Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kelola peran CodePipeline layanan
<a name="how-to-custom-role"></a>

Peran layanan dikonfigurasi dengan satu atau beberapa kebijakan yang mengontrol akses ke AWS sumber daya yang digunakan oleh pipeline. Anda mungkin ingin melampirkan kebijakan lainnya ke peran ini, mengedit kebijakan yang dilampirkan pada peran, atau mengonfigurasi kebijakan untuk peran layanan lainnya AWS. Anda mungkin juga ingin melampirkan kebijakan ke peran saat mengonfigurasi akses lintas akun ke pipeline Anda.

**penting**  
Memodifikasi pernyataan kebijakan atau melampirkan kebijakan lain ke peran tersebut dapat mencegah jaringan pipa Anda berfungsi. Pastikan Anda memahami implikasinya sebelum memodifikasi peran layanan dengan cara apa pun. Pastikan Anda menguji pipeline Anda setelah Anda membuat perubahan apa pun pada peran layanan.

**catatan**  
Di konsol, peran layanan yang dibuat sebelum September 2018 dibuat dengan nama`oneClick_AWS-CodePipeline-Service_ID-Number`.  
Peran layanan yang dibuat setelah September 2018 menggunakan format nama peran layanan`AWSCodePipelineServiceRole-Region-Pipeline_Name`. Misalnya, untuk pipeline bernama `MyFirstPipeline` in`eu-west-2`, konsol menamai peran dan kebijakan tersebut`AWSCodePipelineServiceRole-eu-west-2-MyFirstPipeline`.

## CodePipeline kebijakan peran layanan
<a name="how-to-custom-role-policy"></a>

Pernyataan kebijakan peran CodePipeline layanan berisi izin minimum untuk mengelola saluran pipa. Anda dapat mengedit pernyataan peran layanan untuk menghapus atau menambahkan akses ke sumber daya yang tidak Anda gunakan. Lihat referensi tindakan yang sesuai untuk CodePipeline penggunaan izin minimum yang diperlukan untuk setiap tindakan.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowS3BucketAccess",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketVersioning",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::[[pipeArtifactBucketNames]]"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "{{accountId}}"
        }
      }
    },
    {
      "Sid": "AllowS3ObjectAccess",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:PutObjectTagging",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": [
        "arn:aws:s3:::[[pipeArtifactBucketNames]]/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "{{accountId}}"
        }
      }
    }
  ]
}
```

------

**catatan**  
Dalam kebijakan tersebut, izin berikut diperlukan saat objek S3 di bucket sumber Anda memiliki tag di dalamnya:   

```
s3:PutObjectTagging
s3:GetObjectTagging
s3:GetObjectVersionTagging
```

## Hapus izin dari peran CodePipeline layanan
<a name="remove-permissions-from-policy"></a>

Anda dapat mengedit pernyataan peran layanan untuk menghapus akses ke sumber daya yang tidak Anda gunakan. Misalnya, jika tidak ada pipeline yang menyertakan Elastic Beanstalk, Anda dapat mengedit pernyataan kebijakan untuk menghapus bagian yang memberikan akses ke sumber daya Elastic Beanstalk.

Demikian pula, jika tidak ada pipeline yang disertakan CodeDeploy, Anda dapat mengedit pernyataan kebijakan untuk menghapus bagian yang memberikan akses ke CodeDeploy sumber daya:

```
    {
    "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetApplicationRevision",
        "codedeploy:GetDeployment",
        "codedeploy:GetDeploymentConfig",
        "codedeploy:RegisterApplicationRevision"
    ],
    "Resource": "*",
    "Effect": "Allow"
},
```

## Menambahkan izin ke peran CodePipeline layanan
<a name="how-to-update-role-new-services"></a>

Anda harus memperbarui pernyataan kebijakan peran layanan dengan izin untuk pernyataan kebijakan peran layanan default yang Layanan AWS belum disertakan dalam pernyataan kebijakan peran layanan default sebelum dapat menggunakannya di pipeline Anda.

Hal ini sangat penting jika peran layanan yang Anda gunakan untuk pipeline Anda dibuat sebelum dukungan ditambahkan ke untuk. Layanan AWS

Tabel berikut menunjukkan kapan dukungan ditambahkan untuk lainnya Layanan AWS. 


****  

| Layanan AWS | CodePipeline tanggal dukungan | 
| --- | --- | 
| CodePipeline memanggil dukungan tindakan ditambahkan. Lihat [Izin kebijakan peran layanan untuk tindakan CodePipeline pemanggilan](action-reference-PipelineInvoke.md#action-reference-PipelineInvoke-permissions-action). | Maret 14, 2025 | 
|  EC2dukungan tindakan ditambahkan. Lihat [Izin kebijakan peran layanan untuk tindakan penerapan EC2](action-reference-EC2Deploy.md#action-reference-EC2Deploy-permissions-action). | Februari 21, 2025 | 
|  EKSdukungan tindakan ditambahkan. Lihat [Izin kebijakan peran layanan](action-reference-EKS.md#action-reference-EKS-service-role). | Februari 20, 2025 | 
|  Dukungan ECRBuildAndPublish tindakan Amazon Elastic Container Registry ditambahkan. Lihat [Izin peran layanan: tindakan `ECRBuildAndPublish`](action-reference-ECRBuildAndPublish.md#edit-role-ECRBuildAndPublish). | November 22, 2024 | 
| Dukungan InspectorScan tindakan Amazon Inspector ditambahkan. Lihat [Izin peran layanan: tindakan `InspectorScan`](action-reference-InspectorScan.md#edit-role-InspectorScan). | November 22, 2024 | 
| Dukungan tindakan perintah ditambahkan. Lihat [Izin peran layanan: Tindakan perintah](action-reference-Commands.md#edit-role-Commands). | Oktober 03, 2024 | 
| CloudFormation dukungan tindakan ditambahkan. Lihat [Izin peran layanan: tindakan `CloudFormationStackSet`](action-reference-StackSets.md#edit-role-cfn-stackset) dan [Izin peran layanan: tindakan `CloudFormationStackInstances`](action-reference-StackSets.md#edit-role-cfn-stackinstances). | 30 Desember 2020 | 
| CodeCommit dukungan aksi format artefak keluaran klon penuh ditambahkan. Lihat [Izin peran layanan: tindakan CodeCommit](action-reference-CodeCommit.md#edit-role-codecommit). | 11 November 2020 | 
| AWS CodeBuild batch membangun dukungan tindakan ditambahkan. Lihat [Izin peran layanan: tindakan CodeCommit](action-reference-CodeCommit.md#edit-role-codecommit). | 30 Juli 2020 | 
| AWS AppConfig dukungan tindakan ditambahkan. Lihat [Izin peran layanan: tindakan `AppConfig`](action-reference-AppConfig.md#edit-role-appconfig). | 22 Juni 2020 | 
| AWS Step Functions dukungan tindakan ditambahkan. Lihat [Izin peran layanan: tindakan `StepFunctions`](action-reference-StepFunctions.md#edit-role-stepfunctions). | 27 Mei 2020 | 
| AWS CodeStar Dukungan tindakan koneksi ditambahkan. Lihat [Izin peran layanan: tindakan CodeConnections](action-reference-CodestarConnectionSource.md#edit-role-connections). | 18 Desember 2019 | 
| Dukungan tindakan penerapan S3 ditambahkan. Lihat [Izin peran layanan: Tindakan penerapan S3](action-reference-S3Deploy.md#edit-role-s3deploy). | 16 Januari 2019 | 
