Amazon CodeCatalyst ist nicht mehr offen für Neukunden. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [Wie migriert man von CodeCatalyst](migration.md).

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Identity and Access Management und Amazon CodeCatalyst
<a name="security-iam"></a>

In Amazon CodeCatalyst erstellen und verwenden Sie eine AWS Builder-ID, um sich anzumelden und auf Ihre Bereiche und Projekte zuzugreifen. Eine AWS Builder-ID ist keine Identität in AWS Identity and Access Management (IAM) und existiert nicht in einer AWS-Konto. CodeCatalyst Wird jedoch in IAM integriert, wenn ein Space zu Abrechnungszwecken verifiziert wird und wenn eine Verbindung hergestellt wird, um dort Ressourcen AWS-Konto zu erstellen und zu verwenden. AWS-Konto

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren steuern, wer für die Nutzung von Ressourcen *authentifiziert* (angemeldet) und *autorisiert* (über Berechtigungen verfügen) werden kann. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

Wenn Sie einen Bereich bei Amazon erstellen CodeCatalyst, müssen Sie ein Konto AWS-Konto als Rechnungskonto für Ihren Bereich einrichten. Sie müssen über Administratorrechte für verfügen, AWS-Konto um den CodeCatalyst Bereich zu verifizieren, oder über die entsprechende Berechtigung verfügen. Sie haben auch die Möglichkeit, Ihrem Bereich eine IAM-Rolle hinzuzufügen, mit der Sie Ressourcen in dem verbundenen AWS-Konto Bereich erstellen und darauf zugreifen CodeCatalyst können. Dies wird als [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) bezeichnet. Sie können wählen, ob Sie Verbindungen zu mehr als einem Konto herstellen AWS-Konto und für CodeCatalyst jedes dieser Konten Servicerollen erstellen möchten. 

**Anmerkung**  
 CodeCatalyst Die Abrechnung erfolgt über das als Rechnungskonto AWS-Konto angegebene Konto. Wenn Sie jedoch in dieser AWS-Konto oder einer anderen verbundenen Rolle eine CodeCatalyst Servicerolle erstellen, werden Ressourcen AWS-Konto, die von der CodeCatalyst Servicerolle erstellt und genutzt wurden, in der verbundenen AWS-Konto Rolle abgerechnet. Weitere Informationen finden Sie unter [Abrechnung verwalten](https://docs.aws.amazon.com/codecatalyst/latest/adminguide/managing-billing.html) im CodeCatalyst Amazon-Administratorhandbuch.

**Topics**
+ [Identitätsbasierte Richtlinien in IAM](#id-based-policies)
+ [Richtlinienaktionen in IAM](#id-based-policies-actions)
+ [Richtlinienressourcen in IAM](#id-based-policies-resources)
+ [Schlüssel zur Richtlinienbedingung in IAM](#id-based-policies-conditionkeys)
+ [Beispiele für identitätsbasierte Richtlinien für Verbindungen CodeCatalyst](#id-based-policy-examples)
+ [Verwenden von Tags zur Steuerung des Zugriffs auf Kontoverbindungsressourcen](id-based-policy-examples-tags.md)
+ [CodeCatalyst Referenz zu Berechtigungen](#permissions-reference)
+ [Verwenden von serviceverknüpften Rollen für CodeCatalyst](using-service-linked-roles.md)
+ [AWS verwaltete Richtlinien für Amazon CodeCatalyst](security-iam-awsmanpol.md)
+ [Zugriff auf AWS Projektressourcen mit IAM-Rollen gewähren](ipa-iam-roles.md)

## Identitätsbasierte Richtlinien in IAM
<a name="id-based-policies"></a>

Identitätsbasierte Richtlinien sind Richtliniendokumente für JSON-Berechtigungen, die Sie an eine Identität anhängen können. Bei dieser Identität kann es sich um einen Benutzer, eine Benutzergruppe oder eine Rolle handeln. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Sie können den Prinzipal nicht in einer identitätsbasierten Richtlinie angeben, da er für den Benutzer oder die Rolle gilt, dem er zugeordnet ist. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

### Beispiele für identitätsbasierte Richtlinien für CodeCatalyst
<a name="id-based-policies-examples"></a>



Beispiele für CodeCatalyst identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Verbindungen CodeCatalyst](#id-based-policy-examples)

## Richtlinienaktionen in IAM
<a name="id-based-policies-actions"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Principal** kann welche **Aktionen** mit welchen **Ressourcen** und unter welchen **Bedingungen** ausführen.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API-Vorgang. Es gibt einige Ausnahmen, z. B. *Aktionen, die nur mit Genehmigung durchgeführt werden können* und für die es keinen passenden API-Vorgang gibt. Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als *abhängige Aktionen* bezeichnet.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:

```
"Action": [
      "prefix:action1",
      "prefix:action2"
         ]
```

## Richtlinienressourcen in IAM
<a name="id-based-policies-resources"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Principal** kann welche **Aktionen** mit welchen **Ressourcen** und unter welchen **Bedingungen** ausführen.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Anweisungen müssen entweder ein – `Resource`oder ein `NotResource`-Element enthalten. Als bewährte Methode geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) an. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als *Berechtigungen auf Ressourcenebene* bezeichnet wird.

Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

## Schlüssel zur Richtlinienbedingung in IAM
<a name="id-based-policies-conditionkeys"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Principal** kann welche **Aktionen** mit welchen **Ressourcen** und unter welchen **Bedingungen** ausführen.

Das Element `Condition` (oder `Condition` *block*) ermöglicht Ihnen die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Element `Condition` ist optional. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. 

Wenn Sie mehrere `Condition`-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen `Condition`-Element angeben, wertet AWS diese mittels einer logischen `AND`-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, wertet AWS die Bedingung mittels einer logischen `OR`-Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.

 Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Weitere Informationen finden Sie unter [IAM-Richtlinienelemente: Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *IAM-Benutzerhandbuch*. 

AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Liste aller globalen AWS -Bedingungsschlüssel finden Sie unter [Globale AWS -Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

## Beispiele für identitätsbasierte Richtlinien für Verbindungen CodeCatalyst
<a name="id-based-policy-examples"></a>

In CodeCatalyst, AWS-Konten sind erforderlich, um die Abrechnung für einen Raum zu verwalten und auf Ressourcen in Projekt-Workflows zuzugreifen. Eine Kontoverbindung wird verwendet, um das Hinzufügen zu einem Bereich AWS-Konten zu autorisieren. Im verbundenen Bereich werden identitätsbasierte Richtlinien verwendet. AWS-Konten

Benutzer und Rollen haben standardmäßig nicht die Berechtigung, CodeCatalyst-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe der AWS-Managementkonsole, AWS Command Line Interface (AWS CLI) oder API ausführen. AWS Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen. Der Administrator muss diese Richtlinien anschließend den Benutzern anfügen, die sie benötigen.

Das folgende Beispiel für IAM-Richtlinien gewährt Berechtigungen für Aktionen im Zusammenhang mit Kontoverbindungen. Verwenden Sie sie, um den Zugriff für das Verbinden von Konten mit einzuschränken. CodeCatalyst

### Beispiel 1: Erlauben Sie einem Benutzer, Verbindungsanfragen in einer einzigen Datei anzunehmen AWS-Region
<a name="id-based-policy-examples-accept-only"></a>

Die folgende Berechtigungsrichtlinie ermöglicht es Benutzern nur, Anfragen für Verbindungen zwischen und anzuzeigen CodeCatalyst und zu akzeptieren AWS-Konten. Darüber hinaus verwendet die Richtlinie die Bedingung, dass nur Aktionen in der Region US-West-2 und nicht von anderen Regionen aus zulässig sind. AWS-Regionen Um die Anfrage anzusehen und zu genehmigen, meldet sich der Benutzer AWS-Managementkonsole mit demselben Konto an, das in der Anfrage angegeben ist. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:GetPendingConnection"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": "us-west-2"
        }
      }
    }
  ]
}
```

------

### Beispiel 2: Erlaube die Verwaltung von Verbindungen in der Konsole für eine einzelne Person AWS-Region
<a name="id-based-policy-examples-allow"></a>

Die folgende Berechtigungsrichtlinie ermöglicht es Benutzern, Verbindungen zwischen CodeCatalyst und AWS-Konten in einer einzelnen Region zu verwalten. Die Richtlinie verwendet eine Bedingung, um nur Aktionen in der Region US-West-2 und nicht von anderen Regionen aus zuzulassen. AWS-Regionen Nachdem Sie eine Verbindung hergestellt haben, können Sie die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Rolle erstellen, indem Sie die Option im auswählen. AWS-Managementkonsole In der Beispielrichtlinie umfasst die Bedingung für die `iam:PassRole` Aktion die Dienstprinzipale für CodeCatalyst. Nur Rollen mit diesem Zugriff werden in der AWS-Managementkonsole erstellt.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codecatalyst:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": "us-west-2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "codecatalyst.amazonaws.com",
                        "codecatalyst-runner.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### Beispiel 3: Verweigern Sie die Verwaltung von Verbindungen
<a name="id-based-policy-examples-deny"></a>

Die folgende Berechtigungsrichtlinie verweigert Benutzern jegliche Möglichkeit, Verbindungen zwischen CodeCatalyst und AWS-Konten zu verwalten.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "codecatalyst:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Verwenden von Tags zur Steuerung des Zugriffs auf Kontoverbindungsressourcen
<a name="id-based-policy-examples-tags"></a>

Tags können an die Ressource angehängt oder in der Anfrage an Dienste weitergegeben werden, die Tagging unterstützen. Ressourcen in Richtlinien können Tags enthalten, und einige Aktionen in Richtlinien können Tags enthalten. Zu den Bedingungsschlüsseln für Tagging gehören die `aws:ResourceTag` Bedingungsschlüssel `aws:RequestTag` und. Wenn Sie eine IAM-Richtlinie erstellen, können Sie Markierungs-Bedingungsschlüssel verwenden, um Folgendes zu kontrollieren:
+ Welche Benutzer auf der Grundlage von Tags, über die sie bereits verfügt, Aktionen an einer Verbindungsressource ausführen können.
+ Welche Tags in der Anforderung einer Aktion übergeben werden können.
+ Ob bestimmte Tag-Schlüssel in einer Anforderung verwendet werden können.

Die folgenden Beispiele zeigen, wie Tag-Bedingungen in Richtlinien für CodeCatalyst Kontoverbindungsbenutzer festgelegt werden. Weitere Informationen über Bedingungsschlüssel finden Sie unter [Schlüssel zur Richtlinienbedingung in IAM](security-iam.md#id-based-policies-conditionkeys).

## Beispiel 1: Erlauben Sie Aktionen, die auf Tags in der Anfrage basieren
<a name="id-based-policy-examples-tags-request"></a>

Die folgende Richtlinie gewährt Benutzern die Erlaubnis, Kontoverbindungen zu genehmigen.

Hierfür werden die Aktionen `AcceptConnection` und `TagResource` zugelassen, wenn die Anforderung ein Tag mit dem Namen `Project` und dem Wert `ProjectA` angibt. (Der Bedingungsschlüssel `aws:RequestTag` wird verwendet, um zu steuern, welche Tags in einer IAM-Anforderung übergeben werden können.) Die Bedingung `aws:TagKeys` stellt sicher, dass bei Tag-Schlüsseln die Groß- und Kleinschreibung beachtet wird.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Project": "ProjectA"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["Project"]
        }
      }
    }
  ]
}
```

