As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas baseadas em identidade do AWS CodePipeline
Por padrão, os usuários e os perfis do IAM não têm permissão para criar ou modificar recursos do CodePipeline . Eles também não podem realizar tarefas usando a AWS API AWS Management Console AWS CLI, ou. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte Criar políticas na guia JSON no Manual do usuário do IAM.
Para saber como criar um pipeline que usa recursos de outra conta e para conferir exemplos de políticas relacionados, consulte Crie um pipeline CodePipeline que use recursos de outra AWS conta.
Tópicos
Exemplos de política gerenciada pelo cliente
Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias CodePipeline ações. Essas políticas funcionam quando você está usando a CodePipeline API AWS SDKs,, ou AWS CLI o. Ao usar o console, você deve conceder permissões adicionais específicas para o console. Para obter mais informações, consulte Permissões necessárias para usar o console do CodePipeline .
nota
Todos os exemplos usam a região Oeste dos EUA (Oregon) (us-west-2) e contêm uma conta fictícia. IDs
Exemplos
-
Exemplo 1: conceder permissões para obter o estado de um pipeline
-
Exemplo 2: conceder permissões para habilitar e desabilitar transições entre estágios
-
Exemplo 3: conceder permissões para obter uma lista de todos os tipos de ação disponíveis
-
Exemplo 4: conceder permissões para aprovar ou rejeitar ações de aprovação manual
-
Exemplo 5: conceder permissões para pesquisar por trabalhos para uma ação personalizada
-
Exemplo 6: anexar ou editar uma política para integração do Jenkins com AWS CodePipeline
Exemplo 1: conceder permissões para obter o estado de um pipeline
O exemplo a seguir concede permissões para obter o estado do pipeline chamado MyFirstPipeline:
Exemplo 2: conceder permissões para habilitar e desabilitar transições entre estágios
O exemplo a seguir concede permissões para permitir e desativar transições entre todos os estágios no pipeline chamado MyFirstPipeline:
Para permitir que o usuário permita ou desative transições de um único estágio em um pipeline, você deve especificar o estágio. Por exemplo, para permitir que o usuário habilite e desabilite transições de um estágio chamado Staging em um pipeline chamado MyFirstPipeline:
"Resource": "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline/Staging"
Exemplo 3: conceder permissões para obter uma lista de todos os tipos de ação disponíveis
O exemplo a seguir concede permissões para obter uma lista de todos os tipos de ação disponíveis para os pipelines na região us-west-2:
Exemplo 4: conceder permissões para aprovar ou rejeitar ações de aprovação manual
O exemplo a seguir concede permissões para aprovar ou rejeitar ações de aprovação manual em um estágio chamado Staging em um pipeline chamado MyFirstPipeline:
Exemplo 5: conceder permissões para pesquisar por trabalhos para uma ação personalizada
O exemplo a seguir concede permissões para pesquisar por trabalhos para a ação personalizada chamada TestProvider, que é um tipo de ação de Test na primeira versão, em todos os pipelines:
nota
O operador de trabalho de uma ação personalizada pode ser configurado em outra conta da AWS ou exigir um perfil do IAM específica para funcionar.
Exemplo 6: anexar ou editar uma política para integração do Jenkins com AWS CodePipeline
Se você configurar um pipeline para usar o Jenkins para criar ou testar, crie uma identidade separada para essa integração e anexe uma política do IAM que tenha as permissões mínimas necessárias para a integração entre Jenkins e. CodePipeline Essa política é a mesma da política gerenciada AWSCodePipelineCustomActionAccess. O exemplo a seguir mostra uma política para integração do Jenkins:
Exemplo 7: configurar o acesso entre contas em um pipeline
Você pode configurar o acesso a pipelines para usuários e grupos em outra conta do AWS . A maneira recomendada é criar uma função na conta onde o pipeline foi criado. A função deve permitir que os usuários da outra AWS conta assumam essa função e acessem o pipeline. Para obter mais informações, consulte Passo a passo: acesso entre contas usando funções.
O exemplo a seguir mostra uma política na conta 80398EXAMPLE que permite que os usuários visualizem, mas não alterem, o pipeline nomeado MyFirstPipeline no console. CodePipeline Essa política é baseada na política gerenciada AWSCodePipeline_ReadOnlyAccess, mas, como ela é específica ao pipeline MyFirstPipeline, a política gerenciada não pode ser usada diretamente. Se você não desejar restringir a política a um pipeline específico, leve em consideração usar uma das políticas gerenciadas criadas e mantidas pelo CodePipeline. Para obter mais informações, consulte Como trabalhar com políticas gerenciadas. Você deve anexar essa política a um perfil do IAM criado para acesso, por exemplo, a um perfil chamado CrossAccountPipelineViewers:
Após criar essa política, crie o perfil do IAM na conta 80398EXAMPLE e anexe a política a esse perfil. Nas relações de confiança da função, você deve adicionar a AWS conta que assume essa função.
O exemplo a seguir mostra uma política criada na 111111111111 AWS conta que permite que os usuários assumam a função nomeada CrossAccountPipelineViewers na conta 80398EXAMPLE:
