Administrar el rol de servicio CodePipeline - AWS CodePipeline
Política del rol de servicio de CodePipelineEliminar permisos del rol de servicio de CodePipelineAñadir permisos al rol de servicio de CodePipeline

Administrar el rol de servicio CodePipeline

Este rol de servicio de CodePipeline se configura con una o más políticas que controlan el acceso a los recursos de AWS que usa la canalización. Puede asociar más políticas a este rol, editar las que ya tiene asociadas o configurar políticas para otros roles de servicio de AWS. También puede asociar una política a un rol al configurar el acceso entre cuentas en su canalización.

importante

Si se modifica la instrucción de una política o se asocia otra política al rol, es posible que las canalizaciones dejen de funcionar. Asegúrese de conocer bien las consecuencias antes de modificar el rol de servicio de CodePipeline. Asegúrese de probar las canalizaciones después de implementar cualquier cambio en el rol de servicio.

nota

En la consola, los roles de servicio creados antes de septiembre de 2018 se crean con el nombre oneClick_AWS-CodePipeline-Service_ID-Number.

Los roles de servicio creados después de septiembre de 2018 usan el formato de nombre de rol de servicio AWSCodePipelineServiceRole-Region-Pipeline_Name. Por ejemplo, en el caso de una canalización denominada MyFirstPipeline en eu-west-2, la consola asigna un nombre al rol y a la política AWSCodePipelineServiceRole-eu-west-2-MyFirstPipeline.

Política del rol de servicio de CodePipeline

La declaración de la política del rol de servicio de CodePipeline contiene los permisos mínimos para administrar canalizaciones. Puede editar la declaración del rol de servicio para quitar el acceso a los recursos que no use. Consulte la referencia de la acción correspondiente para conocer los permisos mínimos necesarios que CodePipeline utiliza para cada acción.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowS3BucketAccess",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketVersioning",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::[[pipeArtifactBucketNames]]"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "{{accountId}}"
        }
      }
    },
    {
      "Sid": "AllowS3ObjectAccess",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:PutObjectTagging",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": [
        "arn:aws:s3:::[[pipeArtifactBucketNames]]/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "{{accountId}}"
        }
      }
    }
  ]
}
nota

En la política, se requieren los siguientes permisos cuando los objetos de S3 del bucket de origen contienen etiquetas: 

s3:PutObjectTagging
s3:GetObjectTagging
s3:GetObjectVersionTagging

Eliminar permisos del rol de servicio de CodePipeline

Puede editar la instrucción del rol de servicio para quitar el acceso a los recursos que no use. Por ejemplo, si ninguna de sus canalizaciones incluye Elastic Beanstalk, puede editar la instrucción de política para quitar la sección que concede acceso a los recursos de Elastic Beanstalk.

Del mismo modo, si ninguna de sus canalizaciones incluye CodeDeploy, edite la instrucción de política para quitar la sección que concede acceso a los recursos de CodeDeploy:

    {
    "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetApplicationRevision",
        "codedeploy:GetDeployment",
        "codedeploy:GetDeploymentConfig",
        "codedeploy:RegisterApplicationRevision"
    ],
    "Resource": "*",
    "Effect": "Allow"
},

Añadir permisos al rol de servicio de CodePipeline

Debe actualizar su instrucción de política del rol de servicio con los permisos de Servicio de AWS que no se hayan incluido en la instrucción de política predeterminada del rol de servicio para poder usarlos en las canalizaciones.

Esto resulta de gran importancia si el rol de servicio que usa en sus canalizaciones se creó antes de que CodePipeline admitiera un Servicio de AWS.

En la siguiente tabla se muestra cuándo se añadió la compatibilidad con otros Servicios de AWS.

