如何 AWS CodeDeploy 与 IAM 配合使用

在使用 IAM 管理访问权限之前 CodeDeploy，您应该了解哪些 IAM 功能可供使用 CodeDeploy。有关更多信息，请参阅《IAM 用户指南》中的与 IAM 结合使用的AWS 服务。

CodeDeploy 基于身份的策略

通过使用 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。 CodeDeploy 支持操作、资源和条件键。如需在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》中的 IAM JSON 策略元素参考。

操作

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个主体可以对什么资源执行操作，以及在什么条件下执行。

JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API 操作同名。有一些例外情况，例如没有匹配 API 操作的仅限权限 操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作。

在策略中包含操作以授予执行关联操作的权限。

正在执行的策略操作在操作之前 CodeDeploy 使用codedeploy:前缀。例如，codedeploy:GetApplication 权限授予用户执行 GetApplication 操作的权限。策略声明必须包含Action或NotAction元素。 CodeDeploy 定义了它自己的一组操作，这些操作描述了您可以使用此服务执行的任务。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

"Action": [
      "codedeploy:action1",
      "codedeploy:action2"

您也可以使用通配符（*）指定多个操作。例如，包括以下操作可以指定以单词 Describe 开头的所有操作：

"Action": "ec2:Describe*"

有关 CodeDeploy 操作列表，请参阅 IAM 用户指南 AWS CodeDeploy中的由定义的操作。

有关列出所有 CodeDeploy API 操作及其适用的资源的表格，请参阅CodeDeploy 权限参考。

资源

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个主体 可以对什么资源执行操作，以及在什么条件下执行。

Resource JSON 策略元素指定要向其应用操作的一个或多个对象。语句必须包含 Resource 或 NotResource 元素。作为最佳实践，请使用其 Amazon 资源名称 (ARN) 指定资源。对于支持特定资源类型（称为资源级权限）的操作，您可以执行此操作。

对于不支持资源级权限的操作（如列出操作），请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

例如，您可以在语句中使用部署组 (myDeploymentGroup) 的 ARN 来表示该部署组 ()，如下所示：

"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:myApplication/myDeploymentGroup"

您还可以使用通配符（*）指定属于某个账户的所有部署组，如下所示：

"Resource": "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*"

要指定所有资源，或者如果 API 操作不支持 ARN，请在 Resource 元素中使用通配符（*），如下所示：

"Resource": "*"

某些 CodeDeploy API 操作接受多个资源（例如，BatchGetDeploymentGroups）。要在单个语句中指定多种资源，请使用逗号将它们隔开，如下所示：

"Resource": ["arn1", "arn2"]

CodeDeploy 提供了一组使用 CodeDeploy资源的操作。有关可用操作的列表，请参阅 CodeDeploy 权限参考。

有关 CodeDeploy 资源类型及其 ARN 的列表，请参阅 IAM 用户指南 AWS CodeDeploy中的由定义的资源。有关可指定每个资源的 ARN 的操作的信息，请参阅 AWS CodeDeploy定义的操作。

CodeDeploy 资源和运营

在中 CodeDeploy，主要资源是部署组。在策略中，您可以使用 Amazon 资源名称（ARN）标识策略应用到的资源。 CodeDeploy 支持可用于部署组的其他资源，包括应用程序、部署配置和实例。这些资源称作子资源。这些资源和子资源具有相关联的唯一 ARN。有关更多信息，请参阅《Amazon Web Services 一般参考》中的 Amazon 资源名称（ARN）。

资源类型	ARN 格式
部署组	arn:aws:codedeploy:region:account-id:deploymentgroup:application-name/deployment-group-name
应用程序	arn:aws:codedeploy:region:account-id:application:application-name
部署配置	arn:aws:codedeploy:region:account-id:deploymentconfig:deployment-configuration-name
实例	arn:aws:codedeploy:region:account-id:instance/instance-ID
所有 CodeDeploy 资源	arn:aws:codedeploy:*
指定区域中指定账户拥有的所有 CodeDeploy 资源	arn:aws:codedeploy:region:account-id:*

注意

中的大多数服务都 AWS 将冒号 (:) 或正斜杠 (/) 视为 ARN 中的相同字符。但是，在资源模式和规则中 CodeDeploy 使用精确匹配。请务必在创建事件模式时使用正确的 ARN 字符，以使其与资源中的 ARN 语法匹配。

条件键

CodeDeploy 不提供任何特定于服务的条件密钥，但它确实支持使用某些全局条件密钥。有关更多信息，请参阅《IAM 用户指南》中的 AWS 全局条件上下文键。

示例

要查看 CodeDeploy 基于身份的策略的示例，请参阅。AWS CodeDeploy 基于身份的策略示例

CodeDeploy 基于资源的政策

CodeDeploy 不支持基于资源的策略。要查看详细的基于资源的策略页面的示例，请参阅使用基于资源的策略。 AWS Lambda

基于 CodeDeploy 标签的授权

CodeDeploy 不支持标记资源或基于标签控制访问权限。

CodeDeploy IAM 角色

I AM 角色是您的 AWS 账户中具有特定权限的实体。

将临时凭证与配合使用 CodeDeploy

可以使用临时凭证进行联合身份验证登录，分派 IAM 角色或分派跨账户角色。您可以通过调用AssumeRole或之类的 AWS STS API 操作来获取临时安全证书GetFederationToken。

CodeDeploy 支持使用临时证书。

服务相关角色

CodeDeploy 不支持服务相关角色。

服务角色

此功能允许服务代表您担任服务角色。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的 AWS 账户中，并归该账户所有。这意味着用户可以更改此角色的权限。但是，这样做可能会中断服务的功能。

CodeDeploy 支持服务角色。

在中选择 IAM 角色 CodeDeploy

在中创建部署组资源时 CodeDeploy，必须选择允许 CodeDeploy 代表您访问 Amazon EC2 的角色。如果您之前创建过服务角色或服务相关角色，则会 CodeDeploy为您提供可供选择的角色列表。选择一个允许访问以启动和停止 EC2 实例的角色很重要。