Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie eine Pipeline CodePipeline , in der Ressourcen von einem anderen AWS Konto verwendet werden
Sie möchten möglicherweise eine Pipeline erstellen, die Ressourcen verwendet, die von einem anderen AWS -Konto erstellt oder verwaltet werden. Beispielsweise möchten Sie ein Konto für Ihre Pipeline und ein anderes Konto für Ihre CodeDeploy -Ressourcen verwenden.
**Anmerkung**
Beim Erstellen einer Pipeline mit Aktionen aus mehreren Konten müssen Sie Ihre Aktionen so konfigurieren, dass mit ihnen innerhalb der Einschränkungen von kontoübergreifenden Pipelines weiterhin auf Artefakte zugegriffen werden kann. Die folgenden Einschränkungen gelten für kontoübergreifende Aktionen:
Im Allgemeinen kann eine Aktion nur ein Artefakt verbrauchen, wenn:
Die Aktion befindet sich im selben Konto wie das Pipeline-Konto ODER
das Artefakt im Pipeline-Konto für eine Aktion in einem anderen Konto erstellt wurde ODER
Das Artefakt wurde durch eine frühere Aktion im selben Konto wie die Aktion erzeugt
Anders gesagt, ist es nicht möglich, ein Artefakt von einem Konto an ein anderes Konto zu übergeben, wenn keines der Konten ein Pipeline-Konto ist.
Für die folgenden Aktionstrypen werden keine kontoübergreifenden Aktionen unterstützt:
Jenkins-Build-Aktionen
In diesem Beispiel müssen Sie einen zu verwendenden Schlüssel AWS Key Management Service (AWS KMS) erstellen, den Schlüssel zur Pipeline hinzufügen und Kontorichtlinien und Rollen einrichten, um den kontoübergreifenden Zugriff zu ermöglichen. Für einen AWS KMS-Schlüssel können Sie die Schlüssel-ID, den Schlüssel-ARN oder den Alias-ARN verwenden.
**Anmerkung**
Aliase werden nur in dem Konto erkannt, das den KMS-Schlüssel erstellt hat. Für kontoübergreifende Aktionen können Sie zum Identifizieren des Schlüssels nur die Schlüssel-ID oder den Schlüssel-ARN vewenden. Bei kontoübergreifenden Aktionen wird die Rolle des anderen Kontos (AccountB) verwendet, sodass bei Angabe der Schlüssel-ID der Schlüssel des anderen Kontos (AccountB) verwendet wird.
In dieser exemplarischen Vorgehensweise und den zugehörigen Beispielen *AccountA* wird das Konto verwendet, das ursprünglich zum Erstellen der Pipeline verwendet wurde. Es hat Zugriff auf den Amazon S3 S3-Bucket, der zum Speichern von Pipeline-Artefakten verwendet wird, und auf die Servicerolle, die von verwendet wird AWS CodePipeline. *AccountB*ist das Konto, das ursprünglich zur Erstellung der CodeDeploy Anwendung, der Bereitstellungsgruppe und der Servicerolle verwendet wurde, die von verwendet wurden CodeDeploy.
*AccountA*Um eine Pipeline zu bearbeiten, um die von erstellte CodeDeploy Anwendung zu verwenden*AccountB*, *AccountA* müssen Sie:
+ Fordern Sie den ARN oder die Konto-ID von an *AccountB* (in dieser exemplarischen Vorgehensweise lautet die *AccountB* ID*012ID\$1ACCOUNT\$1B*).
+ Erstellen oder verwenden Sie einen vom AWS KMS Kunden verwalteten Schlüssel in der Region für die Pipeline und gewähren Sie der Servicerolle (*CodePipeline\$1Service\$1Role*) und *AccountB* Berechtigungen zur Verwendung dieses Schlüssels.
+ Erstellen Sie eine Amazon S3 S3-Bucket-Richtlinie, die *AccountB* Zugriff auf den Amazon S3 S3-Bucket gewährt (z. B.*codepipeline-us-east-2-1234567890*).
+ Erstellen Sie eine Richtlinie, die es *AccountA* ermöglicht, eine von konfigurierte Rolle anzunehmen*AccountB*, und fügen Sie diese Richtlinie der Servicerolle hinzu (*CodePipeline\$1Service\$1Role*).