------

## Beispiel 2: Aktionen auf der Grundlage von Ressourcen-Tags zulassen
<a name="id-based-policy-examples-tags-resource"></a>

Die folgende Richtlinie gewährt Benutzern die Erlaubnis, Aktionen an Kontoverbindungsressourcen durchzuführen und Informationen darüber abzurufen.

Zu diesem Zweck sind bestimmte Aktionen zulässig, wenn die Verbindung über ein Tag verfügt, das `Project` mit dem Wert benannt ist`ProjectA`. (Der Bedingungsschlüssel `aws:ResourceTag` wird verwendet, um zu steuern, welche Tags in einer IAM-Anforderung übergeben werden können.)

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:GetConnection",
        "codecatalyst:DeleteConnection",
        "codecatalyst:AssociateIamRoleToConnection",
        "codecatalyst:DisassociateIamRoleFromConnection",
        "codecatalyst:ListIamRolesForConnection",
        "codecatalyst:PutBillingAuthorization"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "ProjectA"
        }
      }
    }
  ]
}
```

------

## CodeCatalyst Referenz zu Berechtigungen
<a name="permissions-reference"></a>

Dieser Abschnitt enthält eine Berechtigungsreferenz für Aktionen, die mit der Kontoverbindungsressource verwendet werden AWS-Konten , mit der eine Verbindung hergestellt wurde CodeCatalyst. Im folgenden Abschnitt werden Aktionen beschrieben, bei denen es nur um Berechtigungen geht und die sich auf das Verbinden von Konten beziehen.

### Erforderliche Berechtigungen für Kontoverbindungen
<a name="permissions-reference-connections"></a>

 Die folgenden Berechtigungen sind für die Arbeit mit Kontoverbindungen erforderlich.


****  

| CodeCatalyst Berechtigungen für Kontoverbindungen | Erforderliche Berechtigungen | Ressourcen | 
| --- | --- | --- | 
| AcceptConnection | Erforderlich, um eine Anfrage zur Verbindung dieses Kontos mit einem CodeCatalyst Bereich anzunehmen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. |  Unterstützt nur einen Platzhalter (\$1) im `Resource`-Richtlinienelement.  | 
| AssociateIamRoleToConnection | Erforderlich, um einer Kontoverbindung eine IAM-Rolle zuzuordnen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| DeleteConnection | Erforderlich, um eine Kontoverbindung zu löschen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| DisassociateIamRoleFromConnection | Erforderlich, um eine IAM-Rolle von einer Kontoverbindung zu trennen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| GetBillingAuthorization | Erforderlich, um die Abrechnungsautorisierung für eine Kontoverbindung zu beschreiben. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| GetConnection | Erforderlich, um eine Kontoverbindung herzustellen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| GetPendingConnection | Erforderlich, um eine ausstehende Anfrage zur Verbindung dieses Kontos mit einem CodeCatalyst Bereich zu erhalten. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. |  Unterstützt nur einen Platzhalter (\$1) im `Resource`-Richtlinienelement.  | 
| ListConnections | Erforderlich, um Kontoverbindungen aufzulisten, die nicht ausstehen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. |  Unterstützt nur einen Platzhalter (\$1) im `Resource`-Richtlinienelement.  | 
| ListIamRolesForConnection | Erforderlich, um die mit einer Kontoverbindung verknüpften IAM-Rollen aufzulisten. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| ListTagsForResource | Erforderlich, um Tags aufzulisten, die einer Kontoverbindung zugeordnet sind. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| PutBillingAuthorization | Erforderlich, um die Abrechnungsautorisierung für eine Kontoverbindung zu erstellen oder zu aktualisieren. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| RejectConnection | Erforderlich, um eine Anfrage zur Verbindung dieses Kontos mit einem CodeCatalyst Bereich abzulehnen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. |  Unterstützt nur einen Platzhalter (\$1) im `Resource`-Richtlinienelement.  | 
| TagResource | Erforderlich, um Tags zu erstellen oder zu bearbeiten, die mit einer Kontoverbindung verknüpft sind. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| UntagResource | Erforderlich, um Tags zu entfernen, die mit einer Kontoverbindung verknüpft sind. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 

### Erforderliche Berechtigungen für IAM Identity Center-Anwendungen
<a name="permissions-reference-applications"></a>

 Die folgenden Berechtigungen sind für die Arbeit mit IAM Identity Center-Anwendungen erforderlich.


****  

| CodeCatalyst Berechtigungen für IAM Identity Center-Anwendungen | Erforderliche Berechtigungen | Ressourcen | 
| --- | --- | --- | 
| AssociateIdentityCenterApplicationToSpace | Erforderlich, um eine IAM Identity Center-Anwendung einem CodeCatalyst Bereich zuzuordnen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| AssociateIdentityToIdentityCenterApplication | Erforderlich, um einer IAM Identity Center-Anwendung für einen Bereich eine CodeCatalyst Identität zuzuordnen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| BatchAssociateIdentitiesToIdentityCenterApplication | Erforderlich, um einer IAM Identity Center-Anwendung für einen Bereich mehrere Identitäten zuzuordnen. CodeCatalyst Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| BatchDisassociateIdentitiesFromIdentityCenterApplication | Erforderlich, um die Zuordnung mehrerer Identitäten zu einer IAM Identity Center-Anwendung für einen Bereich zu trennen. CodeCatalyst Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| CreateIdentityCenterApplication | Erforderlich, um eine IAM Identity Center-Anwendung zu erstellen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| CreateSpaceAdminRoleAssignment | Erforderlich, um eine Administratorrollenzuweisung für einen bestimmten CodeCatalyst Bereich und eine IAM Identity Center-Anwendung zu erstellen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| DeleteIdentityCenterApplication | Erforderlich, um eine IAM Identity Center-Anwendung zu löschen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| DisassociateIdentityCenterApplicationFromSpace | Erforderlich, um die Zuordnung einer IAM Identity Center-Anwendung zu einem Bereich zu trennen. CodeCatalyst Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| DisassociateIdentityFromIdentityCenterApplication | Erforderlich, um die Zuordnung einer Identität zu einer IAM Identity Center-Anwendung für einen Bereich zu trennen. CodeCatalyst Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| GetIdentityCenterApplication | Erforderlich, um Informationen über eine IAM Identity Center-Anwendung abzurufen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| ListIdentityCenterApplications | Erforderlich, um eine Liste aller IAM Identity Center-Anwendungen im Konto anzuzeigen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. |  Unterstützt nur einen Platzhalter (\$1) im `Resource`-Richtlinienelement.  | 
| ListIdentityCenterApplicationsForSpace | Erforderlich, um eine nach Speicherplatz geordnete Liste der IAM Identity Center-Anwendungen anzuzeigen. CodeCatalyst Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| ListSpacesForIdentityCenterApplication | Erforderlich, um eine Liste der CodeCatalyst Bereiche nach IAM Identity Center-Anwendung anzuzeigen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| SynchronizeIdentityCenterApplication | Erforderlich, um eine IAM Identity Center-Anwendung mit dem zugrunde liegenden Identitätsspeicher zu synchronisieren. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| UpdateIdentityCenterApplication | Erforderlich, um eine IAM Identity Center-Anwendung zu aktualisieren. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 

# Verwenden von serviceverknüpften Rollen für CodeCatalyst
<a name="using-service-linked-roles"></a>

Amazon CodeCatalyst verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, mit der direkt verknüpft ist. CodeCatalyst Mit Diensten verknüpfte Rollen sind vordefiniert CodeCatalyst und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. 

Eine dienstbezogene Rolle CodeCatalyst erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. CodeCatalyst definiert die Berechtigungen ihrer dienstbezogenen Rollen und CodeCatalyst kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre CodeCatalyst Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.

**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Berechtigungen für dienstverknüpfte Rollen für CodeCatalyst
<a name="slr-permissions"></a>

CodeCatalyst verwendet die serviceverknüpfte Rolle mit dem Namen **AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**— Erlaubt Amazon in Ihrem Namen CodeCatalyst schreibgeschützten Zugriff auf Anwendungsinstanzprofile und zugehörige Verzeichnisbenutzer und -gruppen.

Die serviceverknüpfte Rolle AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `codecatalyst.amazonaws.com`

Die genannte Richtlinie für Rollenberechtigungen AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy ermöglicht es CodeCatalyst , die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `View application instance profiles and associated directory users and groups` für `CodeCatalyst spaces that support identity federation and SSO users and groups`

Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Erstellen einer dienstbezogenen Rolle für CodeCatalyst
<a name="create-slr"></a>

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen Bereich in der AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, CodeCatalyst wird die dienstbezogene Rolle für Sie erstellt. 

**Wichtig**  
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Außerdem gilt: Wenn Sie den CodeCatalyst Dienst vor dem 17. November 2023 genutzt haben, als er begann, dienstbezogene Rollen zu unterstützen, haben Sie die AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization Rolle dann in Ihrem Konto CodeCatalyst erstellt. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem AWS-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Bereich erstellen, CodeCatalyst wird die serviceverknüpfte Rolle erneut für Sie erstellt. 

Sie können die IAM-Konsole auch verwenden, um eine serviceverknüpfte Rolle mit den **Anwendungsbeispielen der View-Anwendungsinstanz und den zugehörigen Verzeichnisbenutzern und -gruppen** zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem `codecatalyst.amazonaws.com` Dienstnamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.

## Bearbeiten einer dienstbezogenen Rolle für CodeCatalyst
<a name="edit-slr"></a>

CodeCatalyst erlaubt es Ihnen nicht, die AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen einer dienstbezogenen Rolle für CodeCatalyst
<a name="delete-slr"></a>

Sie müssen die Rolle AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization nicht manuell löschen. Wenn Sie ein Leerzeichen in der AWS-Managementkonsole, der oder der AWS CLI AWS API löschen, werden die Ressourcen CodeCatalyst bereinigt und die dienstverknüpfte Rolle für Sie gelöscht.

Sie können auch die IAM-Konsole, die AWS CLI oder die AWS API verwenden, um die dienstverknüpfte Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.

**Anmerkung**  
Wenn der CodeCatalyst Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

**Um CodeCatalyst Ressourcen zu löschen, die verwendet werden von AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**
+ [Löschen Sie den Bereich](https://docs.aws.amazon.com/codecatalyst/latest/userguide/spaces-delete.htm).

**So löschen Sie die serviceverknüpfte Rolle mit IAM**

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.

## Unterstützte Regionen für serviceverknüpfte Rollen CodeCatalyst
<a name="slr-regions"></a>

CodeCatalyst unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).

CodeCatalyst unterstützt nicht die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Sie können die Rolle AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization in den folgenden Regionen verwenden.


****  

| Name der Region | Regions-ID | Support in CodeCatalyst | 
| --- | --- | --- | 
| USA Ost (Nord-Virginia) | us-east-1 | Nein | 
| USA Ost (Ohio) | us-east-2 | Nein | 
| USA West (Nordkalifornien) | us-west-1 | Nein | 
| USA West (Oregon) | us-west-2 | Ja | 
| Afrika (Kapstadt) | af-south-1 | Nein | 
| Asien-Pazifik (Hongkong) | ap-east-1 | Nein | 
| Asien-Pazifik (Jakarta) | ap-southeast-3 | Nein | 
| Asien-Pazifik (Mumbai) | ap-south-1 | Nein | 
| Asia Pacific (Osaka) | ap-northeast-3 | Nein | 
| Asien-Pazifik (Seoul) | ap-northeast-2 | Nein | 
| Asien-Pazifik (Singapur) | ap-southeast-1 | Nein | 
| Asien-Pazifik (Sydney) | ap-southeast-2 | Nein | 
| Asien-Pazifik (Tokio) | ap-northeast-1 | Nein | 
| Kanada (Zentral) | ca-central-1 | Nein | 
| Europa (Frankfurt) | eu-central-1 | Nein | 
| Europa (Irland) | eu-west-1 | Ja | 
| Europa (London) | eu-west-2 | Nein | 
| Europa (Milan) | eu-south-1 | Nein | 
| Europa (Paris) | eu-west-3 | Nein | 
| Europa (Stockholm) | eu-north-1 | Nein | 
| Naher Osten (Bahrain) | me-south-1 | Nein | 
| Naher Osten (VAE) | me-central-1 | Nein | 
| Südamerika (São Paulo) | sa-east-1 | Nein | 
| AWS GovCloud (US-Ost) | us-gov-east-1 | Nein | 
| AWS GovCloud (US-West) | us-gov-west-1 | Nein | 

# AWS verwaltete Richtlinien für Amazon CodeCatalyst
<a name="security-iam-awsmanpol"></a>





Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.













## AWS verwaltete Richtlinie: AmazonCodeCatalystSupportAccess
<a name="security-iam-awsmanpol-AmazonCodeCatalystSupportAccess"></a>





Diese Richtlinie gewährt allen Space-Administratoren und Space-Mitgliedern die Erlaubnis, den mit dem Space-Abrechnungskonto verknüpften Premium-Supportplan Business oder Enterprise zu nutzen. Diese Berechtigungen ermöglichen es Space-Administratoren und Mitgliedern, den Premium-Supportplan für die Ressourcen zu nutzen, für die sie im Rahmen CodeCatalyst der Berechtigungsrichtlinien berechtigt sind.



**Details zu Berechtigungen**

Diese Richtlinie umfasst die folgenden Berechtigungen.




+ `support`— Gewährt Benutzern Berechtigungen, die es Benutzern ermöglichen, nach AWS Supportanfragen zu suchen, diese zu erstellen und zu lösen. Erteilt außerdem Berechtigungen zur Beschreibung von Mitteilungen, Schweregraden, Anhängen und zugehörigen Supportfalldetails.



------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "support:DescribeAttachment",
        "support:DescribeCaseAttributes",
        "support:DescribeCases",
        "support:DescribeCommunications",
        "support:DescribeIssueTypes",
        "support:DescribeServices",
        "support:DescribeSeverityLevels",
        "support:DescribeSupportLevel",
        "support:SearchForCases",
        "support:AddAttachmentsToSet",
        "support:AddCommunicationToCase",
        "support:CreateCase",
        "support:InitiateCallForCase",
        "support:InitiateChatForCase",
        "support:PutCaseAttributes",
        "support:RateCaseCommunication",
        "support:ResolveCase"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## AWS verwaltete Richtlinie: AmazonCodeCatalystFullAccess
<a name="security-iam-awsmanpol-AmazonCodeCatalystFullAccess"></a>





Dies ist eine Richtlinie, die Berechtigungen zur Verwaltung Ihres CodeCatalyst Speicherplatzes und der verbundenen Konten auf der Amazon CodeCatalyst Spaces-Seite in der gewährt AWS-Managementkonsole. Diese Anwendung wird verwendet, um zu konfigurieren AWS-Konten , welche mit Ihrem Bereich in verbunden sind CodeCatalyst.



**Details zu Berechtigungen**

Diese Richtlinie umfasst die folgenden Berechtigungen.




+ `codecatalyst`— Gewährt volle Berechtigungen für die Amazon CodeCatalyst Spaces-Seite in der AWS-Managementkonsole.



------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CodeCatalystResourceAccess",
            "Effect": "Allow",
            "Action": [
                "codecatalyst:*",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CodeCatalystAssociateIAMRole",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "codecatalyst.amazonaws.com",
                        "codecatalyst-runner.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

## AWS verwaltete Richtlinie: AmazonCodeCatalystReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonCodeCatalystReadOnlyAccess"></a>





Diese Richtlinie gewährt Berechtigungen zum Anzeigen und Auflisten von Informationen für Spaces und verbundene Konten auf der Amazon CodeCatalyst Spaces-Seite in der AWS-Managementkonsole. Diese Anwendung wird verwendet, um zu konfigurieren AWS-Konten , welche mit Ihrem Bereich in verbunden sind CodeCatalyst.



**Details zu Berechtigungen**

Diese Richtlinie umfasst die folgenden Berechtigungen.




+ `codecatalyst`— Gewährt nur Leseberechtigungen für die Amazon CodeCatalyst Spaces-Seite in der. AWS-Managementkonsole



------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codecatalyst:Get*",
                "codecatalyst:List*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## AWS verwaltete Richtlinie: AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy
<a name="security-iam-awsmanpol-AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy"></a>



Sie können nichts an Ihre IAM-Entitäten anhängenAmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es CodeCatalyst ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für CodeCatalyst](using-service-linked-roles.md).



Diese Richtlinie ermöglicht es Kunden, Anwendungsinstanzprofile und zugehörige Verzeichnisbenutzer und -gruppen einzusehen, wenn sie Bereiche in CodeCatalyst verwalten. Kunden sehen sich diese Ressourcen an, wenn sie Bereiche verwalten, die Identity Federation und SSO-Benutzer und -Gruppen unterstützen.



**Details zu Berechtigungen**

Diese Richtlinie umfasst die folgenden Berechtigungen.




+ `sso`— Gewährt Benutzern Berechtigungen, die es Benutzern ermöglichen, Anwendungsinstanzprofile, die in IAM Identity Center verwaltet werden, für zugehörige Bereiche in CodeCatalyst einzusehen.



------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy",
			"Effect": "Allow",
			"Action": [
				"sso:ListInstances",
				"sso:ListApplications",
				"sso:ListApplicationAssignments",
				"sso:DescribeInstance",
				"sso:DescribeApplication"
			],
			"Resource": "*"
		}
	]
}
```