| Dukungan CodeDeployToECS tindakan tindakan ditambahkan. Lihat [Izin peran layanan: tindakan `CodeDeployToECS`](action-reference-ECSbluegreen.md#edit-role-codedeploy-ecs). | 27 November 2018 | 
| Dukungan tindakan Amazon ECR ditambahkan. Lihat [Izin peran layanan: Tindakan Amazon ECR](action-reference-ECR.md#edit-role-ecr). | 27 November 2018 | 
| Dukungan tindakan Service Catalog ditambahkan. Lihat [Izin peran layanan: Tindakan Service Catalog](action-reference-ServiceCatalog.md#edit-role-servicecatalog). | 16 Oktober 2018 | 
| AWS Device Farm dukungan tindakan ditambahkan. Lihat [Izin peran layanan: tindakan AWS Device Farm](action-reference-DeviceFarm.md#edit-role-devicefarm). | 19 Juli 2018 | 
| Dukungan tindakan Amazon ECS ditambahkan. Lihat [Izin peran layanan: Tindakan standar Amazon ECS](action-reference-ECS.md#edit-role-ecs). | 12 Desember 2017/Pembaruan untuk memilih untuk menandai otorisasi pada 21 Juli 2017 | 
| CodeCommit dukungan tindakan ditambahkan. Lihat [Izin peran layanan: tindakan CodeCommit](action-reference-CodeCommit.md#edit-role-codecommit). | 18 April 2016 | 
| AWS OpsWorks dukungan tindakan ditambahkan. Lihat [Izin peran layanan: tindakan AWS OpsWorks](action-reference-OpsWorks.md#edit-role-opsworks). | Juni 2, 2016 | 
| CloudFormation dukungan tindakan ditambahkan. Lihat [Izin peran layanan: tindakan CloudFormation](action-reference-CloudFormation.md#edit-role-cloudformation). | Selasa, 3 November 2016 | 
| AWS CodeBuild dukungan tindakan ditambahkan. Lihat [Izin peran layanan: tindakan CodeBuild](action-reference-CodeBuild.md#edit-role-codebuild). | 1 Desember 2016 | 
| Dukungan aksi Elastic Beanstalk ditambahkan. Lihat [Izin peran layanan: tindakan `ElasticBeanstalk` penerapan](action-reference-Beanstalk.md#edit-role-beanstalk). | Peluncuran layanan awal | 
| CodeDeploy dukungan tindakan ditambahkan. Lihat [Izin peran layanan: tindakan AWS CodeDeploy](action-reference-CodeDeploy.md#edit-role-codedeploy). | Peluncuran layanan awal | 
| Dukungan tindakan sumber S3 ditambahkan. Lihat [Izin peran layanan: Tindakan sumber S3](action-reference-S3.md#edit-role-s3source). | Peluncuran layanan awal | 

Ikuti langkah-langkah berikut untuk menambahkan izin untuk layanan yang didukung:

 

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di konsol IAM, di panel navigasi, pilih **Peran**, lalu pilih `AWS-CodePipeline-Service` peran Anda dari daftar peran.

1. Pada tab **Izin**, di Kebijakan **sebaris, di baris kebijakan** peran layanan Anda, pilih **Edit** Kebijakan.

1. Tambahkan izin yang diperlukan di kotak **Dokumen kebijakan**. 
**catatan**  
Saat Anda membuat kebijakan IAM, ikuti saran keamanan standar untuk memberikan hak istimewa paling sedikit—yaitu, hanya memberikan izin yang diperlukan untuk melakukan tugas. Beberapa panggilan API mendukung izin berbasis sumber daya dan memungkinkan akses dibatasi. Misalnya, dalam hal ini, untuk membatasi izin saat memanggil `DescribeTasks` dan`ListTasks`, Anda dapat mengganti karakter wildcard (\$1) dengan ARN sumber daya atau dengan ARN sumber daya yang berisi karakter wildcard (\$1). Untuk informasi selengkapnya tentang membuat kebijakan yang memberikan akses hak istimewa paling sedikit, lihat. [https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)

1. Pilih **Kebijakan tinjau** untuk memastikan kebijakan tidak mengandung kesalahan. Jika kebijakan bebas dari kesalahan, pilih **Terapkan** kebijakan.