Ejemplos de políticas basadas en identidad (IAM)

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

Asociar una política de permisos a un usuario o un grupo de su cuenta: para conceder permisos a un usuario para ver canalizaciones en la consola de CodePipeline, puede asociar una política de permisos a un usuario o a un grupo al que pertenezca el usuario.
Adjuntar una política de permisos a un rol (conceder permisos para cuentas cruzadas): puede adjuntar una política de permisos basada en identidades a un rol de IAM para conceder permisos para cuentas cruzadas. Por ejemplo, el administrador de la AccountA puede crear un rol para conceder permisos entre cuentas a otra cuenta de AWS (por ejemplo, a la AccountB) o a un Servicio de AWS, tal y como se indica a continuación:
1. El administrador de la AccountA crea un rol de IAM y asocia una política de permisos a dicho rol, que concede permisos sobre los recursos de la AccountA.
2. El administrador de la AccountA asocia una política de confianza al rol que identifica la AccountB como la entidad principal que puede asumir el rol.
3. A continuación, el administrador de la cuenta B puede delegar permisos para asumir el rol a cualquier usuario de la cuenta B. De este modo, los usuarios de la cuenta B podrán crear recursos y obtener acceso a ellos en la cuenta A. La entidad principal de la política de confianza también puede ser la entidad principal de un Servicio de AWS si desea conceder permisos para asumir el rol a un Servicio de AWS.
Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.

A continuación, se muestra un ejemplo de una política de permisos que permite a un usuario habilitar y deshabilitar todas las transiciones entre las etapas de la canalización llamada MyFirstPipeline en la us-west-2 region:

En el siguiente ejemplo, se muestra una política de la cuenta 111222333444 que permite a los usuarios ver (pero no cambiar) la canalización llamada MyFirstPipeline en la consola de CodePipeline. Esta política se basa en la política administrada AWSCodePipeline_ReadOnlyAccess, pero como es específica de la canalización MyFirstPipeline, no puede usar la política administrada directamente. Si no desea restringir la política a una canalización específica, considere la posibilidad de usar una de las políticas administradas que CodePipeline crea y mantiene. Para obtener más información, consulte Uso de políticas administradas. Debe asociar esta política a un rol de IAM que cree para obtener acceso (por ejemplo, a un rol denominado CrossAccountPipelineViewers:

JSON


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "codepipeline:GetPipeline",
        "codepipeline:GetPipelineState",
        "codepipeline:GetPipelineExecution",
        "codepipeline:ListPipelineExecutions",
        "codepipeline:ListActionExecutions",
        "codepipeline:ListActionTypes",
        "codepipeline:ListPipelines",
        "codepipeline:ListTagsForResource",
        "iam:ListRoles",
        "s3:ListAllMyBuckets",
        "codecommit:ListRepositories",
        "codedeploy:ListApplications",
        "lambda:ListFunctions",
        "codestar-notifications:ListNotificationRules",
        "codestar-notifications:ListEventTypes",
        "codestar-notifications:ListTargets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline"
    },
    {
      "Action": [
        "codepipeline:GetPipeline",
        "codepipeline:GetPipelineState",
        "codepipeline:GetPipelineExecution",
        "codepipeline:ListPipelineExecutions",
        "codepipeline:ListActionExecutions",
        "codepipeline:ListActionTypes",
        "codepipeline:ListPipelines",
        "codepipeline:ListTagsForResource",
        "iam:ListRoles",
        "s3:GetBucketPolicy",
        "s3:GetObject",
        "s3:ListBucket",
        "codecommit:ListBranches",
        "codedeploy:GetApplication",
        "codedeploy:GetDeploymentGroup",
        "codedeploy:ListDeploymentGroups",
        "elasticbeanstalk:DescribeApplications",
        "elasticbeanstalk:DescribeEnvironments",
        "lambda:GetFunctionConfiguration",
        "opsworks:DescribeApps",
        "opsworks:DescribeLayers",
        "opsworks:DescribeStacks"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "CodeStarNotificationsReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "codestar-notifications:DescribeNotificationRule"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "codestar-notifications:NotificationsForResource": "arn:aws:iam::*:role/Service*"
        }
      }
    }
  ]
}

Después de crear esta política, cree el rol de IAM en la cuenta 111222333444 y asocie la política a ese rol. En las relaciones de confianza del rol, añada la cuenta de AWS que asumirá este rol. El siguiente ejemplo muestra una política que permite a los usuarios de la cuenta 111111111111 de AWS asumir funciones definidas en la cuenta 111222333444:

El siguiente ejemplo muestra una política creada en la AWS cuenta 111111111111 de que permite a los usuarios asumir el rol denominado CrossAccountPipelineViewers en la cuenta 111222333444:

Puede crear políticas de IAM específicas para restringir las llamadas y los recursos a los que los usuarios de su cuenta tienen acceso y, a continuación, asociar esas políticas al usuario administrativo. Para obtener más información sobre cómo crear roles de IAM y para ver instrucciones de políticas de IAM de ejemplo para CodePipeline, consulte Ejemplos de políticas administradas por el cliente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo permitir a los usuarios consultar sus propios permisos

Uso de etiquetas para controlar el acceso a los recursos de CodePipeline