------

## CodeCatalyst Aktualisierungen der AWS verwalteten Richtlinien
<a name="security-iam-awsmanpol-updates"></a>



Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die CodeCatalyst seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite CodeCatalyst [Dokumentenverlauf](doc-history.md), um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.




| Änderungen | Beschreibung | Date | 
| --- | --- | --- | 
|  [AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy](#security-iam-awsmanpol-AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy) – Neue Richtlinie  |  CodeCatalyst hat die Richtlinie hinzugefügt. Gewährt CodeCatalyst Benutzern Berechtigungen zum Anzeigen von Anwendungsinstanzprofilen und zugehörigen Verzeichnisbenutzern und -gruppen.  | 17. November 2023 | 
|  [AmazonCodeCatalystSupportAccess](#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess) – Neue Richtlinie  |  CodeCatalyst hat die Richtlinie hinzugefügt. Gewährt Benutzern Berechtigungen, die es CodeCatalyst Benutzern ermöglichen, nach Supportanfragen zu suchen, diese zu erstellen und zu lösen sowie zugehörige Mitteilungen und Details einzusehen.  | 20. April 2023 | 
|  [AmazonCodeCatalystFullAccess](#security-iam-awsmanpol-AmazonCodeCatalystFullAccess) – Neue Richtlinie  |  CodeCatalyst hat die Richtlinie hinzugefügt. Gewährt vollen Zugriff auf CodeCatalyst.  | 20. April 2023 | 
|  [AmazonCodeCatalystReadOnlyAccess](#security-iam-awsmanpol-AmazonCodeCatalystReadOnlyAccess) – Neue Richtlinie  |  CodeCatalyst hat die Richtlinie hinzugefügt. Gewährt schreibgeschützten Zugriff auf. CodeCatalyst  | 20. April 2023 | 
|  CodeCatalyst hat begonnen, Änderungen zu verfolgen  |  CodeCatalyst hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.  | 20. April 2023 | 



# Zugriff auf AWS Projektressourcen mit IAM-Rollen gewähren
<a name="ipa-iam-roles"></a>

CodeCatalyst kann auf AWS Ressourcen zugreifen, indem Sie Ihre AWS-Konto mit einem CodeCatalyst Bereich verbinden. Sie können dann die folgenden Servicerollen erstellen und sie zuordnen, wenn Sie Ihr Konto verbinden.

Weitere Informationen zu den Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie unter [IAM JSON Policy Elements Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
+ Um auf Ressourcen in Ihren CodeCatalyst Projekten und Workflows zugreifen zu können, müssen Sie zunächst die Erlaubnis erteilen, in Ihrem Namen auf diese Ressourcen zuzugreifen. AWS-Konto CodeCatalyst Dazu müssen Sie eine Servicerolle in einem verbundenen Bereich erstellen AWS-Konto , die im Namen von Benutzern und Projekten in dem Bereich übernommen werden CodeCatalyst kann. Sie können entweder die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Servicerolle erstellen und verwenden, oder Sie können benutzerdefinierte Servicerollen erstellen und diese IAM-Richtlinien und -Rollen manuell konfigurieren. Es hat sich bewährt, diesen Rollen die geringste Anzahl an erforderlichen Berechtigungen zuzuweisen.
**Anmerkung**  
Für benutzerdefinierte Servicerollen ist der CodeCatalyst Dienstprinzipal erforderlich. Weitere Informationen zum CodeCatalyst Dienstprinzipal und zum Vertrauensmodell finden Sie unter[Das CodeCatalyst Vertrauensmodell verstehen](trust-model.md).
+ Um den Support für einen Bereich über Connected zu verwalten AWS-Konto, können Sie die **AWSRoleForCodeCatalystSupport**Servicerolle erstellen und verwenden, mit der CodeCatalyst Benutzer auf Support zugreifen können. Weitere Informationen zur Unterstützung für einen CodeCatalyst Bereich finden Sie unter[Support für Amazon CodeCatalyst](support.md).



## Grundlegendes zur **CodeCatalystWorkflowDevelopmentRole-*spaceName***Servicerolle
<a name="ipa-iam-roles-service-role"></a>

Sie können eine IAM-Rolle für Ihren Bereich hinzufügen, mit der Sie Ressourcen in einem verbundenen AWS-Konto Bereich erstellen und darauf zugreifen CodeCatalyst können. Dies wird als [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) bezeichnet. Die einfachste Methode, eine Servicerolle zu erstellen, besteht darin, beim Erstellen des Bereichs eine hinzuzufügen und die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Option für diese Rolle auszuwählen. Dadurch wird nicht nur die Servicerolle mit der `AdministratorAccess` angehängten Rolle erstellt, sondern es wird auch die Vertrauensrichtlinie erstellt, die es ermöglicht, die Rolle im Namen von Benutzern in Projekten im Bereich CodeCatalyst zu übernehmen. Die Servicerolle ist auf den Bereich beschränkt, nicht auf einzelne Projekte. Informationen zum Erstellen dieser Rolle finden Sie unter [Die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Rolle für Ihr Konto und Ihren Bereich erstellen](#ipa-iam-roles-service-create). Sie können für jeden Bereich in jedem Konto nur eine Rolle erstellen.

**Anmerkung**  
Diese Rolle wird nur für Entwicklerkonten empfohlen und verwendet die `AdministratorAccess` AWS verwaltete Richtlinie, sodass sie vollen Zugriff hat, um darin neue Richtlinien und Ressourcen zu erstellen AWS-Konto.

Die der **CodeCatalystWorkflowDevelopmentRole-*spaceName***Rolle zugeordnete Richtlinie ist so konzipiert, dass sie mit Projekten funktioniert, die anhand von Plänen im Bereich erstellt wurden. Sie ermöglicht es Benutzern in diesen Projekten, Code mithilfe von Ressourcen im verbundenen AWS-Konto Bereich zu entwickeln, zu erstellen, zu testen und bereitzustellen. Weitere Informationen finden Sie unter [Eine Rolle für einen AWS Dienst erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).

Die der **CodeCatalystWorkflowDevelopmentRole-*spaceName***Rolle zugeordnete Richtlinie ist die `AdministratorAccess` verwaltete Richtlinie in AWS. Diese Richtlinie gewährt vollen Zugriff auf alle AWS Aktionen und Ressourcen. Informationen zum JSON-Richtliniendokument in der IAM-Konsole finden Sie unter [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess).

Die folgende Vertrauensrichtlinie ermöglicht es CodeCatalyst , die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Rolle zu übernehmen. Weitere Informationen zum CodeCatalyst Vertrauensmodell finden Sie unter[Das CodeCatalyst Vertrauensmodell verstehen](trust-model.md).

```
"Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
             "Principal": { 
                "Service": [ 
                    "codecatalyst-runner.amazonaws.com",
                    "codecatalyst.amazonaws.com" 
                ] 
            }, 
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
                }
            }
        }
    ]
```

## Die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Rolle für Ihr Konto und Ihren Bereich erstellen
<a name="ipa-iam-roles-service-create"></a>

Gehen Sie wie folgt vor, um die `CodeCatalystWorkflowDevelopmentRole-spaceName` Rolle zu erstellen, die für Workflows in Ihrem Bereich verwendet wird. Für jedes Konto, für das Sie IAM-Rollen zur Verwendung in Projekten haben möchten, müssen Sie Ihrem Bereich eine Rolle hinzufügen, z. B. die Entwicklerrolle. 

Bevor Sie beginnen, müssen Sie über Administratorrechte verfügen AWS-Konto oder mit Ihrem Administrator zusammenarbeiten können. Weitere Informationen zur Verwendung von IAM-Rollen in finden Sie CodeCatalyst unter[Ermöglichen des Zugriffs auf AWS Ressourcen mit verbundenen AWS-Konten](ipa-connect-account.md). AWS-Konten 

**Um das zu erstellen und hinzuzufügen CodeCatalyst **CodeCatalystWorkflowDevelopmentRole-*spaceName*****

1. Bevor Sie in der CodeCatalyst Konsole beginnen, öffnen Sie die AWS-Managementkonsole, und stellen Sie dann sicher, dass Sie mit derselben AWS-Konto für Ihren Bereich angemeldet sind.

1. Öffnen Sie die CodeCatalyst Konsole unter [https://codecatalyst.aws/](https://codecatalyst.aws/).

1. Navigiere zu deinem CodeCatalyst Bereich. Wählen Sie **Settings (Einstellungen)** und anschließend **AWS-Konten** aus.

