Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwalten Sie die CodePipeline Servicerolle
<a name="how-to-custom-role"></a>

Die Servicerolle ist mit einer oder mehreren Richtlinien konfiguriert, die den Zugriff auf die von der Pipeline verwendeten AWS Ressourcen steuern. Möglicherweise möchten Sie dieser Rolle weitere Richtlinien zuordnen, die der Rolle zugeordnete Richtlinie bearbeiten oder Richtlinien für andere Servicerollen in konfigurieren AWS. Sie können auch einer Rolle eine Richtlinie anfügen, wenn Sie den kontenübergreifenden Zugriff auf Ihre Pipeline konfigurieren.

**Wichtig**  
Das Modifizieren einer Richtlinienanweisung oder Anfügen einer weiteren Richtlinie zur Rolle kann Pipelines funktionsunfähig machen. Vergewissern Sie sich über die Auswirkungen, bevor Sie die Servicerolle für auf irgendeine Weise verändern. Sie sollten Ihre Pipelines nach Durchführung von Änderungen an der Servicerolle unbedingt testen.

**Anmerkung**  
In der Konsole werden Servicerollen, die vor September 2018 erstellt wurden, mit dem Namen `oneClick_AWS-CodePipeline-Service_ID-Number` erstellt.  
Servicerollen, die nach September 2018 erstellt wurden, verwenden das Namensformat der Servicerolle `AWSCodePipelineServiceRole-Region-Pipeline_Name`. Bei einer Pipeline mit dem Namen `MyFirstPipeline` in `eu-west-2` benennt die Konsole beispielsweise die Rolle und die Richtlinie`AWSCodePipelineServiceRole-eu-west-2-MyFirstPipeline`.

## CodePipeline Richtlinie für die Servicerolle
<a name="how-to-custom-role-policy"></a>

Die Richtlinie zur CodePipeline Servicerolle enthält die Mindestberechtigungen für die Verwaltung von Pipelines. Sie können die Diensterollenanweisung bearbeiten, um den Zugriff auf Ressourcen, die Sie nicht verwenden, zu entfernen oder hinzuzufügen. In der entsprechenden Aktionsreferenz finden Sie die für jede Aktion erforderlichen Mindestberechtigungen CodePipeline .

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowS3BucketAccess",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketVersioning",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::[[pipeArtifactBucketNames]]"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "{{accountId}}"
        }
      }
    },
    {
      "Sid": "AllowS3ObjectAccess",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:PutObjectTagging",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": [
        "arn:aws:s3:::[[pipeArtifactBucketNames]]/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "{{accountId}}"
        }
      }
    }
  ]
}
```

------

**Anmerkung**  
In der Richtlinie sind die folgenden Berechtigungen erforderlich, wenn die S3-Objekte in Ihrem Quell-Bucket Tags enthalten:   

```
s3:PutObjectTagging
s3:GetObjectTagging
s3:GetObjectVersionTagging
```

## Entfernen Sie Berechtigungen aus der CodePipeline Servicerolle
<a name="remove-permissions-from-policy"></a>

Sie können die Servicerollenanweisung entsprechend bearbeiten, um den Zugriff auf ungenutzte Ressourcen zu entfernen. Wenn beispielsweise keine Ihrer Pipelines Elastic Beanstalk enthält, können Sie die Richtlinienerklärung bearbeiten, um den Abschnitt zu entfernen, der Zugriff auf Elastic Beanstalk Beanstalk-Ressourcen gewährt.

Ebenso können Sie, wenn keine Ihrer Pipelines Folgendes beinhaltet CodeDeploy, die Richtlinienerklärung bearbeiten, um den Abschnitt zu entfernen, der Zugriff auf Ressourcen gewährt: CodeDeploy 

```
    {
    "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetApplicationRevision",
        "codedeploy:GetDeployment",
        "codedeploy:GetDeploymentConfig",
        "codedeploy:RegisterApplicationRevision"
    ],
    "Resource": "*",
    "Effect": "Allow"
},
```

## Fügen Sie der CodePipeline Servicerolle Berechtigungen hinzu
<a name="how-to-update-role-new-services"></a>

Bevor Sie sie in Ihren Pipelines verwenden können, müssen Sie Ihre Dienstrollen-Richtlinienerklärung mit Berechtigungen für eine Richtlinie aktualisieren, die noch AWS-Service nicht in der Standardrichtlinie für die Servicerolle enthalten ist.

Dies ist besonders wichtig, wenn die Servicerolle, die Sie für Ihre Pipelines verwenden, erstellt wurde, bevor der Support für eine hinzugefügt wurde. AWS-Service

Die folgende Tabelle zeigt, wann Unterstützung für andere AWS-Services hinzugefügt wurde. 


****  

| AWS-Service | CodePipeline Datum der Unterstützung | 
| --- | --- | 
| CodePipeline Unterstützung für Aktionen aufrufen hinzugefügt. Siehe [Richtlinienberechtigungen für die Servicerolle für die CodePipeline Aufrufaktion](action-reference-PipelineInvoke.md#action-reference-PipelineInvoke-permissions-action). | 14. März 2025 | 
|  EC2Unterstützung für Aktionen hinzugefügt. Siehe [Richtlinienberechtigungen für Dienstrollen für die EC2-Bereitstellungsaktion](action-reference-EC2Deploy.md#action-reference-EC2Deploy-permissions-action). | 21. Februar 2025 | 
|  EKSUnterstützung für Aktionen hinzugefügt. Siehe [Richtlinienberechtigungen für die Servicerolle](action-reference-EKS.md#action-reference-EKS-service-role). | 20. Februar 2025 | 
|  Unterstützung für Amazon Elastic Container ECRBuildAndPublish Registry-Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: Aktion `ECRBuildAndPublish`](action-reference-ECRBuildAndPublish.md#edit-role-ECRBuildAndPublish). | 22. November 2024 | 
| Unterstützung für Amazon Inspector InspectorScan Inspector-Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: `InspectorScan` Aktion](action-reference-InspectorScan.md#edit-role-InspectorScan). | 22. November 2024 | 
| Unterstützung für Befehlsaktionen hinzugefügt. Siehe [Berechtigungen für die Servicerolle: Befehle, Aktion](action-reference-Commands.md#edit-role-Commands). | 03. Oktober 2024 | 
| CloudFormation Unterstützung für Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: Aktion `CloudFormationStackSet`](action-reference-StackSets.md#edit-role-cfn-stackset) und [Berechtigungen für Servicerollen: `CloudFormationStackInstances` Aktion](action-reference-StackSets.md#edit-role-cfn-stackinstances). | 30. Dezember 2020 | 
| CodeCommit Unterstützung für Aktionen im vollständigen Klonausgabeartefaktformat hinzugefügt. Siehe [Berechtigungen für Servicerollen: CodeCommit Aktion](action-reference-CodeCommit.md#edit-role-codecommit). | 11. November 2020 | 
| AWS CodeBuild Unterstützung für Batch-Build-Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: CodeCommit Aktion](action-reference-CodeCommit.md#edit-role-codecommit). | 30. Juli 2020 | 
| AWS AppConfig Unterstützung für Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: Aktion `AppConfig`](action-reference-AppConfig.md#edit-role-appconfig). | 22. Juni 2020 | 
| AWS Step Functions Aktionsunterstützung hinzugefügt. Siehe [Berechtigungen für Servicerollen: `StepFunctions` Aktion](action-reference-StepFunctions.md#edit-role-stepfunctions). | 27. Mai 2020 | 
| AWS CodeStar Unterstützung für Verbindungsaktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: CodeConnections Aktion](action-reference-CodestarConnectionSource.md#edit-role-connections). | 18. Dezember 2019 | 
| Unterstützung für S3-Bereitstellungsaktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: S3-Bereitstellungsaktion](action-reference-S3Deploy.md#edit-role-s3deploy). | 16. Januar 2019 | 