+ Bearbeiten Sie die Pipeline so, dass der vom Kunden verwaltete AWS KMS Schlüssel anstelle des Standardschlüssels verwendet wird.
*AccountB*Um den Zugriff auf ihre Ressourcen für eine Pipeline zu ermöglichen, die in erstellt wurde*AccountA*, *AccountB* müssen Sie:
+ Fordern Sie den ARN oder die Konto-ID von an *AccountA* (in dieser exemplarischen Vorgehensweise lautet die *AccountA* ID*012ID\$1ACCOUNT\$1A*).
+ Erstellen Sie eine Richtlinie, die auf die [Amazon EC2 EC2-Instance-Rolle](https://docs.aws.amazon.com/codedeploy/latest/userguide/how-to-create-iam-instance-profile.html) angewendet wird CodeDeploy , für die der Zugriff auf den Amazon S3 S3-Bucket (*codepipeline-us-east-2-1234567890*) konfiguriert ist.
+ Erstellen Sie eine Richtlinie, die auf die für die [Amazon EC2 EC2-Instance-Rolle konfigurierte Rolle](https://docs.aws.amazon.com/codedeploy/latest/userguide/how-to-create-iam-instance-profile.html) angewendet wird und CodeDeploy die den Zugriff auf den vom AWS KMS Kunden verwalteten Schlüssel ermöglicht, der zur Verschlüsselung der Pipeline-Artefakte in verwendet wird. *AccountA*
+ Konfigurieren und fügen Sie eine IAM-Rolle (*CrossAccount\$1Role*) mit einer Vertrauensbeziehungsrichtlinie hinzu, die es der CodePipeline Servicerolle ermöglicht, die Rolle *AccountA* zu übernehmen.
+ Erstellen Sie eine Richtlinie, die den Zugriff auf die Bereitstellungsressourcen ermöglicht, die für die Pipeline benötigt werden, und fügen Sie sie hinzu*CrossAccount\$1Role*.
+ Erstellen Sie eine Richtlinie, die den Zugriff auf den Amazon S3 S3-Bucket (*codepipeline-us-east-2-1234567890*) ermöglicht, und fügen Sie ihn an an*CrossAccount\$1Role*.
**Topics**
+ [Voraussetzung: Erstellen Sie einen AWS KMS Verschlüsselungsschlüssel](#pipelines-create-cross-account-create-key)
+ [Schritt 1: Einrichten von Kontorichtlinien und Rollen](#pipelines-create-cross-account-setup)
+ [Schritt 2: Bearbeiten der Pipeline](#pipelines-create-cross-account-create)
## Voraussetzung: Erstellen Sie einen AWS KMS Verschlüsselungsschlüssel
Vom Kunden verwaltete Schlüssel sind regionsspezifisch, ebenso wie alle AWS KMS Schlüssel. Sie müssen Ihren vom Kunden verwalteten AWS KMS Schlüssel in derselben Region erstellen, in der die Pipeline erstellt wurde (z. B.`us-east-2`).
**Um einen vom Kunden verwalteten Schlüssel zu erstellen AWS KMS**
1. Melden Sie sich AWS-Managementkonsole mit an *AccountA* und öffnen Sie die AWS KMS Konsole.
1. Wählen Sie links **Customer managed keys (Vom Kunden verwaltete Schlüssel)** aus.
1. Klicken Sie auf **Create key**. Lassen Sie unter **Configure key (Schlüssel konfigurieren)** die Standardeinstellung **Symmetric (Symmetrisch)** ausgewählt und wählen Sie **Next (Weiter)** aus.
1. Geben Sie im Feld **Alias** einen Alias ein, der für diesen Schlüssel verwendet werden soll (z. B.*PipelineName-Key*). Geben Sie optional eine Beschreibung und die Tags für den Schlüssel ein und wählen Sie dann **Next (Weiter)** aus.
1. Wählen **Sie unter Wichtige Administratorberechtigungen definieren** die Rolle oder Rollen aus, die Sie als Administratoren für diesen Schlüssel verwenden möchten, und klicken Sie dann auf **Weiter**.
