本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將核准許可授予 CodePipeline 中的 IAM 使用者
<a name="approvals-iam-permissions"></a>

在組織中的 IAM 使用者可以核准或拒絕核准動作之前，必須授予他們存取管道和更新核准動作狀態的許可。您可以透過將 `AWSCodePipelineApproverAccess`受管政策連接至 IAM 使用者、角色或群組，授予存取您帳戶中所有管道和核准動作的許可；或者，您也可以指定可由 IAM 使用者、角色或群組存取的個別資源，授予有限的許可。

**注意**  
本主題中說明​的許可會授予非常有限的存取。若要讓使用者、角色或群組執行核准或拒絕核准動作以外的作業，您可以連接其他受管政策。如需 CodePipeline 可用受管政策的相關資訊，請參閱 [AWS 的 受管政策 AWS CodePipeline](managed-policies.md)。

## 授予所有管道及核准動作的核准許可
<a name="approvals-iam-permissions-all"></a>

對於需要在 CodePipeline 中執行核准動作的使用者，請使用 `AWSCodePipelineApproverAccess`受管政策。

若要提供存取權，請新增權限至您的使用者、群組或角色：
+ 中的使用者和群組 AWS IAM Identity Center：

  建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者：
  + 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
  + (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。

## 指定特定管道及核准動作的核准許可
<a name="approvals-iam-permissions-limited"></a>

對於需要在 CodePipeline 中執行核准動作的使用者，請使用下列自訂政策。在下面的政策中，指定使用者可以存取的個別資源。例如，下列政策授予使用者許可，只能核准或拒絕美國東部 （俄亥俄） 區域 (us-east-2) 中`MyFirstPipeline`管道`MyApprovalAction`中名為 的動作：

**注意**  
只有在 IAM 使用者需要存取 CodePipeline 儀表板才能檢視此管道清單時，才需要 `codepipeline:ListPipelines`許可。若不需要主控台存取，您可以忽略 `codepipeline:ListPipelines`。

**若要使用 JSON 政策編輯器來建立政策**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在左側的導覽窗格中，選擇 **Policies (政策)**。

   如果這是您第一次選擇 **Policies (政策)**，將會顯示 **Welcome to Managed Policies (歡迎使用受管政策)** 頁面。選擇 **Get Started (開始使用)**。

1. 在頁面頂端，選擇 **Create policy (建立政策)**。

1. 在**政策編輯器**中，選擇 **JSON** 選項。

1. 輸入下列 JSON 政策文件：

   ```
    {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "codepipeline:ListPipelines"
               ],
               "Resource": [
                   "*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "codepipeline:GetPipeline",
                   "codepipeline:GetPipelineState",
                   "codepipeline:GetPipelineExecution"
               ],
               "Resource": "arn:aws:codepipeline:us-east-2:80398EXAMPLE:MyFirstPipeline"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "codepipeline:PutApprovalResult"
               ],
               "Resource": "arn:aws:codepipeline:us-east-2:80398EXAMPLE:MyFirstPipeline/MyApprovalStage/MyApprovalAction"
           }
       ]
   }
   ```

1. 選擇**下一步**。
**注意**  
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過，如果您進行變更或在**視覺化**編輯器中選擇**下一步**，IAM 就可能會調整您的政策結構，以便針對視覺化編輯器進行最佳化。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[調整政策結構](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。

1. 在**檢視與建立**頁面上，為您正在建立的政策輸入**政策名稱**與**描述** (選用)。檢視**此政策中定義的許可**，來查看您的政策所授予的許可。

1. 選擇 **Create policy** (建立政策) 儲存您的新政策。