Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestisci il ruolo CodePipeline di servizio
Il ruolo di servizio è configurato con una o più politiche che controllano l'accesso alle AWS risorse utilizzate dalla pipeline. Potresti voler allegare più politiche a questo ruolo, modificare la politica associata al ruolo o configurare politiche per altri ruoli di servizio in AWS. Potrebbe inoltre essere necessario collegare una policy a un ruolo durante la configurazione dell'accesso tra più account alla pipeline.
**Importante**
Modificando una dichiarazione di policy o collegando un'altra policy al ruolo può impedire il funzionamento delle pipeline. Assicurati di comprendere le implicazioni prima di modificare in qualsiasi modo il ruolo del servizio per . Assicurati di testare le pipeline dopo aver apportato eventuali modifiche al ruolo del servizio.
**Nota**
Nella console, i ruoli del servizio creati prima di settembre 2018 vengono creati con il nome `oneClick_AWS-CodePipeline-Service_ID-Number`.
I ruoli del servizio creati dopo settembre 2018 utilizzano il formato del nome del ruolo del servizio `AWSCodePipelineServiceRole-Region-Pipeline_Name`. Ad esempio, per una pipeline denominata `MyFirstPipeline` in`eu-west-2`, la console assegna un nome al ruolo e alla policy`AWSCodePipelineServiceRole-eu-west-2-MyFirstPipeline`.
## CodePipeline politica del ruolo di servizio
La dichiarazione sulla politica del ruolo del CodePipeline servizio contiene le autorizzazioni minime per la gestione delle pipeline. È possibile modificare l'istruzione del ruolo di servizio per rimuovere o aggiungere l'accesso alle risorse che non si utilizzano. Consulta il riferimento all'azione appropriata per le autorizzazioni minime richieste da CodePipeline utilizzare per ogni azione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:GetBucketVersioning",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::[[pipeArtifactBucketNames]]"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "AllowS3ObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::[[pipeArtifactBucketNames]]/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
}
]
}
```
------
**Nota**
Nella policy, le seguenti autorizzazioni sono richieste quando gli oggetti S3 nel bucket di origine contengono tag:
```
s3:PutObjectTagging
s3:GetObjectTagging
s3:GetObjectVersionTagging
```
## Rimuovi le autorizzazioni dal ruolo di servizio CodePipeline
Puoi modificare la dichiarazione del ruolo del servizio per rimuovere l'accesso alle risorse non utilizzate. Ad esempio, se nessuna delle tue pipeline include Elastic Beanstalk, puoi modificare l'informativa per rimuovere la sezione che concede l'accesso alle risorse Elastic Beanstalk.
Allo stesso modo, se nessuna delle tue pipeline include CodeDeploy, puoi modificare l'informativa per rimuovere la sezione che concede l'accesso alle risorse: CodeDeploy
```
{
"Action": [
"codedeploy:CreateDeployment",
"codedeploy:GetApplicationRevision",
"codedeploy:GetDeployment",
"codedeploy:GetDeploymentConfig",
"codedeploy:RegisterApplicationRevision"
],
"Resource": "*",
"Effect": "Allow"
},
```
## Aggiungi le autorizzazioni al ruolo di servizio CodePipeline
È necessario aggiornare la dichiarazione sulla politica del ruolo di servizio con le autorizzazioni relative a un ruolo di servizio Servizio AWS non ancora incluso nella dichiarazione di politica del ruolo di servizio predefinita prima di poterla utilizzare nelle pipeline.
Ciò è particolarmente importante se il ruolo di servizio che utilizzi per le tue pipeline è stato creato prima dell'aggiunta del supporto per un. Servizio AWS
La tabella seguente mostra quando è stato aggiunto il supporto per altri Servizi AWS.
****
| Servizio AWS | CodePipeline data di supporto |
| --- | --- |
| CodePipeline è stato aggiunto il supporto all'azione di invoca. Per informazioni, consulta [Autorizzazioni relative alla policy del ruolo di servizio per l'azione di richiamo CodePipeline](action-reference-PipelineInvoke.md#action-reference-PipelineInvoke-permissions-action). | 14 marzo 2025 |
| EC2supporto per le azioni aggiunto. Per informazioni, consulta [Autorizzazioni relative alla policy del ruolo di servizio per l'azione di implementazione di EC2](action-reference-EC2Deploy.md#action-reference-EC2Deploy-permissions-action). | 21 febbraio 2025 |
| EKSsupporto per le azioni aggiunto. Per informazioni, consulta [Autorizzazioni relative alla politica del ruolo di servizio](action-reference-EKS.md#action-reference-EKS-service-role). | 20 febbraio 2025 |
| È stato aggiunto il supporto per le ECRBuildAndPublish azioni di Amazon Elastic Container Registry. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione `ECRBuildAndPublish`](action-reference-ECRBuildAndPublish.md#edit-role-ECRBuildAndPublish). | 22 novembre 2024 |
| È stato aggiunto il supporto per le InspectorScan azioni di Amazon Inspector. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione `InspectorScan`](action-reference-InspectorScan.md#edit-role-InspectorScan). | 22 novembre 2024 |
| È stato aggiunto il supporto all'azione dei comandi. Per informazioni, consulta [Autorizzazioni del ruolo di servizio: azione dei comandi](action-reference-Commands.md#edit-role-Commands). | 03 ottobre 2024 |
| CloudFormation supporto all'azione aggiunto. Consulta [Autorizzazioni per i ruoli di servizio: azione `CloudFormationStackSet`](action-reference-StackSets.md#edit-role-cfn-stackset) e [Autorizzazioni per i ruoli di servizio: azione `CloudFormationStackInstances`](action-reference-StackSets.md#edit-role-cfn-stackinstances). | 30 dicembre 2020 |