1. Wählen Sie unter **Schlüsselverwendungsberechtigungen definieren** unter **Dieses Konto** den Namen der Servicerolle für die Pipeline aus (z. B. CodePipeline \$1Service\$1Role). Wählen Sie unter **Andere AWS Konten die Option Weiteres Konto** **hinzufügen** aus. AWS Geben Sie die Konto-ID für ein, *AccountB* um den ARN abzuschließen, und wählen Sie dann **Weiter**.
1. Überprüfen Sie die Richtlinie in **Preview Key Policy (Vorschau der Schlüsselrichtlinie)** und wählen Sie dann **Finish (Beenden)** aus.
1. Wählen Sie aus der Liste der Schlüssel den Alias Ihres Schlüssels aus und kopieren Sie dessen ARN (z. B. ***arn:aws:kms:us-east-2:012ID\$1ACCOUNT\$1A:key/2222222-3333333-4444-556677EXAMPLE***). Sie benötigen diese Informationen, wenn Sie Ihre Pipeline bearbeiten und Richtlinien konfigurieren.
## Schritt 1: Einrichten von Kontorichtlinien und Rollen
Nachdem Sie den AWS KMS Schlüssel erstellt haben, müssen Sie Richtlinien erstellen und anhängen, die den kontoübergreifenden Zugriff ermöglichen. Dies erfordert Aktionen sowohl von als *AccountA* auch*AccountB*.
**Topics**
+ [Konfigurieren Sie Richtlinien und Rollen in dem Konto, das die Pipeline erstellen soll (*AccountA*)](#pipelines-create-cross-account-setup-accounta)
+ [Konfigurieren Sie Richtlinien und Rollen in dem Konto, dem die AWS Ressource gehört (*AccountB*)](#pipelines-create-cross-account-setup-accountb)
### Konfigurieren Sie Richtlinien und Rollen in dem Konto, das die Pipeline erstellen soll (*AccountA*)
Um eine Pipeline zu erstellen, die CodeDeploy Ressourcen verwendet, die mit einem anderen AWS Konto verknüpft sind, *AccountA* müssen Sie Richtlinien sowohl für den Amazon S3 S3-Bucket, der zum Speichern von Artefakten verwendet wird, als auch für die Servicerolle für konfigurieren CodePipeline.
**Um eine Richtlinie für den Amazon S3 S3-Bucket zu erstellen, der Zugriff auf AccountB (Konsole) gewährt**
1. Melden Sie sich AWS-Managementkonsole mit an *AccountA* und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie in der Liste der Amazon S3 S3-Buckets den Amazon S3 S3-Bucket aus, in dem Artefakte für Ihre Pipelines gespeichert sind. Dieser Bucket ist benannt`codepipeline-region-1234567EXAMPLE`, wo sich die AWS Region *region* befindet, in der Sie die Pipeline erstellt haben. Dabei *1234567EXAMPLE* handelt es sich um eine zehnstellige Zufallszahl, die sicherstellt, dass der Bucket-Name eindeutig ist (z. B.). *codepipeline-us-east-2-1234567890*
1. Wählen Sie auf der Detailseite für den Amazon S3 S3-Bucket die Option **Eigenschaften** aus.
1. Erweitern Sie im Eigenschaftenbereich das Feld **Permissions** und wählen Sie **Add bucket policy** aus.
**Anmerkung**
Wenn Ihrem Amazon S3 S3-Bucket bereits eine Richtlinie zugeordnet ist, wählen Sie **Bucket-Richtlinie bearbeiten** aus. Danach können Sie die Anweisungen im folgenden Beispiel zur vorhandenen Richtlinie hinzufügen. Um eine neue Richtlinie hinzuzufügen, wählen Sie den Link und folgen Sie den Anweisungen im AWS Policy Generator. Weitere Informationen finden Sie unter [Überblick über die IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_overview.html).
1. Erstellen Sie im Fenster des **Bucket-Policy-Editors** eine Richtlinie, die den *AccountB* Zugriff auf die Pipeline-Artefakte ermöglicht und *AccountB* die Möglichkeit bietet, Ausgabeartefakte hinzuzufügen, wenn sie durch eine Aktion, z. B. eine benutzerdefinierte Quell- oder Build-Aktion, erstellt werden.
