Identity and Access Management und Amazon CodeCatalyst - Amazon CodeCatalyst
Identitätsbasierte RichtlinienRichtlinienaktionenRichtlinienressourcenBedingungsschlüssel für die RichtlinieBeispiele für identitätsbasierte Richtlinien für mit Amazon verbundene Konten CodeCatalyst CodeCatalyst Referenz zu Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identity and Access Management und Amazon CodeCatalyst

In Amazon CodeCatalyst erstellen und verwenden Sie eine AWS Builder-ID, um sich anzumelden und auf Ihre Bereiche und Projekte zuzugreifen. Eine AWS Builder-ID ist keine Identität in AWS Identity and Access Management (IAM) und existiert nicht in einer AWS-Konto. CodeCatalyst Wird jedoch in IAM integriert, wenn ein Space zu Abrechnungszwecken verifiziert wird und wenn eine Verbindung hergestellt wird, um dort Ressourcen AWS-Konto zu erstellen und zu verwenden. AWS-Konto

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren steuern, wer für die Nutzung von Ressourcen authentifiziert (angemeldet) und autorisiert (über Berechtigungen verfügen) werden kann. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

Wenn Sie einen Bereich bei Amazon erstellen CodeCatalyst, müssen Sie ein Konto AWS-Konto als Rechnungskonto für Ihren Bereich einrichten. Sie müssen über Administratorrechte für verfügen, AWS-Konto um den CodeCatalyst Bereich zu verifizieren, oder über die entsprechende Berechtigung verfügen. Sie haben auch die Möglichkeit, Ihrem Bereich eine IAM-Rolle hinzuzufügen, mit der Sie Ressourcen in dem verbundenen AWS-Konto Bereich erstellen und darauf zugreifen CodeCatalyst können. Dies wird als Servicerolle bezeichnet. Sie können wählen, ob Sie Verbindungen zu mehr als einem Konto herstellen AWS-Konto und für CodeCatalyst jedes dieser Konten Servicerollen erstellen möchten.

Anmerkung

CodeCatalyst Die Abrechnung erfolgt über das als Rechnungskonto AWS-Konto angegebene Konto. Wenn Sie jedoch in dieser AWS-Konto oder einer anderen verbundenen Rolle eine CodeCatalyst Servicerolle erstellen, werden Ressourcen AWS-Konto, die von der CodeCatalyst Servicerolle erstellt und genutzt wurden, in der verbundenen AWS-Konto Rolle abgerechnet. Weitere Informationen finden Sie unter Abrechnung verwalten im CodeCatalyst Amazon-Administratorhandbuch.

Themen

Identitätsbasierte Richtlinien in IAM

Identitätsbasierte Richtlinien sind Richtliniendokumente für JSON-Berechtigungen, die Sie an eine Identität anhängen können. Bei dieser Identität kann es sich um einen Benutzer, eine Benutzergruppe oder eine Rolle handeln. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Sie können den Prinzipal nicht in einer identitätsbasierten Richtlinie angeben, da er für den Benutzer oder die Rolle gilt, dem er zugeordnet ist. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der IAM-Referenz für JSON-Richtlinienelemente im IAM-Benutzerhandbuch.

Beispiele für identitätsbasierte Richtlinien für CodeCatalyst

Beispiele für CodeCatalyst identitätsbasierte Richtlinien finden Sie unter. Beispiele für identitätsbasierte Richtlinien für Verbindungen CodeCatalyst

Richtlinienaktionen in IAM

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Principal kann welche Aktionen mit welchen Ressourcen und unter welchen Bedingungen ausführen.

Das Element Action einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API-Vorgang. Es gibt einige Ausnahmen, z. B. Aktionen, die nur mit Genehmigung durchgeführt werden können und für die es keinen passenden API-Vorgang gibt. Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:

"Action": [
      "prefix:action1",
      "prefix:action2"
         ]

Richtlinienressourcen in IAM

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Principal kann welche Aktionen mit welchen Ressourcen und unter welchen Bedingungen ausführen.

Das JSON-Richtlinienelement Resource gibt die Objekte an, auf welche die Aktion angewendet wird. Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten. Als bewährte Methode geben Sie eine Ressource mit dem zugehörigen Amazon-Ressourcennamen (ARN) an. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als Berechtigungen auf Ressourcenebene bezeichnet wird.

Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

"Resource": "*"

Schlüssel zur Richtlinienbedingung in IAM

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher Principal kann welche Aktionen mit welchen Ressourcen und unter welchen Bedingungen ausführen.

Das Element Condition (oder Condition block) ermöglicht Ihnen die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Element Condition ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.

Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, wertet AWS die Bedingung mittels einer logischen OR-Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.

Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Weitere Informationen finden Sie unter IAM-Richtlinienelemente: Variablen und Tags im IAM-Benutzerhandbuch.

AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Liste aller globalen AWS -Bedingungsschlüssel finden Sie unter Globale AWS -Bedingungskontextschlüssel im IAM-Benutzerhandbuch.

Beispiele für identitätsbasierte Richtlinien für Verbindungen CodeCatalyst

In CodeCatalyst, AWS-Konten sind erforderlich, um die Abrechnung für einen Raum zu verwalten und auf Ressourcen in Projekt-Workflows zuzugreifen. Eine Kontoverbindung wird verwendet, um das Hinzufügen zu einem Bereich AWS-Konten zu autorisieren. Im verbundenen Bereich werden identitätsbasierte Richtlinien verwendet. AWS-Konten

Standardmäßig sind Benutzer und Rollen nicht berechtigt, Ressourcen zu erstellen oder zu ändern. CodeCatalyst Sie können auch keine Aufgaben mithilfe der AWS Management Console, AWS Command Line Interface (AWS CLI) oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen. Der Administrator muss diese Richtlinien anschließend den Benutzern anfügen, die sie benötigen.

Das folgende Beispiel für IAM-Richtlinien gewährt Berechtigungen für Aktionen im Zusammenhang mit Kontoverbindungen. Verwenden Sie sie, um den Zugriff für das Verbinden von Konten mit einzuschränken. CodeCatalyst

Beispiel 1: Erlauben Sie einem Benutzer, Verbindungsanfragen in einer einzigen Datei anzunehmen AWS-Region

Die folgende Berechtigungsrichtlinie ermöglicht es Benutzern nur, Anfragen für Verbindungen zwischen und anzuzeigen CodeCatalyst und zu akzeptieren AWS-Konten. Darüber hinaus verwendet die Richtlinie die Bedingung, dass nur Aktionen in der Region US-West-2 und nicht von anderen Regionen aus zulässig sind. AWS-Regionen Um die Anfrage anzusehen und zu genehmigen, meldet sich der Benutzer AWS Management Console mit demselben Konto an, das in der Anfrage angegeben ist. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:GetPendingConnection"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": "us-west-2"
        }
      }
    }
  ]
}

Beispiel 2: Erlaube die Verwaltung von Verbindungen in der Konsole für eine einzelne Person AWS-Region

Die folgende Berechtigungsrichtlinie ermöglicht es Benutzern, Verbindungen zwischen CodeCatalyst und AWS-Konten in einer einzelnen Region zu verwalten. Die Richtlinie verwendet eine Bedingung, um nur Aktionen in der Region US-West-2 und nicht von anderen Regionen aus zuzulassen. AWS-Regionen Nachdem Sie eine Verbindung hergestellt haben, können Sie die CodeCatalystWorkflowDevelopmentRole-spaceNameRolle erstellen, indem Sie die Option im auswählen. AWS Management Console In der Beispielrichtlinie umfasst die Bedingung für die iam:PassRole Aktion die Dienstprinzipale für CodeCatalyst. Nur Rollen mit diesem Zugriff werden in der AWS Management Console erstellt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codecatalyst:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": "us-west-2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "codecatalyst.amazonaws.com",
                        "codecatalyst-runner.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Beispiel 3: Verweigern Sie die Verwaltung von Verbindungen

Die folgende Berechtigungsrichtlinie verweigert Benutzern jegliche Möglichkeit, Verbindungen zwischen CodeCatalyst und AWS-Konten zu verwalten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "codecatalyst:*"
            ],
            "Resource": "*"
        }
    ]
}

CodeCatalyst Referenz zu Berechtigungen

Dieser Abschnitt enthält eine Berechtigungsreferenz für Aktionen, die mit der Kontoverbindungsressource verwendet werden AWS-Konten , mit der eine Verbindung hergestellt wurde CodeCatalyst. Im folgenden Abschnitt werden Aktionen beschrieben, bei denen es nur um Berechtigungen geht und die sich auf das Verbinden von Konten beziehen.

Erforderliche Berechtigungen für Kontoverbindungen

Die folgenden Berechtigungen sind für die Arbeit mit Kontoverbindungen erforderlich.

CodeCatalyst Berechtigungen für Kontoverbindungen Erforderliche Berechtigungen Ressourcen
AcceptConnection Erforderlich, um eine Anfrage zur Verbindung dieses Kontos mit einem CodeCatalyst Bereich anzunehmen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion.

Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
AssociateIamRoleToConnection Erforderlich, um einer Kontoverbindung eine IAM-Rolle zuzuordnen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
DeleteConnection Erforderlich, um eine Kontoverbindung zu löschen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
DisassociateIamRoleFromConnection Erforderlich, um eine IAM-Rolle von einer Kontoverbindung zu trennen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
GetBillingAuthorization Erforderlich, um die Abrechnungsautorisierung für eine Kontoverbindung zu beschreiben. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
GetConnection Erforderlich, um eine Kontoverbindung herzustellen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
GetPendingConnection Erforderlich, um eine ausstehende Anfrage zur Verbindung dieses Kontos mit einem CodeCatalyst Bereich zu erhalten. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion.

Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
ListConnections Erforderlich, um Kontoverbindungen aufzulisten, die noch nicht ausstehen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion.

Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
ListIamRolesForConnection Erforderlich, um die mit einer Kontoverbindung verknüpften IAM-Rollen aufzulisten. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
ListTagsForResource Erforderlich, um Tags aufzulisten, die einer Kontoverbindung zugeordnet sind. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
PutBillingAuthorization Erforderlich, um die Abrechnungsautorisierung für eine Kontoverbindung zu erstellen oder zu aktualisieren. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
RejectConnection Erforderlich, um eine Anfrage zur Verbindung dieses Kontos mit einem CodeCatalyst Bereich abzulehnen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion.

Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
TagResource Erforderlich, um Tags zu erstellen oder zu bearbeiten, die mit einer Kontoverbindung verknüpft sind. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
UntagResource Erforderlich, um Tags zu entfernen, die mit einer Kontoverbindung verknüpft sind. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID

Erforderliche Berechtigungen für IAM Identity Center-Anwendungen

Die folgenden Berechtigungen sind für die Arbeit mit IAM Identity Center-Anwendungen erforderlich.

CodeCatalyst Berechtigungen für IAM Identity Center-Anwendungen Erforderliche Berechtigungen Ressourcen
AssociateIdentityCenterApplicationToSpace Erforderlich, um eine IAM Identity Center-Anwendung einem CodeCatalyst Bereich zuzuordnen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
AssociateIdentityToIdentityCenterApplication Erforderlich, um einer IAM Identity Center-Anwendung für einen Bereich eine CodeCatalyst Identität zuzuordnen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
BatchAssociateIdentitiesToIdentityCenterApplication Erforderlich, um einer IAM Identity Center-Anwendung für einen Bereich mehrere Identitäten zuzuordnen. CodeCatalyst Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
BatchDisassociateIdentitiesFromIdentityCenterApplication Erforderlich, um die Zuordnung mehrerer Identitäten zu einer IAM Identity Center-Anwendung für einen Bereich zu trennen. CodeCatalyst Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
CreateIdentityCenterApplication Erforderlich, um eine IAM Identity Center-Anwendung zu erstellen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
CreateSpaceAdminRoleAssignment Erforderlich, um eine Administratorrollenzuweisung für einen bestimmten CodeCatalyst Bereich und eine IAM Identity Center-Anwendung zu erstellen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
DeleteIdentityCenterApplication Erforderlich, um eine IAM Identity Center-Anwendung zu löschen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
DisassociateIdentityCenterApplicationFromSpace Erforderlich, um die Zuordnung einer IAM Identity Center-Anwendung zu einem Bereich zu trennen. CodeCatalyst Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
DisassociateIdentityFromIdentityCenterApplication Erforderlich, um die Zuordnung einer Identität zu einer IAM Identity Center-Anwendung für einen Bereich zu trennen. CodeCatalyst Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
GetIdentityCenterApplication Erforderlich, um Informationen über eine IAM Identity Center-Anwendung abzurufen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
ListIdentityCenterApplications Erforderlich, um eine Liste aller IAM Identity Center-Anwendungen im Konto anzuzeigen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion.

Unterstützt nur einen Platzhalter (*) im Resource-Richtlinienelement.
ListIdentityCenterApplicationsForSpace Erforderlich, um eine nach Speicherplatz geordnete Liste der IAM Identity Center-Anwendungen anzuzeigen. CodeCatalyst Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
ListSpacesForIdentityCenterApplication Erforderlich, um eine Liste der CodeCatalyst Bereiche nach IAM Identity Center-Anwendung anzuzeigen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
SynchronizeIdentityCenterApplication Erforderlich, um eine IAM Identity Center-Anwendung mit dem zugrunde liegenden Identitätsspeicher zu synchronisieren. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
UpdateIdentityCenterApplication Erforderlich, um eine IAM Identity Center-Anwendung zu aktualisieren. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID