我们有用户从我们的登录帐户登录到 CI/CD 帐户 - 通常具有管理员或只读角色。
我们想在 CI/CD 账户中使用 IAM 组,以便只有特定组中的用户可以批准/拒绝部署(但我们在 CI/CD 账户中没有用户)。我们只有所需的组。但是,由于我们不在 CI/CD 账户中创建用户,而只是从我们的登陆账户中承担角色,我们如何在代码管道中使用 IAM 审批?
我们有用户从我们的登录帐户登录到 CI/CD 帐户 - 通常具有管理员或只读角色。
我们想在 CI/CD 账户中使用 IAM 组,以便只有特定组中的用户可以批准/拒绝部署(但我们在 CI/CD 账户中没有用户)。我们只有所需的组。但是,由于我们不在 CI/CD 账户中创建用户,而只是从我们的登陆账户中承担角色,我们如何在代码管道中使用 IAM 审批?
组仅与用户一起使用,因此在这种情况下不起作用。您需要在相关角色的策略中分配权限:
例如:
管道 Arn:arn:aws:codepipeline:eu-west-1:123456789:my-pipeline
管道阶段名称:Prod
批准操作名称:Approve-Prod
- Action:
- codepipeline:PutApprovalResult
Effect: Allow
Resource:
- arn:aws:codepipeline:eu-west-1:123456789:my-pipeline/Prod/Approve-Prod
您可以将AWSCodePipelineApproverAccess
角色分配给可以批准的组
https://docs.aws.amazon.com/codepipeline/latest/userguide/approvals.html