本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS CodePipeline
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**重要**
亚马逊云科技托管式策略 `AWSCodePipelineFullAccess` 和 `AWSCodePipelineReadOnlyAccess` 已被替换。使用 `AWSCodePipeline_FullAccess` 和 `AWSCodePipeline_ReadOnlyAccess` 策略。
## AWS 托管策略:`AWSCodePipeline_FullAccess`
这是一项授予完全访问权限的政策 CodePipeline。要在 IAM 控制台中查看 JSON 策略文档,请参阅[AWSCodePipeline\$1FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCodePipeline_FullAccess)。
**权限详细信息**
该策略包含以下权限。
+ `codepipeline`— 向授予权限 CodePipeline。
+ `chatbot`:授予权限以允许主体管理聊天应用程序中的 Amazon Q 开发者版中的资源。
+ `cloudformation`— 授予权限以允许委托人管理中的资源堆栈。 CloudFormation
+ `cloudtrail`— 授予权限以允许委托人管理中的日志资源。 CloudTrail
+ `codebuild`— 授予权限以允许委托人访问中的生成资源。 CodeBuild
+ `codecommit`— 授予权限以允许委托人访问中的源资源。 CodeCommit
+ `codedeploy`— 授予权限以允许委托人访问中的部署资源。 CodeDeploy
+ `codestar-notifications`— 授予权限以允许委托人访问 AWS CodeStar 通知中的资源。
+ `ec2`— 授予权限以允许在中进行部署 CodeCatalyst 以管理 Amazon EC2 中的弹性负载平衡。
+ `ecr`:授予权限以允许访问 Amazon ECR 中的资源。
+ `elasticbeanstalk`:授予权限以允许主体访问 Elastic Beanstalk 中的资源。
+ `iam`:授予权限以允许主体管理 IAM 中的角色和策略。
+ `lambda`:授予权限以允许主体管理 Lambda 中的资源。
+ `events`— 授予权限以允许委托人管理 Ev CloudWatch ents 中的资源。
+ `opsworks`— 授予权限以允许委托人管理中的资源。 AWS OpsWorks
+ `s3`:授予权限以允许主体管理 Amazon S3 中的资源。
+ `sns`:授予权限以允许主体管理 Amazon SNS 中的通知资源。
+ `states`— 授予权限以允许委托人查看中的状态机。 AWS Step Functions状态机由一组状态组成,这些状态用于管理任务和状态之间的转换。
有关该政策,请参阅[AWSCodePipeline\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipeline_FullAccess.html)。
## AWS 托管策略:`AWSCodePipeline_ReadOnlyAccess`
这是一项授予只读访问权限的策略 CodePipeline。要在 IAM 控制台中查看 JSON 策略文档,请参阅[AWSCodePipeline\$1ReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCodePipeline_ReadOnlyAccess)。
**权限详细信息**
该策略包含以下权限。
+ `codepipeline`— 授予中操作的权限 CodePipeline。
+ `codestar-notifications`— 授予权限以允许委托人访问 AWS CodeStar 通知中的资源。
+ `s3`:授予权限以允许主体管理 Amazon S3 中的资源。
+ `sns`:授予权限以允许主体管理 Amazon SNS 中的通知资源。
有关该政策,请参阅[AWSCodePipeline\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipeline_ReadOnlyAccess.html)。
## AWS 托管策略:`AWSCodePipelineApproverAccess`
这是一项授予批准或拒绝手动审批操作的权限的策略。要在 IAM 控制台中查看 JSON 策略文档,请参阅[AWSCodePipelineApproverAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCodePipelineApproverAccess)。
**权限详细信息**
该策略包含以下权限。
+ `codepipeline`— 授予中操作的权限 CodePipeline。
有关该政策,请参阅[AWSCodePipelineApproverAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipelineApproverAccess.html)。
## AWS 托管策略:`AWSCodePipelineCustomActionAccess`
此政策允许用户在生成或测试操作中创建自定义操作 CodePipeline或集成 Jenkins 资源。要在 IAM 控制台中查看 JSON 策略文档,请参阅[AWSCodePipelineCustomActionAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCodePipelineCustomActionAccess)。
**权限详细信息**
该策略包含以下权限。
+ `codepipeline`— 授予中操作的权限 CodePipeline。
有关该政策,请参阅[AWSCodePipelineCustomActionAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipelineCustomActionAccess.html)。
## CodePipeline 托管策略和通知
CodePipeline 支持通知,可以将管道的重要更改通知用户。的托管策略 CodePipeline 包括通知功能的策略声明。有关更多信息,请参阅[什么是通知?](https://docs.aws.amazon.com/codestar-notifications/latest/userguide/welcome.html)。
### 完全访问托管策略中的通知的相关权限
此托管策略授予相关服务 CodeCommit、 CodeBuild CodeDeploy、和 AWS CodeStar 通知的权限。 CodePipeline 该策略还授予您使用与您的管道集成的其他服务所需的权限,例如 Amazon S3、Elastic B CloudTrail eanstalk、Amazon EC2 和。 CloudFormation应用此托管策略的用户还可以创建和管理用于通知的 Amazon SNS 主题、为用户订阅和取消订阅主题、列出要选择作为通知规则目标的主题,以及列出在聊天应用程序客户端中为 Slack 配置的 Amazon Q 开发者版。
`AWSCodePipeline_FullAccess` 托管策略包含以下语句,以允许对通知进行完全访问。
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:DeleteNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsSNSTopicCreateAccess",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:SetTopicAttributes"
],
"Resource": "arn:aws:sns:*:*:codestar-notifications*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
### 只读托管策略中的通知的相关权限
`AWSCodePipeline_ReadOnlyAccess` 托管策略包含以下语句,以允许对通知进行只读访问。应用此策略的用户可以查看资源的通知,但无法创建、管理或订阅这些通知。
```
{
"Sid": "CodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codepipeline:us-west-2:111222333444:MyFirstPipeline"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListEventTypes",
"codestar-notifications:ListTargets"
],
"Resource": "*"
}
```
有关 IAM 和通知的更多信息,请参阅 [AWS CodeStar 通知的身份和访问管理](https://docs.aws.amazon.com/codestar-notifications/latest/userguide/security-iam.html)。
## AWS CodePipeline AWS 托管策略的更新
查看 CodePipeline 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅 CodePipeline [ 文档历史记录页面](https://docs.aws.amazon.com/codepipeline/latest/userguide/history.html)上的 RSS 信息源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSCodePipeline\$1FullAccess](#security-iam-awsmanpol-AWSCodePipeline_FullAccess)— 对现有政策的更新 | CodePipeline 已向该策略添加了支持ListStacks权限 CloudFormation。 | 2024 年 3 月 15 日 |
| [AWSCodePipeline\$1FullAccess](#security-iam-awsmanpol-AWSCodePipeline_FullAccess)— 对现有政策的更新 | 本策略已更新,增加了聊天应用程序中的 Amazon Q 开发者版的权限。有关更多信息,请参阅 [CodePipeline 托管策略和通知](#notifications-permissions)。 | 2023 年 6 月 21 日 |
| [AWSCodePipeline\$1FullAccess](#security-iam-awsmanpol-AWSCodePipeline_FullAccess)和[AWSCodePipeline\$1ReadOnlyAccess](#security-iam-awsmanpol-AWSCodePipeline_ReadOnlyAccess)托管策略-对现有策略的更新 | CodePipeline 在这些政策中添加了支持在聊天应用程序中使用 Amazon Q Developer 的额外通知类型的权限`chatbot:ListMicrosoftTeamsChannelConfigurations`。 | 2023 年 5 月 16 日 |
| **AWSCodePipelineFullAccess**:已弃用 | 此策略已被 `AWSCodePipeline_FullAccess` 取代。 2022 年 11 月 17 日之后,该策略不能附加到任何新的用户、组或角色。有关更多信息,请参阅 [AWS 的托管策略 AWS CodePipeline](#managed-policies)。 | 2022 年 11 月 17 日 |
| **AWSCodePipelineReadOnlyAccess**:已弃用 | 此策略已被 `AWSCodePipeline_ReadOnlyAccess` 取代。 2022 年 11 月 17 日之后,该策略不能附加到任何新的用户、组或角色。有关更多信息,请参阅 [AWS 的托管策略 AWS CodePipeline](#managed-policies)。 | 2022 年 11 月 17 日 |
| CodePipeline 开始跟踪更改 | CodePipeline 开始跟踪其 AWS 托管策略的更改。 | 2021 年 3 月 12 日 |