1. Wählen Sie **Save** und schließen Sie dann den Richtlinien-Editor.
1. Wählen Sie **Speichern**, um die Berechtigungen für den Amazon S3 S3-Bucket zu speichern.
**Um eine Richtlinie für die Servicerolle für CodePipeline (Konsole) zu erstellen**
1. Melden Sie sich bei with AWS-Managementkonsole an *AccountA* und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Wählen Sie in der Liste der Rollen unter **Role Name (Rollenname)** den Namen der Service-Rolle für CodePipeline aus.
1. Wählen Sie in der Registerkarte **Permissions (Berechtigungen)** die Option **Add inline policy (Inline-Richtlinie hinzufügen)**.
1. Wählen Sie die Registerkarte **JSON** und geben Sie die folgende Richtlinie ein, damit *AccountB* Sie die Rolle übernehmen können. Im folgenden Beispiel *012ID\$1ACCOUNT\$1B* ist der ARN für*AccountB*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::111122223333:role/*"
]
}
}
```
------
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter **Name** einen Namen für diese Richtlinie ein. Wählen Sie **Richtlinie erstellen** aus.
### Konfigurieren Sie Richtlinien und Rollen in dem Konto, dem die AWS Ressource gehört (*AccountB*)
Wenn Sie eine Anwendungs-, Bereitstellungs- und Bereitstellungsgruppe in erstellen CodeDeploy, erstellen Sie auch eine [Amazon EC2 EC2-Instance-Rolle](https://docs.aws.amazon.com/codedeploy/latest/userguide/how-to-create-iam-instance-profile.html). (Diese Rolle wird für Sie erstellt, wenn Sie den Assistenten für die Ausführung der Bereitstellungsanleitung verwenden. Sie können sie jedoch auch manuell erstellen.) Damit eine Pipeline, die in erstellt wurde*AccountA*, CodeDeploy Ressourcen verwendet, die in erstellt wurden*AccountB*, müssen Sie:
+ Konfigurieren Sie eine Richtlinie für die Instance-Rolle, die ihr den Zugriff auf den Amazon S3 S3-Bucket ermöglicht, in dem Pipeline-Artefakte gespeichert sind.
+ Erstellen Sie eine zweite Rolle, die für den kontoübergreifenden Zugriff *AccountB* konfiguriert ist.
Diese zweite Rolle muss nicht nur Zugriff auf den Amazon S3 S3-Bucket haben*AccountA*, sie muss auch eine Richtlinie enthalten, die den Zugriff auf die CodeDeploy Ressourcen ermöglicht, und eine Vertrauensbeziehungsrichtlinie, die es der CodePipeline Servicerolle ermöglicht, die Rolle *AccountA* zu übernehmen.
**Anmerkung**
Diese Richtlinien sind spezifisch für die Einrichtung von CodeDeploy Ressourcen, die in einer Pipeline verwendet werden sollen, die mit einem anderen AWS Konto erstellt wurde. Für andere AWS Ressourcen sind Richtlinien erforderlich, die auf ihre jeweiligen Ressourcenanforderungen zugeschnitten sind.
**Um eine Richtlinie für die Amazon EC2 EC2-Instance-Rolle zu erstellen, die für CodeDeploy (Konsole) konfiguriert ist**
1. Melden Sie sich bei AWS-Managementkonsole with an *AccountB* und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Wählen Sie in der Rollenliste unter **Rollenname den Namen** der Servicerolle aus, die als Amazon EC2 EC2-Instance-Rolle für die CodeDeploy Anwendung verwendet wird. Der Rollenname kann unterschiedlich sein. Von einer Bereitstellungsgruppe kann mehr als eine Instance-Rolle verwendet werden. Weitere Informationen finden Sie unter [Erstellen eines IAM-Instance-Profils für Ihre Amazon EC2 EC2-Instances](https://docs.aws.amazon.com/codedeploy/latest/userguide/how-to-create-iam-instance-profile.html).
1. Wählen Sie in der Registerkarte **Permissions (Berechtigungen)** die Option **Add inline policy (Inline-Richtlinie hinzufügen)**.
