本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 的托管策略 AWS CodePipeline
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的客户管理型策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略。
重要
亚马逊云科技托管式策略 AWSCodePipelineFullAccess 和 AWSCodePipelineReadOnlyAccess 已被替换。使用 AWSCodePipeline_FullAccessAWSCodePipeline_ReadOnlyAccess
AWS 托管策略:AWSCodePipeline_FullAccess
这是一项授予完全访问权限的政策 CodePipeline。要在 IAM 控制台中查看 JSON 策略文档,请参阅AWSCodePipeline_FullAccess
权限详细信息
该策略包含以下权限。
-
codepipeline— 向授予权限 CodePipeline。 -
chatbot:授予权限以允许主体管理聊天应用程序中的 Amazon Q 开发者版中的资源。 -
cloudformation— 授予权限以允许委托人管理中的资源堆栈。 CloudFormation -
cloudtrail— 授予权限以允许委托人管理中的日志资源。 CloudTrail -
codebuild— 授予权限以允许委托人访问中的生成资源。 CodeBuild -
codecommit— 授予权限以允许委托人访问中的源资源。 CodeCommit -
codedeploy— 授予权限以允许委托人访问中的部署资源。 CodeDeploy -
codestar-notifications— 授予权限以允许委托人访问 AWS CodeStar 通知中的资源。 -
ec2— 授予权限以允许在中进行部署 CodeCatalyst 以管理 Amazon EC2 中的弹性负载平衡。 -
ecr:授予权限以允许访问 Amazon ECR 中的资源。 -
elasticbeanstalk:授予权限以允许主体访问 Elastic Beanstalk 中的资源。 -
iam:授予权限以允许主体管理 IAM 中的角色和策略。 -
lambda:授予权限以允许主体管理 Lambda 中的资源。 -
events— 授予权限以允许委托人管理 Ev CloudWatch ents 中的资源。 -
opsworks— 授予权限以允许委托人管理中的资源。 AWS OpsWorks -
s3:授予权限以允许主体管理 Amazon S3 中的资源。 -
sns:授予权限以允许主体管理 Amazon SNS 中的通知资源。 -
states— 授予权限以允许委托人查看中的状态机。 AWS Step Functions状态机由一组状态组成,这些状态用于管理任务和状态之间的转换。
有关该政策,请参阅AWSCodePipeline_FullAccess。
AWS 托管策略:AWSCodePipeline_ReadOnlyAccess
这是一项授予只读访问权限的策略 CodePipeline。要在 IAM 控制台中查看 JSON 策略文档,请参阅AWSCodePipeline_ReadOnlyAccess
权限详细信息
该策略包含以下权限。
-
codepipeline— 授予中操作的权限 CodePipeline。 -
codestar-notifications— 授予权限以允许委托人访问 AWS CodeStar 通知中的资源。 -
s3:授予权限以允许主体管理 Amazon S3 中的资源。 -
sns:授予权限以允许主体管理 Amazon SNS 中的通知资源。
有关该政策,请参阅AWSCodePipeline_ReadOnlyAccess。
AWS 托管策略:AWSCodePipelineApproverAccess
这是一项授予批准或拒绝手动审批操作的权限的策略。要在 IAM 控制台中查看 JSON 策略文档,请参阅AWSCodePipelineApproverAccess
权限详细信息
该策略包含以下权限。
-
codepipeline— 授予中操作的权限 CodePipeline。
有关该政策,请参阅AWSCodePipelineApproverAccess。
AWS 托管策略:AWSCodePipelineCustomActionAccess
此政策允许用户在生成或测试操作中创建自定义操作 CodePipeline或集成 Jenkins 资源。要在 IAM 控制台中查看 JSON 策略文档,请参阅AWSCodePipelineCustomActionAccess
权限详细信息
该策略包含以下权限。
-
codepipeline— 授予中操作的权限 CodePipeline。
有关该政策,请参阅AWSCodePipelineCustomActionAccess。
CodePipeline 托管策略和通知
CodePipeline 支持通知,可以将管道的重要更改通知用户。的托管策略 CodePipeline 包括通知功能的策略声明。有关更多信息,请参阅什么是通知?。
完全访问托管策略中的通知的相关权限
