本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如何 AWS CodePipeline 使用 IAM
在使用IAM來管理存取權之前 CodePipeline,您應該瞭解哪些IAM功能可以搭配使用 CodePipeline。若要取得有關使用方式 CodePipeline 和其他 AWS 服務 使用方式的高階檢視IAM,請參閱AWS 服務《IAM使用者指南》IAM中的使用方式。
CodePipeline 身分型政策
使用以IAM身分識別為基礎的策略,您可以指定允許或拒絕的動作和資源,以及允許或拒絕動作的條件。 CodePipeline 支援特定動作、資源和條件索引鍵。若要瞭解您在JSON策略中使用的所有元素,請參閱《使IAM用指南》中的《IAMJSON策略元素參考》。
動作
管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
JSON策略Action元素描述了您可以用來允許或拒絕策略中存取的動作。策略動作通常與關聯 AWS API操作具有相同的名稱。有一些例外情況,例如沒有匹配API操作的僅限權限的操作。也有一些作業需要政策中的多個動作。這些額外的動作稱為相依動作。
政策會使用動作來授予執行相關聯動作的許可。
中的策略動作在動作之前 CodePipeline 使用下列前置詞:codepipeline:。
例如,若要准許某人檢視帳戶中現有的管道,您需要在其政策中加入 codepipeline:GetPipeline 動作。原則陳述式必須包含Action或NotAction元素。 CodePipeline 定義了它自己的一組動作,描述您可以使用此服務執行的任務。
若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:
"Action": [ "codepipeline:action1", "codepipeline:action2"
您也可以使用萬用字元 (*) 來指定多個動作。例如,若要指定開頭是 Get 文字的所有動作,請包含以下動作:
"Action": "codepipeline:Get*"
若要取得 CodePipeline 動作清單,請參閱《IAM使用指南》 AWS CodePipeline中的〈定義的動作〉。
資源
管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
ResourceJSON原則元素會指定要套用動作的一個或多個物件。陳述式必須包含 Resource 或 NotResource 元素。最佳做法是使用其 Amazon 資源名稱 (ARN) 指定資源。您可以針對支援特定資源類型的動作 (稱為資源層級許可) 來這麼做。
對於不支援資源層級許可的動作 (例如列出操作),請使用萬用字元 (*) 來表示陳述式適用於所有資源。
"Resource": "*"
CodePipeline 資源與營運
在中 CodePipeline,主要資源是管線。在政策中,您可以使用 Amazon 資源名稱 (ARN) 來識別該政策適用的資源。 CodePipeline 支援可與主要資源搭配使用的其他資源,例如階段、動作和自訂動作。這些資源稱為「子資源」。這些資源和子資源具有與其相關聯的唯一 Amazon 資源名稱 (ARNs)。如需有關的詳細資訊ARNs,請 AWS 服務 參閱. ARN Amazon Web Services 一般參考 要使管道與管道ARN相關聯,您可以在控制台的 ARN「設置」 下找到該管道。如需詳細資訊,請參閱檢視管線ARN和服務角色 ARN (主控台)。
| 資源類型 | ARN格式 |
|---|---|
|
管道 |
ARN: aws: 程式碼管線: |
| 階段 |
ARN: aws: 程式碼管線: |
| 動作 |
ARN: aws: 程式碼管線: |
| 自訂動作 | ARN: aws: 程式碼管線:region:account:動作類型:owner/category/provider/version |
|
所有 CodePipeline 資源 |
ARN: aws: 程式碼管線:* |
|
指定區域中指定帳號擁有的所有 CodePipeline 資源 |
ARN: aws: 程式碼管線: |
注意
大多數服務都 AWS 將冒號(:) 或正斜杠(/)視為ARNs. 但是,在事件模式和規則中 CodePipeline 使用完全匹配。建立事件模式時,請務必使用正確的ARN字元,以便它們符合您要比對的管線中的ARN語法。
在中 CodePipeline,有些API呼叫支援資源層級權限。資源層級權限指出API呼叫是否可以指定資源ARN,或API呼叫是否只能使用萬用字元指定所有資源。CodePipeline 權限參考如需資源層級權限的詳細說明,以及支援資源層級權限的 CodePipeline API呼叫清單,請參閱。
例如,您可以指示特定配管 (myPipeline)在您的聲明中使用它ARN,如下所示:
"Resource": "arn:aws:codepipeline:us-east-2:111222333444:myPipeline"
您也可以透過使用 (*) 萬用字元指定所有屬於特定帳戶的管道,如下所示:
"Resource": "arn:aws:codepipeline:us-east-2:111222333444:*"
若要指定所有資源,或特定API動作不支援ARNs,請在元素中使用 (*) 萬用字Resource元,如下所示:
"Resource": "*"
注意
建立IAM原則時,請遵循授與最低權限的標準安全性建議,也就是僅授與執行工作所需的權限。如果API呼叫支援ARNs,則它支援資源層級權限,而且您不需要使用 (*) 萬用字元。
某些 CodePipeline API呼叫會接受多個資源 (例如,GetPipeline)。要在單個語句中指定多個資源,請ARNs用逗號分隔它們,如下所示:
"Resource": ["arn1", "arn2"]
CodePipeline 提供了一組操作來處理資 CodePipeline 源。如需可用操作的清單,請參閱 CodePipeline 權限參考。
條件索引鍵
管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
Condition 元素 (或 Condition 區塊) 可讓您指定使陳述式生效的條件。Condition 元素是選用項目。您可以建立使用條件運算子的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。
若您在陳述式中指定多個 Condition 元素,或是在單一 Condition 元素中指定多個索引鍵, AWS 會使用邏輯 AND 操作評估他們。如果您為單一條件索引鍵指定多個值,請使用邏輯OR運算來 AWS 評估條件。必須符合所有條件,才會授與陳述式的許可。
您也可以在指定條件時使用預留位置變數。例如,只有在IAM使用者名稱標記資源時,您才可以授與IAM使用者存取資源的權限。如需詳細資訊,請參閱《IAM使用指南》中的IAM政策元素:變數和標籤。
AWS 支援全域條件金鑰和服務特定條件金鑰。若要查看所有 AWS 全域條件索引鍵,請參閱《使用指南》中的AWS 全域條件內IAM容索引鍵。
CodePipeline 定義了它自己的一組條件鍵,並且還支持使用一些全局條件鍵。若要查看所有 AWS 全域條件索引鍵,請參閱使用指南中的AWS 全域條件內IAM容索引鍵。
所有 Amazon EC2 操作都支持aws:RequestedRegion和ec2:Region條件密鑰。如需詳細資訊,請參閱範例:將存取限制在特定區域。
若要查看 CodePipeline 條件索引鍵清單,請參閱《IAM使用指南》 AWS CodePipeline中的「條件索引鍵」。若要瞭解您可以使用條件索引鍵的動作和資源,請參閱動作定義者 AWS CodePipeline。
範例
若要檢視以 CodePipeline 身分為基礎的原則範例,請參閱。AWS CodePipeline 身分型政策範例
CodePipeline 資源型政策
CodePipeline 不支援以資源為基礎的政策。但 CodePipeline 是,針對與之相關的 S3 服務提供以資源為基礎的政策範例。
範例
要查看 CodePipeline 以資源為基礎的策略的實例,請參閱AWS CodePipeline 資源型政策範例,
以 CodePipeline 標籤為基礎的授權
您可以將標籤附加至 CodePipeline 資源,或將要求中的標籤傳遞給 CodePipeline。如需根據標籤控制存取,請使用 codepipeline:ResourceTag/、key-nameaws:RequestTag/ 或 key-nameaws:TagKeys 條件索引鍵,在政策的條件元素中,提供標籤資訊。如需標記 CodePipeline 資源的更多資訊,請參閱標記資源。
若要檢視身分型政策範例,以根據該資源上的標籤來限制存取資源,請參閱使用標籤來控制 CodePipeline資源的存取。
CodePipeline IAM角色
IAM角色是您 AWS 帳戶中具有特定權限的實體。
使用臨時登入資料 CodePipeline
您可以使用臨時認證登入同盟、擔任IAM角色或擔任跨帳戶角色。您可以透過呼叫AssumeRole或之類的 AWS STS API作業來取得臨時安全登入資料GetFederationToken。
CodePipeline 支援使用臨時認證。
服務角色
CodePipeline 允許服務代表您擔任服務角色。此角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會顯示在您的IAM帳戶中,且屬於帳戶所有。這表示IAM系統管理員可以變更此角色的權限。不過,這樣可能會破壞此服務的功能。
CodePipeline 支援服務角色。