| CodeCommit è stato aggiunto il supporto completo per l'azione in formato artefatto di output clone. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione CodeCommit](action-reference-CodeCommit.md#edit-role-codecommit). | 11 novembre 2020 |
| AWS CodeBuild è stato aggiunto il supporto per le azioni di creazione in batch. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione CodeCommit](action-reference-CodeCommit.md#edit-role-codecommit). | 30 luglio 2020 |
| AWS AppConfig supporto per le azioni aggiunto. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione `AppConfig`](action-reference-AppConfig.md#edit-role-appconfig). | 22 giugno 2020 |
| AWS Step Functions supporto per le azioni aggiunto. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione `StepFunctions`](action-reference-StepFunctions.md#edit-role-stepfunctions). | 27 maggio 2020 |
| AWS CodeStar Aggiunto il supporto per le azioni di connessione. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione CodeConnections](action-reference-CodestarConnectionSource.md#edit-role-connections). | 18 dicembre 2019 |
| È stato aggiunto il supporto per le azioni di implementazione di S3. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: S3 deploy action](action-reference-S3Deploy.md#edit-role-s3deploy). | 16 gennaio 2019 |
| È stato aggiunto il supporto per le CodeDeployToECS azioni. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione `CodeDeployToECS`](action-reference-ECSbluegreen.md#edit-role-codedeploy-ecs). | 27 novembre 2018 |
| È stato aggiunto il supporto per le azioni Amazon ECR. Per informazioni, consulta [Autorizzazioni per ruoli di servizio: azione Amazon ECR](action-reference-ECR.md#edit-role-ecr). | 27 novembre 2018 |
| È stato aggiunto il supporto per l'azione Service Catalog. Per informazioni, consulta [Autorizzazioni del ruolo di servizio: azione Service Catalog](action-reference-ServiceCatalog.md#edit-role-servicecatalog). | 16 ottobre 2018 |
| AWS Device Farm è stato aggiunto il supporto per le azioni. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione AWS Device Farm](action-reference-DeviceFarm.md#edit-role-devicefarm). | 19 luglio 2018 |
| È stato aggiunto il supporto per le azioni di Amazon ECS. Per informazioni, consulta [Autorizzazioni per ruoli di servizio: azione standard di Amazon ECS](action-reference-ECS.md#edit-role-ecs). | 12 dicembre 2017 /Aggiornamento per l'attivazione dell'autorizzazione all'aggiunta di tag il 21 luglio 2017 |
| CodeCommit supporto all'azione aggiunto. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione CodeCommit](action-reference-CodeCommit.md#edit-role-codecommit). | 18 Aprile 2016 |
| AWS OpsWorks supporto per le azioni aggiunto. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione AWS OpsWorks](action-reference-OpsWorks.md#edit-role-opsworks). | 2 giugno 2016 |
| CloudFormation supporto per le azioni aggiunto. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione CloudFormation](action-reference-CloudFormation.md#edit-role-cloudformation). | 3 Novembre 2016 |
| AWS CodeBuild supporto per le azioni aggiunto. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione CodeBuild](action-reference-CodeBuild.md#edit-role-codebuild). | 1° dicembre 2016 |
| È stato aggiunto il supporto all'azione Elastic Beanstalk. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: distribuisci l'azione `ElasticBeanstalk`](action-reference-Beanstalk.md#edit-role-beanstalk). | Avvio iniziale del servizio |
| CodeDeploy supporto all'azione aggiunto. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: azione AWS CodeDeploy](action-reference-CodeDeploy.md#edit-role-codedeploy). | Avvio iniziale del servizio |
| Aggiunto il supporto S3 Source Action. Per informazioni, consulta [Autorizzazioni per i ruoli di servizio: S3 source action](action-reference-S3.md#edit-role-s3source). | Avvio iniziale del servizio |
Per aggiungere le autorizzazioni per un servizio supportato, procedi nel seguente modo:
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nella console IAM, nel riquadro di navigazione, scegli **Ruoli**, quindi scegli il tuo `AWS-CodePipeline-Service` ruolo dall'elenco dei ruoli.
1. Nella scheda **Autorizzazioni**, in **Politiche in linea**, nella riga relativa alla politica del ruolo di servizio, scegli **Modifica** politica.
1. Aggiungi le autorizzazioni richieste nella casella del documento **Policy**.
**Nota**
Quando crei policy IAM, segui i consigli di sicurezza standard che prevedono la concessione del privilegio minimo, ovvero la concessione solo delle autorizzazioni necessarie per eseguire un'attività. Alcune chiamate API supportano autorizzazioni basate su risorse e permettono la limitazione degli accessi. Ad esempio, in questo caso, per limitare le autorizzazioni quando si chiamano le operazioni `DescribeTasks` e `ListTasks`, puoi sostituire il carattere jolly (\$1) con un ARN della risorsa o con ARN della risorsa che contiene un carattere jolly (\$1). Per ulteriori informazioni sulla creazione di una policy che garantisca l'accesso con privilegi minimi, consulta. [https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
1. Scegliere **Review policy (Esamina policy)** per accertarsi che la policy non contenga errori. **Quando la politica è priva di errori, scegli Applica politica.**