本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 2:为创建服务角色 CodeDeploy
在 AWS 中,服务角色用于向 AWS 服务授予权限,以便能访问 AWS 资源。附加到服务角色的策略将确定服务可访问的 资源以及可使用这些资源执行的操作。
您为其创建的服务角色 CodeDeploy 必须被授予计算平台所需的权限。如果您部署到多个计算平台,请为每个计算平台创建一个服务角色。要添加权限,请附加以下一个或多个AWS提供的策略:
对于 EC2/本地部署,请附加策略。AWSCodeDeployRole该策略为您的服务角色提供针以下权限:
-
阅读您的实例上的标签或通过 Amazon EC2 Auto Scaling 组名识别您的 Amazon EC2 实例。
-
读取、创建、更新和删除 Amazon EC2 Auto Scaling 群组、生命周期挂钩和扩展策略。
-
向 Amazon SNS 主题发布信息。
-
检索有关 CloudWatch 警报的信息。
-
阅读并更新 Elastic Load Balancing。
注意
如果您使用启动模板创建 Auto Scaling 组,则必须添加以下权限:
-
ec2:RunInstances -
ec2:CreateTags -
iam:PassRole
有关更多信息步骤 2:创建服务角色,请参阅《Amazon EC2 Auto Scaling 用户指南》中的 “为 Auto Scal ing 组创建启动模板” 和 “启动模板支持”。
-
对于 Amazon ECS 部署,如果您想要完全访问支持服务,请附上该AWSCodeDeployRoleForECS政策。该策略为您的服务角色提供针以下权限:
-
读取、更新和删除亚马逊 ECS 任务集。
-
更新 Elastic Load Balancing 目标群组、侦听器和规则。
-
调用 AWS Lambda 函数。
-
访问 Amazon S3 存储桶中的修订文件。
-
检索有关 CloudWatch 警报的信息。
-
向 Amazon SNS 主题发布信息。
对于 Amazon ECS 部署,如果您想限制对支持服务的访问权限,请附上该AWSCodeDeployRoleForECSLimited政策。该策略为您的服务角色提供针以下权限:
-
读取、更新和删除亚马逊 ECS 任务集。
-
检索有关 CloudWatch 警报的信息。
-
向 Amazon SNS 主题发布信息。
对于 AWS Lambda 部署,如果您想允许发布到 Amazon SNS,请附上该政策。AWSCodeDeployRoleForLambda该策略为您的服务角色提供针以下权限:
-
读取、更新和调用 AWS Lambda 函数和别名。
-
访问 Amazon S3 存储桶中的修订文件。
-
检索有关 CloudWatch 警报的信息。
-
向 Amazon SNS 主题发布信息。
对于 AWS Lambda 部署,如果您想限制对 Amazon SNS 的访问,请附上该政策。AWSCodeDeployRoleForLambdaLimited该策略为您的服务角色提供针以下权限:
-
读取、更新和调用 AWS Lambda 函数和别名。
-
访问 Amazon S3 存储桶中的修订文件。
-
检索有关 CloudWatch 警报的信息。
在设置服务角色过程中,您还可以更新其信任关系,指定您希望向其授予访问权限的终端节点。
您可以使用 IAM 控制台AWS CLI、或 IAM API 创建服务角色。
创建服务角色(控制台)
登录AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 在导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)。
-
选择AWS服务,然后在用例下的下拉列表中选择CodeDeploy。
-
选择您的用例:
-
对于 EC2/本地部署,请选择。CodeDeploy
-
对于 AWS Lambda 部署,请选择 CodeDeploy Lambda。
-
对于亚马逊 ECS 部署,请选择 CodeDeploy -ECS。
-
选择下一步。
-
在 “添加权限” 页面上,将显示该用例的正确权限策略。选择下一步。
-
在 “名称、查看和创建” 页面的角色名称中,输入服务角色的名称(例如,
CodeDeployServiceRole),然后选择创建角色。您也可以在角色描述中输入此服务角色的描述。
-
如果您希望此服务角色有权访问所有当前支持的终端节点,则您已完成了此过程。
要限制此服务角色访问某些端点,请继续执行此过程中的其余步骤。
在角色列表中,搜索并选择您刚刚创建的角色(
CodeDeployServiceRole)。-
选择 Trust relationships (信任关系) 选项卡。
选择 Edit trust policy(编辑信任策略)。
您应该看到以下策略,该策略向服务角色提供访问所有支持的终端节点的权限:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codedeploy.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }要仅向服务角色授予对某些支持的终端节点的访问权限,请将信任策略文本框的内容替换为以下策略。删除要阻止访问的终端节点的行,然后选择 Update policy。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codedeploy.us-east-1.amazonaws.com", "codedeploy.us-east-2.amazonaws.com", "codedeploy.us-west-1.amazonaws.com", "codedeploy.us-west-2.amazonaws.com", "codedeploy.ca-central-1.amazonaws.com", "codedeploy.ap-east-1.amazonaws.com", "codedeploy.ap-northeast-1.amazonaws.com", "codedeploy.ap-northeast-2.amazonaws.com", "codedeploy.ap-northeast-3.amazonaws.com", "codedeploy.ap-southeast-1.amazonaws.com", "codedeploy.ap-southeast-2.amazonaws.com", "codedeploy.ap-southeast-3.amazonaws.com", "codedeploy.ap-southeast-4.amazonaws.com", "codedeploy.ap-south-1.amazonaws.com", "codedeploy.ap-south-2.amazonaws.com", "codedeploy.ca-central-1.amazonaws.com", "codedeploy.eu-west-1.amazonaws.com", "codedeploy.eu-west-2.amazonaws.com", "codedeploy.eu-west-3.amazonaws.com", "codedeploy.eu-central-1.amazonaws.com", "codedeploy.eu-central-2.amazonaws.com", "codedeploy.eu-north-1.amazonaws.com", "codedeploy.eu-south-1.amazonaws.com", "codedeploy.eu-south-2.amazonaws.com", "codedeploy.il-central-1.amazonaws.com", "codedeploy.me-central-1.amazonaws.com", "codedeploy.me-south-1.amazonaws.com", "codedeploy.sa-east-1.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
