担任角色时在代码管道中获得 IAM 批准
IAM approval in codepipeline when assuming role
我们有用户从我们的登录帐户登录到 CI/CD 帐户 - 通常具有管理员或只读角色。
我们想在 CI/CD 帐户中使用 IAM 组,这样只有特定组中的用户才能 approve/reject 部署(但我们在 CI/CD 帐户中没有用户).我们刚刚准备好所需的小组。但是,由于我们不在CI/CD账户中创建用户,只是从我们的登陆账户承担角色,我们如何在代码管道中使用IAM批准?
您可以将 AWSCodePipelineApproverAccess 角色分配给可以批准
的组
https://docs.aws.amazon.com/codepipeline/latest/userguide/approvals.html
组仅用于用户,因此在此上下文中不起作用。您需要在相关角色的策略中分配权限:
例如:
管道 Arn:arn:aws:codepipeline:eu-west-1:123456789:my-pipeline
管道阶段名称:Prod
批准操作名称:Approve-Prod
- Action:
- codepipeline:PutApprovalResult
Effect: Allow
Resource:
- arn:aws:codepipeline:eu-west-1:123456789:my-pipeline/Prod/Approve-Prod
我们有用户从我们的登录帐户登录到 CI/CD 帐户 - 通常具有管理员或只读角色。
我们想在 CI/CD 帐户中使用 IAM 组,这样只有特定组中的用户才能 approve/reject 部署(但我们在 CI/CD 帐户中没有用户).我们刚刚准备好所需的小组。但是,由于我们不在CI/CD账户中创建用户,只是从我们的登陆账户承担角色,我们如何在代码管道中使用IAM批准?
您可以将 AWSCodePipelineApproverAccess 角色分配给可以批准
https://docs.aws.amazon.com/codepipeline/latest/userguide/approvals.html
组仅用于用户,因此在此上下文中不起作用。您需要在相关角色的策略中分配权限:
例如:
管道 Arn:arn:aws:codepipeline:eu-west-1:123456789:my-pipeline
管道阶段名称:Prod
批准操作名称:Approve-Prod
- Action:
- codepipeline:PutApprovalResult
Effect: Allow
Resource:
- arn:aws:codepipeline:eu-west-1:123456789:my-pipeline/Prod/Approve-Prod