本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 如何 AWS CodePipeline 与 IAM 配合使用
<a name="security_iam_service-with-iam"></a>

在使用 IAM 管理访问权限之前 CodePipeline，您应该了解哪些可用的 IAM 功能 CodePipeline。要全面了解如何使用 IAM CodePipeline 以及其他方法 AWS 服务 ，请参阅AWS 服务 IAM *用户指南中的如何[与 I](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) AM* 配合使用。

**Topics**
+ [CodePipeline 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [CodePipeline 基于资源的政策](#security_iam_service-with-iam-resource-based-policies)
+ [基于 CodePipeline 标签的授权](#security_iam_service-with-iam-tags)
+ [CodePipeline IAM 角色](#security_iam_service-with-iam-roles)

## CodePipeline 基于身份的策略
<a name="security_iam_service-with-iam-id-based-policies"></a>

使用 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源，以及指定在什么条件下允许或拒绝操作。 CodePipeline 支持特定操作、资源和条件键。要了解在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

### 操作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。

正在执行的策略操作在操作前 CodePipeline 使用以下前缀:`codepipeline:`.

例如，要授予某人查看账户中现有管道的权限，您可以在其策略中包括 `codepipeline:GetPipeline` 操作。策略声明必须包含`Action`或`NotAction`元素。 CodePipeline 定义了它自己的一组操作，这些操作描述了您可以使用此服务执行的任务。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

```
"Action": [
      "codepipeline:action1",
      "codepipeline:action2"
```

您也可以使用通配符 （\$1) 指定多个操作。例如，要指定以单词 `Get` 开头的所有操作，包括以下操作：

```
"Action": "codepipeline:Get*"
```



有关 CodePipeline 操作列表，请参阅 *IAM 用户指南 AWS CodePipeline*中的[由定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodepipeline.html#awscodepipeline-actions-as-permissions)。

### 资源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践，请使用其 [Amazon 资源名称（ARN）](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作，请使用通配符 (\$1) 指示语句应用于所有资源。

```
"Resource": "*"
```



#### 资源和运营
<a name="ACP_ARN_Format"></a>

在 中，主要资源为管道。在策略中，您可以使用 Amazon 资源名称 (ARN) 标识策略应用到的资源。 支持可以与主要资源一起使用的其他资源，例如阶段、操作和自定义操作。这些资源称作子资源。这些资源和子资源具有与之关联的唯一 Amazon 资源名称 (ARNs)。有关更多信息 ARNs，请参阅中的 [Amazon 资源名称 (ARN) 和 AWS 服务 命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。*Amazon Web Services 一般参考*要获取与您的管道关联的管道 ARN，您可以在控制台的**设置**下找到管道 ARN。有关更多信息，请参阅 [查看管道 ARN 和服务角色 ARN（控制台）](pipelines-settings-console.md)。


| 资源类型 | ARN 格式 | 
| --- | --- | 
|  管道  |  arn: aws: codepiline::: *region* *account* *pipeline-name*  | 
| 暂存区 |  arn: aws: codepipeline:::/*region**account**pipeline-name**stage-name*  | 
| Action |  arn: aws: codepipeline:::/*region**account**pipeline-name**stage-name**action-name*  | 
| 自定义操作 | arn: aws: codepipeline::: actiontype:///regionaccountownercategoryproviderversion | 
|  所有资源  |  arn:aws:codepipeline:\$1  | 
|  指定账户在指定区域拥有的所有 资源  |  arn: aws: codepiline::: \$1 *region* *account*  | 

**注意**  
中的大多数服务都 AWS 将冒号 (:) 或正斜杠 (/) 视为中的 ARNs相同字符。不过， 在事件模式和规则中使用精确匹配。请在创建事件模式时务必使用正确的 ARN 字符，以使其匹配需要匹配的管道中的 ARN 语法。

在 中，有支持资源级权限的 API 调用。资源级权限指示 API 调用是否可以指定资源 ARN，或者 API 调用是否只能使用通配符指定所有资源。[权限参考](permissions-reference.md)有关资源级权限的详细说明以及支持资源级权限的 CodePipeline API 调用的列表，请参阅。

例如，您可以在语句中使用其 ARN 来表示特定的管道 (*myPipeline*)，如下所示：

```
"Resource": "arn:aws:codepipeline:us-east-2:111222333444:myPipeline"
```

还可以使用通配符（\$1）指定属于特定账户的所有管道，如下所示：

```
"Resource": "arn:aws:codepipeline:us-east-2:111222333444:*"
```

要指定所有资源，或者如果特定 API 操作不支持 ARNs，请在`Resource`元素中使用 (\$1) 通配符，如下所示：

```
"Resource": "*"
```

**注意**  
在您创建 IAM 策略时，请遵循授予最低权限这一标准安全建议，即仅授予执行任务所需的权限。如果 API 调用支持 ARNs，则它支持资源级权限，您无需使用 (\$1) 通配符。

某些 API 调用接受多个资源（例如`GetPipeline`）。要在单个语句中指定多个资源，请 ARNs 用逗号分隔它们，如下所示：

```
"Resource": ["arn1", "arn2"]
```

 提供了一组使用资源的操作。有关可用操作的列表，请参阅 [权限参考](permissions-reference.md)。

### 条件键
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)（例如，等于或小于）的条件表达式，以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键，请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

CodePipeline 定义自己的条件键集，还支持使用一些全局条件键。要查看所有 AWS 全局条件键，请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。



 所有 Amazon EC2 操作都支持 `aws:RequestedRegion` 和 `ec2:Region` 条件键。有关更多信息，请参阅[示例：限制对特定区域的访问](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region)。

要查看 CodePipeline 条件键列表，请参阅 *IAM 用户指南 AWS CodePipeline*中的[条件密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodepipeline.html#awscodepipeline-policy-keys)。要了解您可以使用条件键的操作和资源，请参阅[操作定义者 AWS CodePipeline](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscodepipeline.html#awscodepipeline-actions-as-permissions)。

### 示例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



要查看 CodePipeline 基于身份的策略的示例，请参阅。[AWS CodePipeline 基于身份的策略示例](security_iam_id-based-policy-examples.md)

## CodePipeline 基于资源的政策
<a name="security_iam_service-with-iam-resource-based-policies"></a>

CodePipeline 不支持基于资源的策略。但是，提供了与之相关的 S3 服务的基于资源的策略示例。 CodePipeline 

### 示例
<a name="security_iam_service-with-iam-resource-based-policies-examples"></a>



要查看 CodePipeline 基于资源的策略的示例，请参阅 [AWS CodePipeline 基于资源的策略示例](security_iam_resource-based-policy-examples.md)

## 基于 CodePipeline 标签的授权
<a name="security_iam_service-with-iam-tags"></a>

您可以为 CodePipeline 资源附加标签或在请求中传递标签 CodePipeline。要基于标签控制访问，您需要使用 `codepipeline:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关标记 CodePipeline 资源的更多信息，请参阅 [为资源添加标签](tag-resources.md)

要查看基于身份的策略（用于根据资源上的标签来限制对该资源的访问）的示例，请参阅 [使用标签控制对 CodePipeline 资源的访问权限](tag-based-access-control.md)。

## CodePipeline IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。

### 将临时凭证与配合使用 CodePipeline
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

可以使用临时凭证进行联合身份验证登录，分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。

CodePipeline 支持使用临时证书。

### 服务角色
<a name="security_iam_service-with-iam-roles-service"></a>

CodePipeline 允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中，并归该账户所有。这意味着，IAM 管理员可以更改该角色的权限。但是，这样做可能会中断服务的功能。

CodePipeline 支持服务角色。