1. Wählen Sie die Registerkarte **JSON** und geben Sie die folgende Richtlinie ein, um Zugriff auf den Amazon S3 S3-Bucket zu gewähren, der *AccountA* zum Speichern von Artefakten für Pipelines verwendet wird (in diesem Beispiel*codepipeline-us-east-2-1234567890*):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
------
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter **Name** einen Namen für diese Richtlinie ein. Wählen Sie **Richtlinie erstellen** aus.
1. Erstellen Sie eine zweite Richtlinie dafür AWS KMS , wo ***arn:aws:kms:us-east-1:012ID\$1ACCOUNT\$1A:key/2222222-3333333-4444-556677EXAMPLE*** sich der ARN des vom Kunden verwalteten Schlüssels befindet, in dem erstellt *AccountA* und konfiguriert ist, dass er verwendet werden kann*AccountB*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/2222222-3333333-4444-556677EXAMPLE"
]
}
]
}
```
------
**Wichtig**
Sie müssen die Konto-ID von *AccountA* in dieser Richtlinie als Teil des Ressourcen-ARN für den AWS KMS Schlüssel verwenden, wie hier gezeigt, sonst funktioniert die Richtlinie nicht.
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter **Name** einen Namen für diese Richtlinie ein. Wählen Sie **Richtlinie erstellen** aus.
Erstellen Sie nun eine IAM-Rolle, die für den kontoübergreifenden Zugriff verwendet werden soll, und konfigurieren Sie sie so, dass die CodePipeline Servicerolle in diese Rolle übernehmen *AccountA* kann. Diese Rolle muss Richtlinien enthalten, die den Zugriff auf die CodeDeploy Ressourcen und den Amazon S3 S3-Bucket ermöglichen, in dem Artefakte gespeichert werden*AccountA*.
**Um die kontoübergreifende Rolle in IAM zu konfigurieren**
1. [Melden Sie sich bei with an *AccountB* und öffnen Sie die IAM-Konsole unter /iam. AWS-Managementkonsole https://console.aws.amazon.com](https://console.aws.amazon.com/iam)
1. Wählen Sie im Navigationsbereich **Rollen** aus. Wählen Sie **Create role** (Rolle erstellen) aus.
1. Wählen Sie unter **Typ der vertrauenswürdigen Entität auswählen** die Option **Weiteres AWS -Konto** aus. **Geben Sie unter Konten angeben, die diese Rolle verwenden können**, im Feld **Konto-ID** die AWS Konto-ID für das Konto ein, mit dem die Pipeline erstellt werden soll, in CodePipeline (*AccountA*), und wählen Sie dann **Weiter**: Berechtigungen aus.
**Wichtig**
In diesem Schritt wird die Vertrauensstellungsrichtlinie zwischen *AccountB* und erstellt*AccountA*. Dadurch wird jedoch Zugriff auf das Konto auf Root-Ebene gewährt, und es wird CodePipeline empfohlen, diesen Zugriff auf die CodePipeline Servicerolle in zu beschränken. *AccountA* Folgen Sie Schritt 16, um die Berechtigungen einzuschränken.
1. Wählen **Sie unter Richtlinien zum Anhängen von Berechtigungen** die **Option ReadOnlyAccess AmazonS3** und dann **Weiter:** Tags aus.
**Anmerkung**
Dies ist nicht die Richtlinie, die Sie verwenden werden. Sie müssen eine Richtlinie auswählen, um den Assistenten abzuschließen.
1. Wählen Sie **Weiter: Prüfen** aus. Geben Sie im Feld Rollenname einen **Namen für diese Rolle** ein (z. B.*CrossAccount\$1Role*). Sie können dieser Rolle einen beliebigen Namen geben, solange sie den Benennungskonventionen in IAM entspricht. Geben Sie der Rolle einen Namen, der ihren Zweck eindeutig beschreibt. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie aus der Rollenliste die Rolle aus, die Sie gerade erstellt haben (z. B.*CrossAccount\$1Role*), um die **Übersichtsseite** für diese Rolle zu öffnen.
1. Wählen Sie in der Registerkarte **Permissions (Berechtigungen)** die Option **Add inline policy (Inline-Richtlinie hinzufügen)**.
