyAccessgerenciadas — atualizações da política existente

CodePipeline adicionou uma permissão a essas políticas para oferecer suporte a um tipo de notificação adicional usando AWS Chatbot,chatbot:ListMicrosoftTeamsChannelConfigurations.

16 de maio de 2023

AWSCodePipelineFullAccess— Obsoleto

Esta política foi substituída por AWSCodePipeline_FullAccess.

Depois de 17 de novembro de 2022, esta política não poderá ser anexada a novos usuários, grupos ou perfis. Para ter mais informações, consulte AWS políticas gerenciadas para AWS CodePipeline.

17 de novembro de 2022

AWSCodePipelineReadOnlyAccess— Obsoleto

Esta política foi substituída por AWSCodePipeline_ReadOnlyAccess.

Depois de 17 de novembro de 2022, esta política não poderá ser anexada a novos usuários, grupos ou perfis. Para ter mais informações, consulte AWS políticas gerenciadas para AWS CodePipeline.

17 de novembro de 2022

CodePipeline começou a rastrear as alterações

CodePipeline começou a rastrear as mudanças em suas políticas AWS gerenciadas.

12 de março de 2021