本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 向中的 IAM 用户授予批准权限 CodePipeline
<a name="approvals-iam-permissions"></a>

在组织内的 IAM 用户可以批准或拒绝审批操作之前，必须向他们授予访问管道和更新审批操作状态的权限。您可以通过将 `AWSCodePipelineApproverAccess` 托管式策略附加到 IAM 用户、角色或组，来授予其访问账户中的所有管道和审批操作的权限；或者您可以通过指定 IAM 用户、角色或组可以访问的各个资源来授予有限权限。

**注意**  
本主题中描述的权限授予非常有限的访问权限。要使用户、角色或组可以执行的不止是批准或拒绝审批操作，您可以附加其他托管策略。有关可用的托管策略的信息 CodePipeline，请参阅[AWS 的托管策略 AWS CodePipeline](managed-policies.md)。

## 授予对所有管道和审批操作的审批权限
<a name="approvals-iam-permissions-all"></a>

对于需要在中执行批准操作的用户 CodePipeline，请使用`AWSCodePipelineApproverAccess`托管策略。

要提供访问权限，请为您的用户、组或角色添加权限：
+ 中的用户和群组 AWS IAM Identity Center：

  创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户：

  创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色（联合身份验证）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户：
  + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
  + （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限（控制台）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。

## 指定对特定管道和审批操作的审批权限
<a name="approvals-iam-permissions-limited"></a>

对于需要在中执行批准操作的用户 CodePipeline，请使用以下自定义策略。在下面的策略中，指定用户可以访问的各项资源。例如，根据以下策略的授权，用户只能批准或拒绝美国东部（俄亥俄州）区域 (us-east-2) `MyFirstPipeline` 管道中名为 `MyApprovalAction` 的操作：

**注意**  
仅`codepipeline:ListPipelines`当 IAM 用户需要访问 CodePipeline 控制面板以查看此管道列表时，才需要该权限。如果不需要访问控制台，则可以忽略 `codepipeline:ListPipelines`。

**使用 JSON 策略编辑器创建策略**

1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在左侧的导航窗格中，选择**策略**。

   如果这是您首次选择**策略**，则会显示**欢迎访问托管式策略**页面。选择**开始使用**。

1. 在页面的顶部，选择**创建策略**。

1. 在**策略编辑器**部分，选择 **JSON** 选项。

1. 输入以下 JSON 策略文档：

   ```
    {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "codepipeline:ListPipelines"
               ],
               "Resource": [
                   "*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "codepipeline:GetPipeline",
                   "codepipeline:GetPipelineState",
                   "codepipeline:GetPipelineExecution"
               ],
               "Resource": "arn:aws:codepipeline:us-east-2:80398EXAMPLE:MyFirstPipeline"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "codepipeline:PutApprovalResult"
               ],
               "Resource": "arn:aws:codepipeline:us-east-2:80398EXAMPLE:MyFirstPipeline/MyApprovalStage/MyApprovalAction"
           }
       ]
   }
   ```

1. 选择**下一步**。
**注意**  
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过，如果您进行更改或在**可视化**编辑器中选择**下一步**，IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息，请参阅*《IAM 用户指南》*中的[调整策略结构](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。

1. 在**查看并创建**页面上，为您要创建的策略输入**策略名称**和**描述**（可选）。查看**此策略中定义的权限**以查看策略授予的权限。

1. 选择**创建策略**可保存新策略。