1. Wählen Sie den Link für den AWS-Konto Ort aus, an dem Sie die Rolle erstellen möchten. Die **AWS-Konto Detailseite** wird angezeigt.

1. Wählen Sie **Rollen verwalten von AWS-Managementkonsole**. 

   Die Seite „**IAM-Rolle zu Amazon CodeCatalyst Space hinzufügen**“ wird in der AWS-Managementkonsole geöffnet. Dies ist die **Amazon CodeCatalyst Spaces-Seite**. Möglicherweise müssen Sie sich anmelden, um auf die Seite zuzugreifen.

1. Wählen Sie **in IAM die Option CodeCatalyst Entwicklungsadministratorrolle erstellen** aus. Mit dieser Option wird eine Servicerolle erstellt, die die Berechtigungsrichtlinie und die Vertrauensrichtlinie für die Entwicklungsrolle enthält. Die Rolle wird einen Namen haben`CodeCatalystWorkflowDevelopmentRole-spaceName`. Weitere Informationen zur Rolle und zur Rollenrichtlinie finden Sie unter[Grundlegendes zur **CodeCatalystWorkflowDevelopmentRole-*spaceName***Servicerolle](#ipa-iam-roles-service-role).
**Anmerkung**  
Diese Rolle wird nur für die Verwendung mit Entwicklerkonten empfohlen. Sie verwendet die `AdministratorAccess` AWS verwaltete Richtlinie, sodass sie vollen Zugriff hat, um darin neue Richtlinien und Ressourcen zu erstellen AWS-Konto.

1. Wählen Sie **Entwicklungsrolle erstellen** aus.

1. Sehen Sie sich auf der Verbindungsseite unter **Verfügbare IAM-Rollen** die `CodeCatalystWorkflowDevelopmentRole-spaceName` Rolle in der Liste der IAM-Rollen an CodeCatalyst, die Ihrem Konto hinzugefügt wurden.

1. Um zu Ihrem Bereich zurückzukehren, wählen Sie **Gehe zu Amazon CodeCatalyst**.

## Die **AWSRoleForCodeCatalystSupport**Servicerolle verstehen
<a name="ipa-iam-roles-support-role"></a>

Sie können Ihrem Bereich eine IAM-Rolle hinzufügen, mit der CodeCatalyst Benutzer in einem Bereich Supportanfragen erstellen und darauf zugreifen können. Dies wird als [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) für den Support bezeichnet. Die einfachste Methode, eine Servicerolle für den Support zu erstellen, besteht darin, bei der Erstellung des Bereichs eine weitere hinzuzufügen und die `AWSRoleForCodeCatalystSupport` Option für diese Rolle auszuwählen. Dadurch werden nicht nur die Richtlinie und die Rolle erstellt, sondern auch die Vertrauensrichtlinie, die es ermöglicht, die Rolle im Namen von Benutzern in Projekten im Bereich CodeCatalyst zu übernehmen. Die Servicerolle ist auf den Bereich beschränkt, nicht auf einzelne Projekte. Informationen zum Erstellen dieser Rolle finden Sie unter [Die **AWSRoleForCodeCatalystSupport**Rolle für Ihr Konto und Ihren Bereich erstellen](#ipa-iam-roles-support-create).

Bei der der `AWSRoleForCodeCatalystSupport` Rolle zugewiesenen Richtlinie handelt es sich um eine verwaltete Richtlinie, die Zugriff auf Supportberechtigungen gewährt. Weitere Informationen finden Sie unter [AWS verwaltete Richtlinie: AmazonCodeCatalystSupportAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess).

Die Vertrauensrolle für die Richtlinie ermöglicht es CodeCatalyst , die Rolle zu übernehmen. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "codecatalyst.amazonaws.com",
                    "codecatalyst-runner.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

## Die **AWSRoleForCodeCatalystSupport**Rolle für Ihr Konto und Ihren Bereich erstellen
<a name="ipa-iam-roles-support-create"></a>

Gehen Sie wie folgt vor, um die `AWSRoleForCodeCatalystSupport` Rolle zu erstellen, die für Supportanfragen in Ihrem Bereich verwendet wird. Die Rolle muss dem angegebenen Rechnungskonto für den Bereich hinzugefügt werden.

Bevor Sie beginnen, müssen Sie über Administratorrechte verfügen AWS-Konto oder in der Lage sein, mit Ihrem Administrator zusammenzuarbeiten. Weitere Informationen zur Verwendung von IAM-Rollen in finden Sie CodeCatalyst unter[Ermöglichen des Zugriffs auf AWS Ressourcen mit verbundenen AWS-Konten](ipa-connect-account.md). AWS-Konten 

**Um das zu erstellen und hinzuzufügen CodeCatalyst **AWSRoleForCodeCatalystSupport****

1. Bevor Sie in der CodeCatalyst Konsole beginnen, öffnen Sie die AWS-Managementkonsole, und stellen Sie dann sicher, dass Sie mit derselben AWS-Konto für Ihren Bereich angemeldet sind.

1. Navigieren Sie zu Ihrem CodeCatalyst Bereich. Wählen Sie **Settings (Einstellungen)** und anschließend **AWS-Konten** aus.

1. Wählen Sie den Link für den AWS-Konto Ort aus, an dem Sie die Rolle erstellen möchten. Die **AWS-Konto Detailseite** wird angezeigt.

1. Wählen Sie **Rollen verwalten von AWS-Managementkonsole**. 

   Die Seite „**IAM-Rolle zu Amazon CodeCatalyst Space hinzufügen**“ wird in der AWS-Managementkonsole geöffnet. Dies ist die **Amazon CodeCatalyst Spaces-Seite**. Möglicherweise müssen Sie sich anmelden, um auf die Seite zuzugreifen.

1. Wählen Sie unter **CodeCatalyst Bereichsdetails** die Option ** CodeCatalyst Support-Rolle hinzufügen** aus. Mit dieser Option wird eine Servicerolle erstellt, die die Berechtigungsrichtlinie und die Vertrauensrichtlinie für die Vorschau-Entwicklungsrolle enthält. Der Rolle wird ein Name **AWSRoleForCodeCatalystSupport**mit einer angehängten eindeutigen Kennung zugewiesen. Weitere Informationen zur Rolle und zur Rollenrichtlinie finden Sie unter[Die **AWSRoleForCodeCatalystSupport**Servicerolle verstehen](#ipa-iam-roles-support-role).

1. Lassen Sie auf der Seite **Rolle für CodeCatalyst Support hinzufügen** die Standardeinstellung aktiviert und wählen Sie dann **Rolle erstellen** aus.

1. Sehen Sie sich unter **Verfügbare IAM-Rollen** die `CodeCatalystWorkflowDevelopmentRole-spaceName` Rolle in der Liste der IAM-Rollen an, die Ihrem Konto hinzugefügt wurden. CodeCatalyst

1. Um zu Ihrem Bereich zurückzukehren, wählen Sie **Gehe zu Amazon CodeCatalyst**.

## Konfiguration von IAM-Rollen für Workflow-Aktionen in CodeCatalyst
<a name="ipa-iam-roles-policies"></a>

In diesem Abschnitt werden IAM-Rollen und -Richtlinien beschrieben, die Sie zur Verwendung mit Ihrem CodeCatalyst Konto erstellen können. Anweisungen zum Erstellen von Beispielrollen finden Sie unter[Manuelles Erstellen von Rollen für Workflow-Aktionen](#ipa-iam-roles-actions). Nachdem Sie Ihre IAM-Rolle erstellt haben, kopieren Sie den Rollen-ARN, um die IAM-Rolle zu Ihrer Kontoverbindung hinzuzufügen und sie Ihrer Projektumgebung zuzuordnen. Weitere Informationen hierzu finden Sie unter [Hinzufügen von IAM-Rollen zu Kontoverbindungen](ipa-connect-account-addroles.md).

### CodeCatalyst Rolle für Amazon S3 S3-Zugriff erstellen
<a name="ipa-iam-rolepolicy-BuildRoleS3"></a>

Für CodeCatalyst Workflow-Build-Aktionen können Sie die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Standard-Servicerolle verwenden oder eine IAM-Rolle mit dem Namen **CodeCatalystBuildRoleforS3Access** erstellen. Diese Rolle verwendet eine Richtlinie mit bereichsspezifischen Berechtigungen, die zum Ausführen von Aufgaben auf Ressourcen in CodeCatalyst Ihrem System erforderlich ist. CloudFormation AWS-Konto

Diese Rolle gewährt Berechtigungen für Folgendes:
+ Schreiben Sie in Amazon S3 S3-Buckets.
+ Support Sie den Aufbau von Ressourcen mit CloudFormation. Dies erfordert Amazon S3 S3-Zugriff.

Diese Rolle verwendet die folgende Richtlinie:

**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

```
"Resource": "*"
```

### CodeCatalyst Rolle erstellen für CloudFormation
<a name="ipa-iam-rolepolicy-BuildRoleCloudFormation"></a>

Für CodeCatalyst Workflow-Build-Aktionen können Sie die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Standard-Servicerolle verwenden oder eine IAM-Rolle mit den erforderlichen Berechtigungen erstellen. Diese Rolle verwendet eine Richtlinie mit bereichsspezifischen Berechtigungen, die zum Ausführen von Aufgaben auf CloudFormation Ressourcen in Ihrem System CodeCatalyst erforderlich ist. AWS-Konto

Diese Rolle gewährt Berechtigungen für Folgendes:
+ Support Sie den Aufbau von Ressourcen mit CloudFormation. Dies ist zusammen mit der CodeCatalyst Build-Rolle für den Amazon S3 S3-Zugriff und der CodeCatalyst Bereitstellungsrolle für erforderlich CloudFormation.

