As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciar a função CodePipeline de serviço
<a name="how-to-custom-role"></a>

A função de serviço é configurada com uma ou mais políticas que controlam o acesso aos AWS recursos usados pelo pipeline. Talvez você queira anexar mais políticas a essa função, editar a política anexada à função ou configurar políticas para outras funções de serviço em AWS. Pode ser que você também queira anexar uma política a uma função ao configurar o acesso entre contas ao pipeline.

**Importante**  
Alterar uma declaração de política ou anexar outra política à função pode impedir o funcionamento dos pipelines. Compreenda as implicações antes de alterar de alguma maneira a função de serviço do . Teste os pipelines após ter feito alterações na função de serviço.

**nota**  
No console, as funções de serviço criadas antes de setembro de 2018 são criadas com o nome `oneClick_AWS-CodePipeline-Service_ID-Number`.  
As funções de serviço criadas após setembro de 2018 usam o formato de nome da função de serviço `AWSCodePipelineServiceRole-Region-Pipeline_Name`. Por exemplo, para um pipeline chamado `MyFirstPipeline` na `eu-west-2`, o console nomeia a função e a política como `AWSCodePipelineServiceRole-eu-west-2-MyFirstPipeline`.

## CodePipeline política de função de serviço
<a name="how-to-custom-role-policy"></a>

A declaração de política da função de CodePipeline serviço contém as permissões mínimas para gerenciar pipelines. Você pode editar a declaração do perfil de serviço para remover ou adicionar o acesso aos recursos que você não usa. Consulte a referência de ação apropriada para ver os CodePipeline usos mínimos de permissões necessárias para cada ação.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowS3BucketAccess",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketVersioning",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::[[pipeArtifactBucketNames]]"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "{{accountId}}"
        }
      }
    },
    {
      "Sid": "AllowS3ObjectAccess",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:PutObjectTagging",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": [
        "arn:aws:s3:::[[pipeArtifactBucketNames]]/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "{{accountId}}"
        }
      }
    }
  ]
}
```

------

**nota**  
Na política, as seguintes permissões são necessárias quando os objetos do S3 no bucket de origem têm tags:   

```
s3:PutObjectTagging
s3:GetObjectTagging
s3:GetObjectVersionTagging
```

## Remover permissões da função CodePipeline de serviço
<a name="remove-permissions-from-policy"></a>

Você pode editar a declaração da função de serviço para remover o acesso aos recursos que você não utiliza. Por exemplo, se nenhum dos pipelines incluir o Elastic Beanstalk, você poderá editar a declaração de política para remover a seção que concede acesso aos recursos do Elastic Beanstalk.

Da mesma forma, se nenhum de seus pipelines incluir CodeDeploy, você poderá editar a declaração de política para remover a seção que concede acesso aos CodeDeploy recursos:

```
    {
    "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetApplicationRevision",
        "codedeploy:GetDeployment",
        "codedeploy:GetDeploymentConfig",
        "codedeploy:RegisterApplicationRevision"
    ],
    "Resource": "*",
    "Effect": "Allow"
},
```

## Adicionar permissões à função CodePipeline de serviço
<a name="how-to-update-role-new-services"></a>

Você deve atualizar a declaração de política do perfil de serviço com permissões para um AWS service (Serviço da AWS) ainda não incluído na declaração de política de perfil de serviço padrão para que possa usá-la nos pipelines.

Isso é especialmente importante se a função de serviço que você usa para seus pipelines foi criada antes da adição do suporte para um AWS service (Serviço da AWS).

A tabela a seguir mostra quando o suporte foi adicionado para outros Serviços da AWS. 


****  

| AWS service (Serviço da AWS) | CodePipeline data de suporte | 
| --- | --- | 
| CodePipeline suporte de ação de invocação adicionado. Consulte [Permissões da política de função de serviço para a CodePipeline ação de invocação](action-reference-PipelineInvoke.md#action-reference-PipelineInvoke-permissions-action). | 14 de março de 2025 | 
|  Suporte à ação do EC2 adicionado. Consulte [Permissões de política do perfil de serviço para a ação de implantação do EC2](action-reference-EC2Deploy.md#action-reference-EC2Deploy-permissions-action). | 21 de fevereiro de 2025 | 
|  Suporte à ação do EKS adicionado. Consulte [Permissões de política de perfil de serviço](action-reference-EKS.md#action-reference-EKS-service-role). | 20 de fevereiro de 2025 | 
|  Suporte à ação ECRBuildAndPublish ação do Amazon Elastic Container Registry adicionado. Consulte [Permissões do perfil de serviço: ação `ECRBuildAndPublish`](action-reference-ECRBuildAndPublish.md#edit-role-ECRBuildAndPublish). | 22 de novembro de 2024 | 
| Suporte à ação InspectorScan do Amazon Inspector adicionado. Consulte [Permissões do perfil de serviço: ação `InspectorScan`](action-reference-InspectorScan.md#edit-role-InspectorScan). | 22 de novembro de 2024 | 
| Suporte à ação de comandos adicionado. Consulte [Permissões do perfil de serviço: ação Comandos](action-reference-Commands.md#edit-role-Commands). | 3 de outubro de 2024 | 
| CloudFormation suporte de ação adicionado. Consulte [Permissões do perfil de serviço: ação `CloudFormationStackSet`](action-reference-StackSets.md#edit-role-cfn-stackset) e [Permissões do perfil de serviço: ação `CloudFormationStackInstances`](action-reference-StackSets.md#edit-role-cfn-stackinstances). | 30 de dezembro de 2020 | 
| CodeCommit suporte de ação de formato de artefato de saída de clone completo adicionado. Consulte [Permissões da função de serviço: CodeCommit ação](action-reference-CodeCommit.md#edit-role-codecommit). | 11 de novembro de 2020 | 
| AWS CodeBuild suporte de ação de compilações em lote adicionado. Consulte [Permissões da função de serviço: CodeCommit ação](action-reference-CodeCommit.md#edit-role-codecommit). | 30 de julho de 2020 | 
| AWS AppConfig suporte de ação adicionado. Consulte [Permissões do perfil de serviço: ação `AppConfig`](action-reference-AppConfig.md#edit-role-appconfig). | 22 de junho de 2020 | 
| AWS Step Functions suporte de ação adicionado. Consulte [Permissões do perfil de serviço: ação `StepFunctions`](action-reference-StepFunctions.md#edit-role-stepfunctions). | 27 de maio de 2020 | 
| AWS CodeStar Suporte de ação de conexões adicionado. Consulte [Permissões da função de serviço: CodeConnections ação](action-reference-CodestarConnectionSource.md#edit-role-connections). | 18 de dezembro de 2019 | 
| Suporte à ação de implantação do S3 adicionado. Consulte [Permissões do perfil de serviço: ação de implantação do S3](action-reference-S3Deploy.md#edit-role-s3deploy). | 16 de janeiro de 2019 | 
| O suporte à ação CodeDeployToECS foi adicionado. Consulte [Permissões do perfil de serviço: ação `CodeDeployToECS`](action-reference-ECSbluegreen.md#edit-role-codedeploy-ecs). | 27 de novembro de 2018 | 
| Suporte à ação do Amazon ECR adicionado. Consulte [Permissões do perfil de serviço: ação do Amazon ECR](action-reference-ECR.md#edit-role-ecr). | 27 de novembro de 2018 | 
| Suporte à ação do Service Catalog adicionado. Consulte [Permissões do perfil de serviço: ação do Service Catalog](action-reference-ServiceCatalog.md#edit-role-servicecatalog). | 16 de outubro de 2018 | 
| AWS Device Farm suporte de ação adicionado. Consulte [Permissões da função de serviço: AWS Device Farm ação](action-reference-DeviceFarm.md#edit-role-devicefarm). | 19 de julho de 2018 | 
| Suporte à ação do Amazon ECS adicionado. Consulte [Permissões do perfil de serviço: ação padrão do Amazon ECS](action-reference-ECS.md#edit-role-ecs). | 12 de dezembro de 2017//Atualização para aceitar a autorização de marcação em 21 de julho de 2017 | 
| CodeCommit suporte de ação adicionado. Consulte [Permissões da função de serviço: CodeCommit ação](action-reference-CodeCommit.md#edit-role-codecommit). | 18 de abril de 2016 | 
| AWS OpsWorks suporte de ação adicionado. Consulte [Permissões da função de serviço: AWS OpsWorks ação](action-reference-OpsWorks.md#edit-role-opsworks). | 2 de junho de 2016 | 
| CloudFormation suporte de ação adicionado. Consulte [Permissões da função de serviço: CloudFormation ação](action-reference-CloudFormation.md#edit-role-cloudformation). | 3 de novembro de 2016 | 
| AWS CodeBuild suporte de ação adicionado. Consulte [Permissões da função de serviço: CodeBuild ação](action-reference-CodeBuild.md#edit-role-codebuild). | 1º de dezembro de 2016 | 
| Suporte à ação do Elastic Beanstalk adicionado. Consulte [Permissões do perfil de serviço: ação de implantação do `ElasticBeanstalk`](action-reference-Beanstalk.md#edit-role-beanstalk). | Lançamento do serviço inicial | 
| CodeDeploy suporte de ação adicionado. Consulte [Permissões da função de serviço: AWS CodeDeploy ação](action-reference-CodeDeploy.md#edit-role-codedeploy). | Lançamento do serviço inicial | 
| Suporte à ação de origem do S3 adicionado. Consulte [Permissões do perfil de serviço: ação de origem do S3](action-reference-S3.md#edit-role-s3source). | Lançamento do serviço inicial | 

Siga estes passos para adicionar permissões para um serviço compatível:

 

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No console do IAM, no painel de navegação, escolha **Perfis** e, em seguida, escolha o perfil `AWS-CodePipeline-Service` na lista de perfis.

1. Na guia **Permissões**, em **Políticas em linha**, na linha da sua política de perfil de serviço, escolha **Editar política**.

1. Adicione as permissões necessárias na caixa **Documento da política**. 
**nota**  
Ao criar políticas do IAM, siga as dicas de segurança padrão de concessão de privilégio mínimo, ou seja, conceda apenas as permissões necessárias à execução de uma tarefa. Determinadas chamadas de API são compatíveis com permissões baseadas em recursos e permitem que o acesso seja limitado. Por exemplo, neste caso, para limitar as permissões quando chamar `DescribeTasks` e `ListTasks`, você pode substituir o caractere curinga (\$1) por um ARN de recurso ou um ARN de recurso que contenha um caractere curinga (\$1). Para obter mais informações sobre a criação de uma política que conceda acesso com privilégios mínimos, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege).

1. Selecione **Review policy (Revisar política)** para garantir que a política não contenha erros. Quando a política não tiver erros, selecione **Aplicar política**.