| Die Unterstützung für CodeDeployToECS Aktionsaktionen wurde hinzugefügt. Siehe [Berechtigungen für Servicerollen: `CodeDeployToECS` Aktion](action-reference-ECSbluegreen.md#edit-role-codedeploy-ecs). | 27. November 2018 | 
| Unterstützung für Amazon ECR-Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: Amazon ECR-Aktion](action-reference-ECR.md#edit-role-ecr). | 27. November 2018 | 
| Unterstützung Service Catalog Servicekatalog-Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: Aktion „Service Catalog“](action-reference-ServiceCatalog.md#edit-role-servicecatalog). | 16. Oktober 2018 | 
| AWS Device Farm Unterstützung für Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: AWS Device Farm Aktion](action-reference-DeviceFarm.md#edit-role-devicefarm). | 19. Juli 2018 | 
| Unterstützung für Amazon ECS-Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: Amazon ECS-Standardaktion](action-reference-ECS.md#edit-role-ecs). | 12. Dezember 2017//Update für die Anmeldung zur Tagging-Autorisierung am 21. Juli 2017 | 
| CodeCommit Unterstützung für Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: CodeCommit Aktion](action-reference-CodeCommit.md#edit-role-codecommit). | 18. April 2016 | 
| AWS OpsWorks Aktionsunterstützung hinzugefügt. Siehe [Berechtigungen für Servicerollen: AWS OpsWorks Aktion](action-reference-OpsWorks.md#edit-role-opsworks). | 2. Juni 2016 | 
| CloudFormation Aktionsunterstützung hinzugefügt. Siehe [Berechtigungen für Servicerollen: CloudFormation Aktion](action-reference-CloudFormation.md#edit-role-cloudformation). | 3. November 2016 | 
| AWS CodeBuild Aktionsunterstützung hinzugefügt. Siehe [Berechtigungen für Servicerollen: CodeBuild Aktion](action-reference-CodeBuild.md#edit-role-codebuild). | 1. Dezember 2016 | 
| Unterstützung für Elastic Beanstalk Beanstalk-Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: Aktion `ElasticBeanstalk` bereitstellen](action-reference-Beanstalk.md#edit-role-beanstalk). | Erster Start des Dienstes | 
| CodeDeploy Unterstützung für Aktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: AWS CodeDeploy Aktion](action-reference-CodeDeploy.md#edit-role-codedeploy). | Erster Start des Dienstes | 
| Unterstützung für S3-Quellaktionen hinzugefügt. Siehe [Berechtigungen für Servicerollen: S3-Quellaktion](action-reference-S3.md#edit-role-s3source). | Erster Start des Dienstes | 

Gehen Sie folgendermaßen vor, um Berechtigungen für einen unterstützten Service hinzuzufügen:

 

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie in der IAM-Konsole im Navigationsbereich **Rollen** und dann Ihre `AWS-CodePipeline-Service` Rolle aus der Rollenliste aus.

1. Wählen Sie auf der Registerkarte **Berechtigungen** unter **Inline-Richtlinien** in der Zeile für Ihre Servicerollenrichtlinie die Option **Richtlinie bearbeiten** aus.

1. Fügen Sie die erforderlichen Berechtigungen im Feld **Richtliniendokument** hinzu. 
**Anmerkung**  
Beachten Sie bei der Erstellung von IAM-Richtlinien die standardmäßigen Sicherheitsempfehlungen zur Gewährung von geringsten Rechten, d. h. gewähren Sie nur die für die Ausführung einer Aufgabe erforderlichen Berechtigungen. Einige API-Aufrufe unterstützen ressourcenbasierte Berechtigungen und lassen Zugriffseinschränkungen zu. In diesem Fall können Sie beispielsweise das Platzhalterzeichen (\$1) durch einen Ressourcen-ARN oder durch einen Ressourcen-ARN, der einen Platzhalter (\$1) enthält, ersetzen, um die Berechtigungen beim Aufrufen von `DescribeTasks` und `ListTasks` einzuschränken. Weitere Informationen zum Erstellen einer Richtlinie, die den Zugriff mit den geringsten Rechten gewährt, finden Sie unter. [https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)

1. Wählen Sie **Review policy**, um sicherzustellen, dass die Richtlinie keine Fehler enthält. **Wenn die Richtlinie fehlerfrei ist, wählen Sie Richtlinie anwenden.**