Die folgenden AWS verwalteten Richtlinien sollten dieser Rolle zugeordnet werden:
+ **AWSCloudFormationFullAccess**
+ **IAMFullAccess**
+ **Amazon S3 FullAccess**
+ **APIGatewayAmazon-Administrator**
+ **AWSLambdaFullAccess**

### CodeCatalyst Rolle für CDK erstellen
<a name="ipa-iam-rolepolicy-BuildRoleCDK"></a>

Für CodeCatalyst Workflows, die CDK-Build-Aktionen ausführen, wie z. B. die moderne dreistufige Webanwendung, können Sie die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Standard-Servicerolle verwenden oder eine IAM-Rolle mit den erforderlichen Berechtigungen erstellen. Diese Rolle verwendet eine Richtlinie mit bereichsspezifischen Berechtigungen, die das Booten und Ausführen von CDK-Build-Befehlen für Ressourcen in Ihrem System CodeCatalyst erfordert. CloudFormation AWS-Konto

Diese Rolle gewährt Berechtigungen für Folgendes:
+ Schreiben Sie in Amazon S3 S3-Buckets.
+ Support den Aufbau von CDK-Konstrukten und CloudFormation Ressourcenstapeln. Dies erfordert Zugriff auf Amazon S3 für die Speicherung von Artefakten, Amazon ECR für die Unterstützung von Image-Repositorys und SSM für die Systemsteuerung und Überwachung virtueller Instances.

Diese Rolle verwendet die folgende Richtlinie:

**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

```
"Resource": "*"
```

### CodeCatalyst Rolle bereitstellen für CloudFormation
<a name="ipa-iam-rolepolicy-DeployCloudFormation"></a>

Für CodeCatalyst Workflow-Bereitstellungsaktionen CloudFormation, die verwenden, können Sie die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Standarddienstrolle verwenden, oder Sie können eine Richtlinie mit bereichsbezogenen Berechtigungen verwenden, die Aufgaben für CloudFormation Ressourcen in Ihrem ausführen CodeCatalyst muss. AWS-Konto

Diese Rolle gewährt Berechtigungen für Folgendes:
+  CodeCatalyst Erlaubt den Aufruf einer Λ -Funktion, über CloudFormation die die blue/green Bereitstellung durchgeführt wird.
+ Ermöglicht CodeCatalyst das Erstellen und Aktualisieren von Stacks und Changesets in. CloudFormation

Diese Rolle verwendet die folgende Richtlinie:

```
{"Action": [
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:Describe*",
        "cloudformation:UpdateStack",
        "cloudformation:CreateChangeSet",
        "cloudformation:DeleteChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:SetStackPolicy",
        "cloudformation:ValidateTemplate",
        "cloudformation:List*",
        "iam:PassRole"
    ],
    "Resource": "resource_ARN",
    "Effect": "Allow"
}
```

**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

```
"Resource": "*"
```

### CodeCatalyst Rolle für Amazon EC2 bereitstellen
<a name="ipa-iam-rolepolicy-DeployEC2"></a>

CodeCatalyst Workflow-Bereitstellungsaktionen verwenden eine IAM-Rolle mit den erforderlichen Berechtigungen. Diese Rolle verwendet eine Richtlinie mit bereichsbezogenen CodeCatalyst Berechtigungen, die zur Ausführung von Aufgaben auf Amazon EC2 EC2-Ressourcen in Ihrem erforderlich ist. AWS-Konto Die Standardrichtlinie für die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Rolle beinhaltet keine Berechtigungen für Amazon EC2 oder Amazon EC2 Auto Scaling.

Diese Rolle gewährt Berechtigungen für Folgendes:
+ Erstellen Sie Amazon EC2 EC2-Bereitstellungen.
+ Lesen Sie die Tags auf einer Instance oder identifizieren Sie eine Amazon EC2 EC2-Instance anhand der Auto Scaling Scaling-Gruppennamen. 
+ Lesen, erstellen, aktualisieren und löschen Sie Amazon EC2 Auto Scaling Scaling-Gruppen, Lifecycle-Hooks und Skalierungsrichtlinien.
+ Veröffentlichen Sie Informationen zu Amazon SNS SNS-Themen.
+ Rufen Sie Informationen über CloudWatch Alarme ab.
+ Lesen und aktualisieren Sie Elastic Load Balancing.

Diese Rolle verwendet die folgende Richtlinie:

**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

```
"Resource": "*"
```

### CodeCatalyst Rolle für Amazon ECS bereitstellen
<a name="ipa-iam-rolepolicy-DeployECS"></a>

Für CodeCatalyst Workflow-Aktionen können Sie eine IAM-Rolle mit den erforderlichen Berechtigungen erstellen. Sie können die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Standard-Servicerolle verwenden oder eine IAM-Rolle für CodeCatalyst Bereitstellungsaktionen erstellen, die für Lambda-Bereitstellungen verwendet werden sollen. Diese Rolle verwendet eine Richtlinie mit bereichsbezogenen CodeCatalyst Berechtigungen, die zur Ausführung von Aufgaben auf Amazon ECS-Ressourcen in Ihrem erforderlich ist. AWS-Konto

Diese Rolle gewährt Berechtigungen für Folgendes:
+ Initiieren Sie die fortlaufende Amazon ECS-Bereitstellung im Namen eines CodeCatalyst Benutzers in einem Konto, das in der CodeCatalyst Verbindung angegeben wurde.
+ Lesen, aktualisieren und löschen Sie Amazon ECS-Aufgabensätze.
+ Aktualisieren Sie die Zielgruppen, Listener und Regeln von Elastic Load Balancing.
+ Rufen Sie Lambda-Funktionen auf.
+ Greifen Sie auf Revisionsdateien in Amazon S3 S3-Buckets zu.
+ Rufen Sie Informationen über CloudWatch Alarme ab.
+ Veröffentlichen Sie Informationen zu Amazon SNS SNS-Themen.

Diese Rolle verwendet die folgende Richtlinie:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
    "Action":[
      "ecs:DescribeServices",
      "ecs:CreateTaskSet",
      "ecs:DeleteTaskSet",
      "ecs:ListClusters",
      "ecs:RegisterTaskDefinition",
      "ecs:UpdateServicePrimaryTaskSet",
      "ecs:UpdateService",
      "elasticloadbalancing:DescribeTargetGroups",
      "elasticloadbalancing:DescribeListeners",
      "elasticloadbalancing:ModifyListener",
      "elasticloadbalancing:DescribeRules",
      "elasticloadbalancing:ModifyRule",
      "lambda:InvokeFunction",
      "lambda:ListFunctions",
      "cloudwatch:DescribeAlarms",
      "sns:Publish",
      "sns:ListTopics", 
      "s3:GetObject",
      "s3:GetObjectVersion",
      "codedeploy:CreateApplication", 
      "codedeploy:CreateDeployment", 
      "codedeploy:CreateDeploymentGroup", 
      "codedeploy:GetApplication", 
      "codedeploy:GetDeployment", 
      "codedeploy:GetDeploymentGroup", 
      "codedeploy:ListApplications", 
      "codedeploy:ListDeploymentGroups", 
      "codedeploy:ListDeployments", 
      "codedeploy:StopDeployment", 
      "codedeploy:GetDeploymentTarget", 
      "codedeploy:ListDeploymentTargets", 
      "codedeploy:GetDeploymentConfig", 
      "codedeploy:GetApplicationRevision", 
      "codedeploy:RegisterApplicationRevision", 
      "codedeploy:BatchGetApplicationRevisions", 
      "codedeploy:BatchGetDeploymentGroups", 
      "codedeploy:BatchGetDeployments", 
      "codedeploy:BatchGetApplications", 
      "codedeploy:ListApplicationRevisions", 
      "codedeploy:ListDeploymentConfigs", 
      "codedeploy:ContinueDeployment"           
   ],
   "Resource":"*",
   "Effect":"Allow"
},{"Action":[
      "iam:PassRole"
   ],
   "Effect":"Allow",
   "Resource":"*",
   "Condition":{"StringLike":{"iam:PassedToService":[
            "ecs-tasks.amazonaws.com",
            "codedeploy.amazonaws.com"
         ]
      }
   }
}]
}
```

------

**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

```
"Resource": "*"
```

### CodeCatalyst Rolle für Lambda bereitstellen
<a name="ipa-iam-rolepolicy-DeployLambda"></a>

 Für CodeCatalyst Workflow-Aktionen können Sie eine IAM-Rolle mit den erforderlichen Berechtigungen erstellen. Sie können die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Standard-Servicerolle verwenden oder eine IAM-Rolle für CodeCatalyst Bereitstellungsaktionen erstellen, die für Lambda-Bereitstellungen verwendet werden sollen. Diese Rolle verwendet eine Richtlinie mit bereichsbezogenen Berechtigungen, die Aufgaben auf Lambda-Ressourcen in Ihrem ausführen CodeCatalyst muss. AWS-Konto

Diese Rolle gewährt Berechtigungen für Folgendes:
+ Lambda-Funktionen und -Aliase lesen, aktualisieren und aufrufen.
+ Greifen Sie auf Revisionsdateien in Amazon S3 S3-Buckets zu.
+ Rufen Sie Informationen über CloudWatch Ereignisse und Alarme ab.
+ Veröffentlichen Sie Informationen zu Amazon SNS SNS-Themen.

Diese Rolle verwendet die folgende Richtlinie:

**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