有关创建服务角色的更多信息,请参阅 IAM 用户指南中的创建角色以向AWS服务委派权限。
创建服务角色 (CLI)
-
例如,在您的开发计算机上,创建一个名为
CodeDeployDemo-Trust.json的文本文件。使用此文件可允许 CodeDeploy 代表您执行操作。请执行下列操作之一:
-
要授予对所有支持的AWS区域的访问权限,请将以下内容保存在文件中:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codedeploy.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
要仅授予对部分受支持区域的访问权限,请在文件中键入以下内容,然后删除不授予访问权限的区域的行:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codedeploy.us-east-1.amazonaws.com", "codedeploy.us-east-2.amazonaws.com", "codedeploy.us-west-1.amazonaws.com", "codedeploy.us-west-2.amazonaws.com", "codedeploy.ca-central-1.amazonaws.com", "codedeploy.ap-east-1.amazonaws.com", "codedeploy.ap-northeast-1.amazonaws.com", "codedeploy.ap-northeast-2.amazonaws.com", "codedeploy.ap-northeast-3.amazonaws.com", "codedeploy.ap-southeast-1.amazonaws.com", "codedeploy.ap-southeast-2.amazonaws.com", "codedeploy.ap-southeast-3.amazonaws.com", "codedeploy.ap-southeast-4.amazonaws.com", "codedeploy.ap-south-1.amazonaws.com", "codedeploy.ap-south-2.amazonaws.com", "codedeploy.ca-central-1.amazonaws.com", "codedeploy.eu-west-1.amazonaws.com", "codedeploy.eu-west-2.amazonaws.com", "codedeploy.eu-west-3.amazonaws.com", "codedeploy.eu-central-1.amazonaws.com", "codedeploy.eu-central-2.amazonaws.com", "codedeploy.eu-north-1.amazonaws.com", "codedeploy.eu-south-1.amazonaws.com", "codedeploy.eu-south-2.amazonaws.com", "codedeploy.il-central-1.amazonaws.com", "codedeploy.me-central-1.amazonaws.com", "codedeploy.me-south-1.amazonaws.com", "codedeploy.sa-east-1.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }注意
请不要在列表中的最后一个终端节点后使用逗号。
-
-
从相同的目录调用 create-role 命令,根据刚刚创建的文本文件中的信息创建名为
CodeDeployServiceRole的服务角色:aws iam create-role --role-name CodeDeployServiceRole --assume-role-policy-document file://CodeDeployDemo-Trust.json重要
务必在文件名前包含
file://。此命令中需要该项。在命令输出中,记录
Arn对象下方Role条目的值。稍后创建部署组时将需要它。如果您忘记了值,请按照获取服务角色 ARN (CLI) 中的说明操作。 -
您使用的托管策略取决于计算平台。
-
如果您的部署是在 EC2/本地计算平台上:
根据名为的 IAM 托管策略
CodeDeployServiceRole,调用attach-role-policy命令为名为的服务角色授予权限AWSCodeDeployRole。例如:aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRole -
如果您的部署是在 AWS Lambda 计算平台上:
根据名为
AWSCodeDeployRoleForLambda或的 IAM 托管策略CodeDeployServiceRole,调用attach-role-policy命令为名为的服务角色授予权限AWSCodeDeployRoleForLambdaLimited。例如:aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSCodeDeployRoleForLambda -
如果您的部署是在 Amazon ECS 计算平台上:
根据名为
AWSCodeDeployRoleForECS或的 IAM 托管策略CodeDeployServiceRole,调用attach-role-policy命令为名为的服务角色授予权限AWSCodeDeployRoleForECSLimited。例如:aws iam attach-role-policy --role-name CodeDeployServiceRole --policy-arn arn:aws:iam::aws:policy/AWSCodeDeployRoleForECS
-
有关创建服务角色的更多信息,请参阅 IAM 用户指南中的为AWS服务创建角色。
获取服务角色 ARN(控制台)
要使用 IAM 控制台获取服务角色的 ARN,请执行以下操作:
登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择角色。
-
在筛选条件框中,键入
CodeDeployServiceRole,然后按 Enter。 -
选择CodeDeployServiceRole。
-
记下 Role ARN (角色 ARN) 字段的值。
获取服务角色 ARN (CLI)
要使用 AWS CLI 获取服务角色的 ARN,请对名为 CodeDeployServiceRole 的服务角色调用 get-role 命令:
aws iam get-role --role-name CodeDeployServiceRole --query "Role.Arn" --output text
返回值是服务角色的 ARN。
