カスタマーマネージドポリシーの例ポリシーに関するベストプラクティスコンソールを使用する自分の権限の表示をユーザーに許可する

AWS CodeDeploy アイデンティティベースポリシーの例

デフォルトでは、ユーザーには、CodeDeploy リソースを作成または変更するアクセス許可はありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。必要な指定されたリソースに対して API オペレーションを実行するためのアクセス許可を IAM ロールに付与する IAM ポリシーを作成する必要があります。続いて、それらのアクセス許可が必要なユーザーまたはグループにその IAM ロールをアタッチします。

これらの JSON ポリシードキュメント例を使用して IAM のアイデンティティベースのポリシーを作成する方法については、『IAM ユーザーガイド』の「JSON タブでのポリシーの作成」を参照してください。

CodeDeploy 内では、アイデンティティベースのポリシーは、デプロイプロセスに関連するさまざまなリソースに対するアクセス権限を管理するために使用されます。次のリソースタイプへのアクセスをコントロールできます。

アプリケーションおよびアプリケーションリビジョン。
デプロイ。
デプロイ設定。
インスタンスとオンプレミスインスタンス。

リソースポリシーによって制御される機能は、次の表にあるように、リソースタイプによって異なります。

リソースタイプ:	機能
すべて	リソースの詳細の閲覧および一覧表示
アプリケーションデプロイ設定デプロイグループ	リソースの作成リソースの削除
デプロイ	デプロイの作成デプロイの停止
アプリケーションリビジョン	アプリケーションリビジョンの登録
アプリケーションデプロイグループ	更新されたリソース
オンプレミスインスタンス	インスタンスにタグを追加するインスタンスからタグを削除するインスタンスを登録するインスタンスを登録解除する

次の例では、us-west-2 リージョンの WordPress_App という名前のアプリケーションに関連付けられている WordPress_DepGroup という名前のデプロイグループを削除することをユーザーに許可するアクセス許可ポリシーを示しています。

カスタマーマネージドポリシーの例

このセクションでは、さまざまな CodeDeploy アクションのアクセス許可を付与するポリシー例を示しています。これらのポリシーは、CodeDeploy API、 AWS SDK、または AWS CLIを使用しているときに機能します。コンソールで実行するアクションには、追加のアクセス許可を付与する必要があります。コンソールアクセス許可の付与の詳細については、「CodeDeploy コンソールの使用」を参照してください。

注記

例はすべて、米国西部 (オレゴン) リージョン (us-west-2) を使用し、架空のアカウント ID を使用しています。

例

例 1: 単一のリージョンで CodeDeploy オペレーションを実行することを許可する
例 2: 単一のアプリケーションへのリビジョンの登録を許可する
例 3: 単一のデプロイグループへのデプロイの作成を許可する

例 1: 単一のリージョンで CodeDeploy オペレーションを実行することを許可する

次の例では、CodeDeploy オペレーションを us-west-2 リージョンでのみ実行するアクセス許可を付与します。

例 2: 単一のアプリケーションへのリビジョンの登録を許可する

次の例では、us-west-2 リージョンの Test で始まるすべてのアプリケーションのアプリケーションリビジョンを登録するアクセス許可を付与します。

例 3: 単一のデプロイグループへのデプロイの作成を許可する

次の例では、WordPress_App という名前のアプリケーションに関連付けられた WordPress_DepGroup という名前のデプロイグループ用、ThreeQuartersHealthy という名前のカスタムデプロイ構成用、および WordPress_App という名前のアプリケーションに関連付けられたあらゆるアプリケーションリビジョン用のデプロイを作成することを許可します。これらのリソースはすべて us-west-2 リージョンにあります。

ポリシーに関するベストプラクティス

ID ベースのポリシーは、ユーザーのアカウント内の CodeDeploy リソースを誰かが作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与するAWS 管理ポリシーを使用します。これらはで使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、IAM ユーザーガイド の AWS マネージドポリシーまたはジョブ機能のAWS マネージドポリシーを参照してください。
最小特権を適用する – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、IAM ユーザーガイド の IAM でのポリシーとアクセス許可を参照してください。
IAM ポリシーで条件を使用してアクセスをさらに制限する - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションがなどの特定のを通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、IAM ユーザーガイド の IAM JSON ポリシー要素:条件を参照してください。
IAM アクセスアナライザーを使用して IAM ポリシーを検証し、安全で機能的な権限を確保する - IAM アクセスアナライザーは、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、IAM ユーザーガイド の IAM Access Analyzer でポリシーを検証するを参照してください。
多要素認証 (MFA) を要求する – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、IAM ユーザーガイド の MFA を使用した安全な API アクセスを参照してください。

IAM でのベストプラクティスの詳細については、IAM ユーザーガイド の IAM でのセキュリティのベストプラクティスを参照してください。

CodeDeploy コンソールの使用

CodeDeploy コンソールを使用する場合は、 AWS アカウントの他の AWS リソースを記述できる最小限のアクセス許可が必要です。CodeDeploy コンソール内で CodeDeploy を利用するには、次のサービスのアクセス許可が必要です。

Amazon EC2 Auto Scaling
AWS CodeDeploy
Amazon Elastic Compute Cloud
エラスティックロードバランシング
AWS Identity and Access Management
Amazon Simple Storage Service
Amazon Simple Notification Service
Amazon CloudWatch

これらの最小限必要なアクセス許可よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。このようなユーザーが CodeDeploy コンソールを使用できることを保証するには、ユーザーに割り当てられたロール対する AWSCodeDeployReadOnlyAccess マネージドポリシーのアタッチも行ってください。こちらは「AWS CodeDeploy のマネージド (事前定義) ポリシー」に記述があります。

AWS CLI または CodeDeploy API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。

自分の権限の表示をユーザーに許可する

この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS 管理ポリシーに対する CodeDeploy の更新

トラブルシューティング