```
"Resource": "*"
```

### CodeCatalyst Rolle für Lambda bereitstellen
<a name="ipa-iam-rolepolicy-DeployLambda"></a>

Für CodeCatalyst Workflow-Aktionen können Sie die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Standard-Servicerolle verwenden oder eine IAM-Rolle mit den erforderlichen Berechtigungen erstellen. Diese Rolle verwendet eine Richtlinie mit bereichsbezogenen Berechtigungen, die Aufgaben auf Lambda-Ressourcen in Ihrem ausführen CodeCatalyst muss. AWS-Konto

Diese Rolle gewährt Berechtigungen für Folgendes:
+ Lambda-Funktionen und -Aliase lesen, aktualisieren und aufrufen.
+ Greifen Sie auf Revisionsdateien in Amazon S3 S3-Buckets zu.
+ Rufen Sie Informationen über CloudWatch Alarme ab.
+ Veröffentlichen Sie Informationen zu Amazon SNS SNS-Themen.

Diese Rolle verwendet die folgende Richtlinie:

**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

```
"Resource": "*"
```

### CodeCatalyst Rolle bereitstellen für AWS SAM
<a name="ipa-iam-rolepolicy-DeploySAM"></a>

Für CodeCatalyst Workflow-Aktionen können Sie die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Standard-Servicerolle verwenden oder eine IAM-Rolle mit den erforderlichen Berechtigungen erstellen. Diese Rolle verwendet eine Richtlinie mit bereichsspezifischen CodeCatalyst Berechtigungen, die für die Ausführung von Aufgaben AWS SAM und CloudFormation Ressourcen in Ihrem System erforderlich ist. AWS-Konto

Diese Rolle gewährt Berechtigungen für Folgendes:
+ Ermöglicht CodeCatalyst das Aufrufen einer Lambda-Funktion für die Bereitstellung von serverlosen Anwendungen und AWS SAM CLI-Anwendungen.
+ Ermöglicht das CodeCatalyst Erstellen und Aktualisieren von Stacks und Changesets in. CloudFormation

Diese Rolle verwendet die folgende Richtlinie:

**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

```
"Resource": "*"
```

### CodeCatalyst Nur-Lese-Rolle für Amazon EC2
<a name="ipa-iam-rolepolicy-ReadOnlyEC2"></a>

Für CodeCatalyst Workflow-Aktionen können Sie eine IAM-Rolle mit den erforderlichen Berechtigungen erstellen. Diese Rolle verwendet eine Richtlinie mit bereichsbezogenen CodeCatalyst Berechtigungen, die zur Ausführung von Aufgaben auf Amazon EC2 EC2-Ressourcen in Ihrem erforderlich ist. AWS-Konto Die **CodeCatalystWorkflowDevelopmentRole-*spaceName***Servicerolle beinhaltet keine Berechtigungen für Amazon EC2 oder die beschriebenen Aktionen für Amazon CloudWatch.

Diese Rolle gewährt Berechtigungen für Folgendes:
+ Rufen Sie den Status von Amazon EC2 EC2-Instances ab.
+ Rufen Sie CloudWatch Metriken für Amazon EC2 EC2-Instances ab.

Diese Rolle verwendet die folgende Richtlinie:

**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

```
"Resource": "*"
```

### CodeCatalyst Nur-Lese-Rolle für Amazon ECS
<a name="ipa-iam-rolepolicy-ReadOnlyECS"></a>

Für CodeCatalyst Workflow-Aktionen können Sie eine IAM-Rolle mit den erforderlichen Berechtigungen erstellen. Diese Rolle verwendet eine Richtlinie mit bereichsbezogenen CodeCatalyst Berechtigungen, die zur Ausführung von Aufgaben auf Amazon ECS-Ressourcen in Ihrem erforderlich ist. AWS-Konto

Diese Rolle gewährt Berechtigungen für Folgendes:
+ Lesen Sie Amazon ECS-Aufgabensätze. 
+ Rufen Sie Informationen über CloudWatch Alarme ab.

Diese Rolle verwendet die folgende Richtlinie:

**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

```
"Resource": "*"
```

### CodeCatalyst Nur-Lese-Rolle für Lambda
<a name="ipa-iam-rolepolicy-ReadOnlyLambda"></a>

Für CodeCatalyst Workflow-Aktionen können Sie eine IAM-Rolle mit den erforderlichen Berechtigungen erstellen. Diese Rolle verwendet eine Richtlinie mit bereichsbezogenen Berechtigungen, die Aufgaben auf Lambda-Ressourcen in Ihrem ausführen CodeCatalyst muss. AWS-Konto

Diese Rolle gewährt Berechtigungen für Folgendes:
+  Lesen Sie Lambda-Funktionen und Aliase.
+ Greifen Sie auf Revisionsdateien in Amazon S3 S3-Buckets zu.
+ Rufen Sie Informationen über CloudWatch Alarme ab.

Diese Rolle verwendet die folgende -Richtlinie.

**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