Servicio de AWS Fecha de soporte de CodePipeline
Se ha agregado compatibilidad con la acción de invocación de CodePipeline. Consulte Permisos de la política de rol de servicio para la acción de invocación de CodePipeline. 14 de marzo de 2025
Se ha agregado compatibilidad con la acción de EC2. Consulte Permisos de la política de rol de servicio para la acción de implementación de EC2. 21 de febrero de 2025
Se ha agregado compatibilidad con la acción de EKS. Consulte Permisos para las políticas de roles de servicio. 20 de febrero de 2025
Se ha agregado compatibilidad con la acción ECRBuildAndPublish de Amazon Elastic Container Registry. Consulte Permisos del rol de servicio: acción ECRBuildAndPublish. 22 de noviembre de 2024
Se ha agregado compatibilidad con la acción InspectorScan de Amazon Inspector. Consulte Permisos del rol de servicio: acción InspectorScan. 22 de noviembre de 2024
Se ha agregado compatibilidad con la acción Commands. Consulte Permisos del rol de servicio: acción de Comandos. 3 de octubre de 2024
Se ha agregado compatibilidad con la acción de CloudFormation. Consulte Permisos del rol de servicio: acción CloudFormationStackSet y Permisos del rol de servicio: acción CloudFormationStackInstances. 30 de diciembre de 2020
Se ha agregado compatibilidad con la acción de CodeCommit para el formato de artefacto de salida de clonación completa. Consulte Permisos del rol de servicio: acción de CodeCommit. 11 de noviembre de 2020
Se ha agregado compatibilidad con las acciones de compilación por lotes de CodeBuild. Consulte Permisos del rol de servicio: acción de CodeCommit. 30 de julio de 2020
Se ha agregado compatibilidad con la acción de AWS AppConfig. Consulte Permisos del rol de servicio: acción de AppConfig. 22 de junio de 2020
Se ha agregado compatibilidad con la acción de AWS Step Functions. Consulte Permisos del rol de servicio: acción StepFunctions. 27 de mayo de 2020
Se ha agregado compatibilidad con las acciones de AWS CodeStar Connections. Consulte Permisos del rol de servicio: acción de CodeConnections. 18 de diciembre de 2019
Se ha agregado compatibilidad con la acción de implementación de S3. Consulte Permisos del rol de servicio: acción de implementación de S3. 16 de enero de 2019
Se ha agregado compatibilidad con la acción CodeDeployToECS. Consulte Permisos del rol de servicio: acción de CodeDeployToECS. 27 de noviembre de 2018
Se ha agregado compatibilidad con la acción de Amazon ECR. Consulte Permisos del rol de servicio: acción de Amazon ECR. 27 de noviembre de 2018
Se ha agregado compatibilidad con la acción de Service Catalog. Consulte Permisos del rol de servicio: acción de Service Catalog. 16 de octubre de 2018
Se ha agregado compatibilidad con la acción de AWS Device Farm. Consulte Permisos del rol de servicio: acción de AWS Device Farm. 19 de julio de 2018
Se ha agregado compatibilidad con la acción de Amazon ECS. Consulte Permisos del rol de servicio: acción estándar de Amazon ECS. 12 de diciembre de 2017 /Actualización para optar por la autorización de etiquetado el 21 de julio de 2017
Se ha agregado compatibilidad con la acción de CodeCommit. Consulte Permisos del rol de servicio: acción de CodeCommit. 18 de abril de 2016
Se ha agregado compatibilidad con la acción de AWS OpsWorks. Consulte Permisos del rol de servicio: acción de AWS OpsWorks. 2 de junio de 2016
Se ha agregado compatibilidad con la acción de CloudFormation. Consulte Permisos del rol de servicio: acción de CloudFormation. 3 de noviembre de 2016
Se ha agregado compatibilidad con la acción de AWS CodeBuild. Consulte Permisos del rol de servicio: acción de CodeBuild. 1 de diciembre de 2016
Se ha agregado compatibilidad con la acción de Elastic Beanstalk. Consulte Permisos del rol de servicio: acción de implementación ElasticBeanstalk. Lanzamiento del servicio inicial
Se ha agregado compatibilidad con la acción de CodeDeploy. Consulte Permisos del rol de servicio: acción de AWS CodeDeploy. Lanzamiento del servicio inicial
Se ha agregado compatibilidad con la acción de origen de S3. Consulte Permisos del rol de servicio: acción de origen de S3. Lanzamiento del servicio inicial

Siga estos pasos para añadir permisos a un servicio compatible:

  1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En la consola de IAM, en el panel de navegación, elija Roles y seleccione su rol AWS-CodePipeline-Service en la lista de roles.

  3. En la pestaña Permisos, en Políticas en línea, en la fila de su política de rol de servicio, elija Editar política.

  4. Añada los permisos necesarios en el cuadro Documento de política.

    nota

    Al crear políticas de IAM, siga los consejos de seguridad estándar de concesión de privilegios mínimos, es decir, conceder solo los permisos necesarios para realizar una tarea. Algunas llamadas a la API admiten los permisos basados en recursos y permiten limitar el acceso. Por ejemplo, en este caso, para limitar los permisos cuando se llama a DescribeTasks y ListTasks, puede sustituir el carácter comodín (*) por un ARN de recurso o por un ARN de recurso que contenga un carácter comodín (*). Para obtener más información acerca de la creación de un política que concede acceso con privilegios mínimos, consulte https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege.

  5. Elija Revisar política para asegurarse de que la política no contiene errores. Cuando la política no tenga errores, elija Aplicar política.