1. Wählen Sie die Registerkarte **JSON** und geben Sie die folgende Richtlinie ein, um den Zugriff auf CodeDeploy Ressourcen zu gewähren:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codedeploy:CreateDeployment",
"codedeploy:GetDeployment",
"codedeploy:GetDeploymentConfig",
"codedeploy:GetApplicationRevision",
"codedeploy:RegisterApplicationRevision"
],
"Resource": "*"
}
]
}
```
------
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter **Name** einen Namen für diese Richtlinie ein. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie in der Registerkarte **Permissions (Berechtigungen)** die Option **Add inline policy (Inline-Richtlinie hinzufügen)**.
1. Wählen Sie die Registerkarte **JSON** und geben Sie die folgende Richtlinie ein, damit diese Rolle Eingabeartefakte aus dem Amazon S3 S3-Bucket abrufen und Ausgabeartefakte in diesen ablegen kann*AccountA*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject*",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter **Name** einen Namen für diese Richtlinie ein. Wählen Sie **Richtlinie erstellen** aus.
1. Suchen Sie auf der Registerkarte **Berechtigungen** ReadOnlyAccess in der Liste der **Richtlinien unter Richtlinienname** nach **AmazonS3** und wählen Sie das Löschsymbol (**X**) neben der Richtlinie aus. Wählen Sie nach Aufforderung **Detach** aus.
1. Wählen Sie die Registerkarte **Vertrauensverhältnis** und dann **Vertrauensrichtlinie bearbeiten** aus. Wählen Sie in der linken Spalte die Option **Principal hinzufügen** aus. Wählen Sie für **Principal Type** die Option **IAM-Rollen** aus, und geben Sie dann den ARN für die CodePipeline Servicerolle in *AccountA* ein. Entfernen Sie es `arn:aws:iam::Account_A:root` aus der Liste für **AWS Principals** und wählen Sie dann **Update** policy aus.
## Schritt 2: Bearbeiten der Pipeline
Sie können die CodePipeline Konsole nicht verwenden, um eine Pipeline zu erstellen oder zu bearbeiten, die Ressourcen verwendet, die mit einem anderen AWS Konto verknüpft sind. Sie können jedoch die Konsole verwenden, um die allgemeine Struktur der Pipeline zu erstellen und dann die Pipeline AWS CLI zu bearbeiten und diese Ressourcen hinzuzufügen. Alternativ können Sie die Struktur einer vorhandenen Pipeline verwenden und dieser die Ressourcen manuell hinzufügen.
**Um die Ressourcen hinzuzufügen, die einem anderen AWS Konto zugeordnet sind (AWS CLI)**
1. Führen Sie an einem Terminal (Linux, macOS oder Unix) oder einer Befehlszeile (Windows) den **get-pipeline** Befehl für die Pipeline aus, zu der Sie Ressourcen hinzufügen möchten. Kopieren Sie die Ausgabe des Befehls in eine JSON-Datei. Für eine Pipeline mit dem Namen MyFirstPipeline geben Sie beispielsweise Folgendes ein:
```
aws codepipeline get-pipeline --name MyFirstPipeline >pipeline.json
```
Die Ausgabe wird an die Datei *pipeline.json* gesendet.
