本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
向中的 IAM 用户授予批准权限 CodePipeline
在组织内的 IAM 用户可以批准或拒绝审批操作之前,必须向他们授予访问管道和更新审批操作状态的权限。您可以通过将 AWSCodePipelineApproverAccess
托管式策略附加到 IAM 用户、角色或组,来授予其访问账户中的所有管道和审批操作的权限;或者您可以通过指定 IAM 用户、角色或组可以访问的各个资源来授予有限权限。
注意
本主题中描述的权限授予非常有限的访问权限。要使用户、角色或组可以执行的不止是批准或拒绝审批操作,您可以附加其他托管策略。有关可用的托管策略的信息 CodePipeline,请参阅AWS 的托管策略 AWS CodePipeline。
授予对所有管道和审批操作的审批权限
对于需要在中执行批准操作的用户 CodePipeline,请使用AWSCodePipelineApproverAccess
托管策略。
要提供访问权限,请为您的用户、组或角色添加权限:
-
中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》中创建权限集的说明进行操作。
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-
指定对特定管道和审批操作的审批权限
对于需要在中执行批准操作的用户 CodePipeline,请使用以下自定义策略。在下面的策略中,指定用户可以访问的各项资源。例如,根据以下策略的授权,用户只能批准或拒绝美国东部(俄亥俄州)区域 (us-east-2) MyFirstPipeline
管道中名为 MyApprovalAction
的操作:
注意
仅codepipeline:ListPipelines
当 IAM 用户需要访问 CodePipeline 控制面板以查看此管道列表时,才需要该权限。如果不需要访问控制台,则可以忽略 codepipeline:ListPipelines
。
使用 JSON 策略编辑器创建策略
登录 AWS Management Console 并打开 IAM 控制台,网址为 https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用。
-
在页面的顶部,选择创建策略。
-
在策略编辑器部分,选择 JSON 选项。
-
输入以下 JSON 策略文档:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codepipeline:ListPipelines" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "codepipeline:GetPipeline", "codepipeline:GetPipelineState", "codepipeline:GetPipelineExecution" ], "Resource": "arn:aws:codepipeline:us-east-2:80398EXAMPLE:MyFirstPipeline" }, { "Effect": "Allow", "Action": [ "codepipeline:PutApprovalResult" ], "Resource": "arn:aws:codepipeline:us-east-2:80398EXAMPLE:MyFirstPipeline/MyApprovalStage/MyApprovalAction" } ] }
-
选择下一步。
注意
您可以随时在可视化和 JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅《IAM 用户指南》中的调整策略结构。
-
在查看并创建页面上,为您要创建的策略输入策略名称和描述(可选)。查看此策略中定义的权限以查看策略授予的权限。
-
选择创建策略可保存新策略。