此托管策略授予相关服务 CodeCommit、 CodeBuild CodeDeploy、和 AWS CodeStar 通知的权限。 CodePipeline 该策略还授予您使用与您的管道集成的其他服务所需的权限,例如 Amazon S3、Elastic B CloudTrail eanstalk、Amazon EC2 和。 CloudFormation应用此托管策略的用户还可以创建和管理用于通知的 Amazon SNS 主题、为用户订阅和取消订阅主题、列出要选择作为通知规则目标的主题,以及列出在聊天应用程序客户端中为 Slack 配置的 Amazon Q 开发者版。
AWSCodePipeline_FullAccess 托管策略包含以下语句,以允许对通知进行完全访问。
{ "Sid": "CodeStarNotificationsReadWriteAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:DeleteNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource", "codestar-notifications:ListEventTypes" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsSNSTopicCreateAccess", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:SetTopicAttributes" ], "Resource": "arn:aws:sns:*:*:codestar-notifications*" }, { "Sid": "SNSTopicListAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsChatbotAccess", "Effect": "Allow", "Action": [ "chatbot:DescribeSlackChannelConfigurations", "chatbot:ListMicrosoftTeamsChannelConfigurations" ], "Resource": "*" }
只读托管策略中的通知的相关权限
AWSCodePipeline_ReadOnlyAccess 托管策略包含以下语句,以允许对通知进行只读访问。应用此策略的用户可以查看资源的通知,但无法创建、管理或订阅这些通知。
{ "Sid": "CodeStarNotificationsPowerUserAccess", "Effect": "Allow", "Action": [ "codestar-notifications:DescribeNotificationRule" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListEventTypes", "codestar-notifications:ListTargets" ], "Resource": "*" }
有关 IAM 和通知的更多信息,请参阅 AWS CodeStar 通知的身份和访问管理。
AWS CodePipeline AWS 托管策略的更新
查看 CodePipeline 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅 CodePipeline 文档历史记录页面上的 RSS 信息源。
| 更改 | 描述 | 日期 |
|---|---|---|
| AWSCodePipeline_FullAccess— 现有政策的更新 | CodePipeline 为此策略添加了支持ListStacks权限 CloudFormation。 |
2024 年 3 月 15 日 |
| AWSCodePipeline_FullAccess— 现有政策的更新 | 本策略已更新,增加了聊天应用程序中的 Amazon Q 开发者版的权限。有关更多信息,请参阅 CodePipeline 托管策略和通知。 | 2023 年 6 月 21 日 |
|
AWSCodePipeline_FullAccess和AWSCodePipeline_ReadOnlyAccess托管策略-对现有策略的更新 |
CodePipeline 在这些政策中添加了支持在聊天应用程序中使用 Amazon Q Developer 的额外通知类型的权限, |
2023 年 5 月 16 日 |
|
AWSCodePipelineFullAccess:已弃用 |
此策略已被 2022 年 11 月 17 日之后,该策略不能附加到任何新的用户、组或角色。有关更多信息,请参阅 AWS 的托管策略 AWS CodePipeline。 |
2022 年 11 月 17 日 |
|
AWSCodePipelineReadOnlyAccess:已弃用 |
此策略已被 2022 年 11 月 17 日之后,该策略不能附加到任何新的用户、组或角色。有关更多信息,请参阅 AWS 的托管策略 AWS CodePipeline。 |
2022 年 11 月 17 日 |
|
CodePipeline 已开始跟踪更改 |
CodePipeline 开始跟踪其 AWS 托管策略的更改。 |
2021 年 3 月 12 日 |