1. Öffnen Sie die JSON-Datei in einem beliebigen Texteditor. Fügen Sie anschließend `"type": "S3"` im Artefaktspeicher den KMS-Verschlüsselungsschlüssel, die ID und die Typinformationen hinzu. Dabei *codepipeline-us-east-2-1234567890* handelt es sich um den Namen des Amazon S3 S3-Buckets, der zum Speichern von Artefakten für die Pipeline verwendet wird, und ***arn:aws:kms:us-east-1:012ID\$1ACCOUNT\$1A:key/2222222-3333333-4444-556677EXAMPLE*** um den ARN des vom Kunden verwalteten Schlüssels, den Sie gerade erstellt haben:
```
{
"artifactStore”: {
"location": "codepipeline-us-east-2-1234567890",
"type": "S3",
"encryptionKey": {
"id": "arn:aws:kms:us-east-1:012ID_ACCOUNT_A:key/2222222-3333333-4444-556677EXAMPLE",
"type": "KMS"
}
},
```
1. Fügen Sie in einer Phase eine Bereitstellungsaktion hinzu, um die zugehörigen CodeDeploy Ressourcen zu verwenden*AccountB*, einschließlich der `roleArn` Werte für die von Ihnen erstellte kontenübergreifende Rolle (). *CrossAccount\$1Role*
Das folgende Beispiel zeigt JSON, das eine Bereitstellungsaktion mit dem Namen *ExternalDeploy* hinzufügt. Es verwendet die CodeDeploy Ressourcen, die *AccountB* in einer Phase mit dem Namen erstellt wurden*Staging*. Im folgenden Beispiel *AccountB* lautet der ARN für*012ID\$1ACCOUNT\$1B*:
```
,
{
"name": "Staging",
"actions": [
{
"inputArtifacts": [
{
"name": "MyAppBuild"
}
],
"name": "ExternalDeploy",
"actionTypeId": {
"category": "Deploy",
"owner": "AWS",
"version": "1",
"provider": "CodeDeploy"
},
"outputArtifacts": [],
"configuration": {
"ApplicationName": "AccountBApplicationName",
"DeploymentGroupName": "AccountBApplicationGroupName"
},
"runOrder": 1,
"roleArn": "arn:aws:iam::012ID_ACCOUNT_B:role/CrossAccount_Role"
}
]
}
```
**Anmerkung**
Dies ist nicht der JSON-Code für die gesamte Pipeline. Es handelt sich nur um die Struktur für die Aktion in einer Stufe.
1. Sie müssen die `metadata`-Zeilen aus der Datei entfernen, damit der Befehl **update-pipeline** sie verwenden kann. Entfernen Sie den Abschnitt aus der Pipeline-Struktur in der JSON-Datei (die `"metadata": { }`-Zeilen und die Fehler `"created"`, `"pipelineARN"` und `"updated"`).
Entfernen Sie z. B. die folgenden Zeilen aus der Struktur:
```
"metadata": {
"pipelineArn": "arn:aws:codepipeline:region:account-ID:pipeline-name",
"created": "date",
"updated": "date"
}
```
Speichern Sie die Datei.
1. Führen Sie den Befehl **update-pipeline** aus, um die Änderungen zu übernehmen. Geben Sie die Pipeline-JSON-Datei dabei folgendermaßen an:
**Wichtig**
Achten Sie darauf, dass `file://` vor dem Dateinamen steht. Dies ist bei diesem Befehl erforderlich.
```
aws codepipeline update-pipeline --cli-input-json file://pipeline.json
```
Dieser Befehl gibt die gesamte Struktur der bearbeiteten Pipeline zurück.
**Um die Pipeline zu testen, die Ressourcen verwendet, die einem anderen AWS Konto zugeordnet sind**
1. Führen Sie den Befehl an einem Terminal (Linux, macOS oder Unix) oder einer **start-pipeline-execution** Befehlszeile (Windows) aus und geben Sie den Namen der Pipeline an, ähnlich wie im Folgenden:
```
aws codepipeline start-pipeline-execution --name MyFirstPipeline
```
Weitere Informationen finden Sie unter [Manuelles Starten einer Pipeline](pipelines-rerun-manually.md).
1. Melden Sie sich AWS-Managementkonsole mit an *AccountA* und öffnen Sie die CodePipeline Konsole unter [http://console.aws.amazon. com/codesuite/codepipeline/home](https://console.aws.amazon.com/codesuite/codepipeline/home).
Die Namen aller mit Ihrem AWS Konto verknüpften Pipelines werden angezeigt.
1. Wählen Sie im Feld **Name** den Namen der Pipeline, die Sie soeben bearbeitet haben. Auf diese Weise wird eine detaillierte Ansicht der Pipeline geöffnet (einschließlich des Status der einzelnen Aktionen in den einzelnen Stufen der Pipeline).
1. Sehen Sie sich den Fortschritt in der Pipeline an. Warten Sie auf eine Erfolgsmeldung für die Aktion, die die mit einem anderen AWS Konto verknüpfte Ressource verwendet.
**Anmerkung**
Sie erhalten eine Fehlermeldung, wenn Sie versuchen, Details für die Aktion anzuzeigen, während Sie angemeldet sind*AccountA*. Melden Sie sich ab und melden Sie sich dann mit an*AccountB*, um die Bereitstellungsdetails einzusehen CodeDeploy.