```
"Resource": "*"
```

## Manuelles Erstellen von Rollen für Workflow-Aktionen
<a name="ipa-iam-roles-actions"></a>

CodeCatalyst Workflow-Aktionen verwenden von Ihnen erstellte IAM-Rollen, die als **Build-Rolle**, **Bereitstellungsrolle** und **Stack-Rolle** bezeichnet werden.

Gehen Sie wie folgt vor, um diese Rollen in IAM zu erstellen.

**Um eine Bereitstellungsrolle zu erstellen**

1. Erstellen Sie wie folgt eine Richtlinie für die Rolle:

   1. Melden Sie sich an bei AWS.

   1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

   1. Wählen Sie im Navigationsbereich **Richtlinien**.

   1. Wählen Sie **Richtlinie erstellen** aus.

   1. Wählen Sie den Tab **JSON**.

   1. Löschen Sie den vorhandenen Code.

   1. Fügen Sie folgenden Code ein:
**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

      ```
      "Resource": "*"
      ```

   1. Wählen Sie **Next: Tags** (Weiter: Tags) aus.

   1. Klicken Sie auf **Weiter: Prüfen**.

   1. Geben Sie im Feld **Name** Folgendes ein:

      ```
      codecatalyst-deploy-policy
      ```

   1. Wählen Sie **Richtlinie erstellen** aus.

      Sie haben jetzt eine Berechtigungsrichtlinie erstellt.

1. Erstellen Sie die Bereitstellungsrolle wie folgt:

   1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.

   1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie**.

   1. Löschen Sie die bestehende benutzerdefinierte Vertrauensrichtlinie.

   1. Fügen Sie die folgende benutzerdefinierte Vertrauensrichtlinie hinzu:

   1. Wählen Sie **Weiter** aus.

   1. Suchen Sie **unter Berechtigungsrichtlinien** nach dem entsprechenden Kontrollkästchen `codecatalyst-deploy-policy` und aktivieren Sie es.

   1. Wählen Sie **Weiter** aus.

   1. Geben Sie **als Rollenname** Folgendes ein:

      ```
      codecatalyst-deploy-role
      ```

   1. Geben Sie **als Rollenbeschreibung** Folgendes ein:

      ```
      CodeCatalyst deploy role
      ```

   1. Wählen Sie **Rolle erstellen** aus.

   Sie haben jetzt eine Bereitstellungsrolle mit einer Vertrauensrichtlinie und einer Berechtigungsrichtlinie erstellt.

1. Rufen Sie den ARN für die Bereitstellungsrolle wie folgt ab:

   1. Wählen Sie im Navigationsbereich **Rollen**.

   1. Geben Sie im Suchfeld den Namen der Rolle ein, die Sie gerade erstellt haben (`codecatalyst-deploy-role`).

   1. Wählen Sie die Rolle aus der Liste aus.

      Die **Übersichtsseite** der Rolle wird angezeigt.

   1. Kopieren Sie oben den **ARN-Wert**.

   Sie haben jetzt die Bereitstellungsrolle mit den entsprechenden Berechtigungen erstellt und ihren ARN abgerufen.

**Um eine Build-Rolle zu erstellen**

1. Erstellen Sie wie folgt eine Richtlinie für die Rolle:

   1. Melden Sie sich an bei AWS.

   1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

   1. Wählen Sie im Navigationsbereich **Richtlinien**.

   1. Wählen Sie **Richtlinie erstellen** aus.

   1. Wählen Sie den Tab **JSON**.

   1. Löschen Sie den vorhandenen Code.

   1. Fügen Sie folgenden Code ein:
**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

      ```
      "Resource": "*"
      ```

   1. Wählen Sie **Next: Tags** (Weiter: Tags) aus.

   1. Klicken Sie auf **Weiter: Prüfen**.

   1. Geben Sie im Feld **Name** Folgendes ein:

      ```
      codecatalyst-build-policy
      ```

   1. Wählen Sie **Richtlinie erstellen** aus.

      Sie haben jetzt eine Berechtigungsrichtlinie erstellt.

1. Erstellen Sie die Build-Rolle wie folgt:

   1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.

   1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie**.

   1. Löschen Sie die bestehende benutzerdefinierte Vertrauensrichtlinie.

   1. Fügen Sie die folgende benutzerdefinierte Vertrauensrichtlinie hinzu:

   1. Wählen Sie **Weiter** aus.

   1. Suchen Sie **unter Berechtigungsrichtlinien** nach dem entsprechenden Kontrollkästchen `codecatalyst-build-policy` und aktivieren Sie es.

   1. Wählen Sie **Weiter** aus.

   1. Geben Sie **als Rollenname** Folgendes ein:

      ```
      codecatalyst-build-role
      ```

   1. Geben Sie **als Rollenbeschreibung** Folgendes ein:

      ```
      CodeCatalyst build role
      ```

   1. Wählen Sie **Rolle erstellen** aus.

   Sie haben jetzt eine Build-Rolle mit einer Vertrauensrichtlinie und einer Berechtigungsrichtlinie erstellt.

1. Rufen Sie den ARN für die Build-Rolle wie folgt ab:

   1. Wählen Sie im Navigationsbereich **Rollen**.

   1. Geben Sie im Suchfeld den Namen der Rolle ein, die Sie gerade erstellt haben (`codecatalyst-build-role`).

   1. Wählen Sie die Rolle aus der Liste aus.

      Die **Übersichtsseite** der Rolle wird angezeigt.

   1. Kopieren Sie oben den **ARN-Wert**.

   Sie haben jetzt die Build-Rolle mit den entsprechenden Berechtigungen erstellt und ihren ARN abgerufen.

**Um eine Stack-Rolle zu erstellen**
**Anmerkung**  
Sie müssen keine Stack-Rolle erstellen, obwohl dies aus Sicherheitsgründen empfohlen wird. Wenn Sie die Stack-Rolle nicht erstellen, müssen Sie der Bereitstellungsrolle die weiter unten in diesem Verfahren beschriebenen Berechtigungsrichtlinien hinzufügen.

1. Melden Sie sich AWS mit dem Konto an, in dem Sie Ihren Stack bereitstellen möchten.

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen** aus.

1. Wählen Sie oben **AWS Service** aus.

1. Wählen Sie aus der Liste der Dienste **CloudFormation**.

1. Wählen Sie **Weiter: Berechtigungen** aus.

1. Fügen Sie im Suchfeld alle Richtlinien hinzu, die für den Zugriff auf die Ressourcen in Ihrem Stack erforderlich sind. Wenn Ihr Stack beispielsweise eine AWS Lambda Funktion enthält, müssen Sie eine Richtlinie hinzufügen, die Zugriff auf Lambda gewährt.
**Tipp**  
Wenn Sie sich nicht sicher sind, welche Richtlinien Sie hinzufügen sollen, können Sie sie vorerst weglassen. Wenn Sie die Aktion testen und nicht über die richtigen Berechtigungen verfügen, werden Fehler CloudFormation generiert, die zeigen, welche Berechtigungen Sie hinzufügen müssen.

1. Wählen Sie **Next: Tags** (Weiter: Tags) aus.

1. Klicken Sie auf **Weiter: Prüfen**.

1. Geben Sie **als Rollenname** Folgendes ein:

   ```
   codecatalyst-stack-role
   ```

1. Wählen Sie **Rolle erstellen** aus.

1. Gehen Sie wie folgt vor, um den ARN der Stack-Rolle abzurufen:

   1. Wählen Sie im Navigationsbereich **Rollen**.

   1. Geben Sie im Suchfeld den Namen der Rolle ein, die Sie gerade erstellt haben (`codecatalyst-stack-role`).

   1. Wählen Sie die Rolle aus der Liste aus.

   1. Kopieren Sie auf der Seite **Zusammenfassung** den **ARN-Wert der Rolle**.

## Wird AWS CloudFormation zur Erstellung von Richtlinien und Rollen in IAM verwendet
<a name="ipa-iam-roles-cfn"></a>

Sie können AWS CloudFormation Vorlagen erstellen und verwenden, um die Richtlinien und Rollen zu erstellen, die Sie AWS-Konto für den Zugriff auf Ressourcen in Ihren CodeCatalyst Projekten und Workflows benötigen. CloudFormation ist ein Service, der Sie bei der Modellierung und Einrichtung Ihrer AWS Ressourcen unterstützt, sodass Sie weniger Zeit mit der Verwaltung dieser Ressourcen verbringen und sich mehr auf Ihre Anwendungen konzentrieren können, auf denen sie ausgeführt AWS werden. Wenn Sie beabsichtigen, Rollen in mehreren zu erstellen AWS-Konten, kann Ihnen das Erstellen einer Vorlage dabei helfen, diese Aufgabe schneller auszuführen.

Mit der folgenden Beispielvorlage werden eine Rolle und eine Richtlinie für Bereitstellungsaktionen erstellt.

```
Parameters:
  CodeCatalystAccountId:
    Type: String
    Description: Account ID from the connections page
  ExternalId:
    Type: String
    Description: External ID from the connections page
Resources:
  CrossAccountRole:
    Type: 'AWS::IAM::Role'
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref CodeCatalystAccountId
            Action:
              - 'sts:AssumeRole'
            Condition:
              StringEquals:
                sts:ExternalId: !Ref ExternalId
      Path: /
      Policies:
        - PolicyName: CodeCatalyst-CloudFormation-action-policy
          PolicyDocument:
            Version: "2012-10-17"		 	 	 
            Statement:
              - Effect: Allow
                Action:
                  - 'cloudformation:CreateStack'
                  - 'cloudformation:DeleteStack'
                  - 'cloudformation:Describe*'
                  - 'cloudformation:UpdateStack'
                  - 'cloudformation:CreateChangeSet'
                  - 'cloudformation:DeleteChangeSet'
                  - 'cloudformation:ExecuteChangeSet'
                  - 'cloudformation:SetStackPolicy'
                  - 'cloudformation:ValidateTemplate'
                  - 'cloudformation:List*'
                  - 'iam:PassRole'
                Resource: '*'
```

## Manuelles Erstellen der Rolle für den Webanwendungs-Blueprint
<a name="ipa-iam-roles-webapp-blueprint"></a>

**Der CodeCatalyst Webanwendungs-Blueprint verwendet von Ihnen erstellte IAM-Rollen, die als **Build-Rolle für CDK**, **Bereitstellungsrolle und Stack-Rolle** bezeichnet werden.**

Gehen Sie wie folgt vor, um die Rolle in IAM zu erstellen.

**Um eine Build-Rolle zu erstellen**

1. Erstellen Sie wie folgt eine Richtlinie für die Rolle:

   1. Melden Sie sich an bei AWS.

   1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

   1. Wählen Sie im Navigationsbereich **Richtlinien**.

   1. Wählen Sie **Richtlinie erstellen** aus.

   1. Wählen Sie den Tab **JSON**.

   1. Löschen Sie den vorhandenen Code.

   1. Fügen Sie folgenden Code ein:
**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

      ```
      "Resource": "*"
      ```

   1. Wählen Sie **Next: Tags** (Weiter: Tags) aus.

   1. Klicken Sie auf **Weiter: Prüfen**.

   1. Geben Sie im Feld **Name** Folgendes ein:

      ```
      codecatalyst-webapp-build-policy
      ```

   1. Wählen Sie **Richtlinie erstellen** aus.

      Sie haben jetzt eine Berechtigungsrichtlinie erstellt.

1. Erstellen Sie die Build-Rolle wie folgt:

   1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.

   1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie**.

   1. Löschen Sie die bestehende benutzerdefinierte Vertrauensrichtlinie.

   1. Fügen Sie die folgende benutzerdefinierte Vertrauensrichtlinie hinzu:

   1. Wählen Sie **Weiter** aus.

   1. Hängen Sie die Berechtigungsrichtlinie an die Build-Rolle an. Suchen Sie auf der Seite **Berechtigungen hinzufügen** im Abschnitt **Berechtigungsrichtlinien** nach dem entsprechenden Kontrollkästchen `codecatalyst-webapp-build-policy` und aktivieren Sie es.

   1. Wählen Sie **Weiter** aus.

   1. Geben Sie **als Rollenname** Folgendes ein:

      ```
      codecatalyst-webapp-build-role
      ```

   1. Geben Sie **als Rollenbeschreibung** Folgendes ein:

      ```
      CodeCatalyst Web app build role
      ```

   1. Wählen Sie **Rolle erstellen** aus.

   Sie haben jetzt eine Build-Rolle mit einer Vertrauensrichtlinie und einer Berechtigungsrichtlinie erstellt.

1. Hängen Sie die Berechtigungsrichtlinie wie folgt an die Build-Rolle an:

   1. Wählen Sie im Navigationsbereich **Rollen** aus, und suchen Sie dann nach`codecatalyst-webapp-build-role`. ``

   1. Wählen Sie`codecatalyst-webapp-build-role`, ob die Details angezeigt werden sollen. ``

   1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Berechtigungen hinzufügen** und dann **Richtlinien anhängen** aus.

   1. Suchen Sie nach`codecatalyst-webapp-build-policy`, aktivieren Sie das entsprechende Kontrollkästchen und wählen Sie dann **Richtlinien anhängen** aus.

      Sie haben jetzt die Berechtigungsrichtlinie an die Build-Rolle angehängt. Die Build-Rolle hat jetzt zwei Richtlinien: eine Berechtigungsrichtlinie und eine Vertrauensrichtlinie.

1. Rufen Sie den ARN für die Build-Rolle wie folgt ab:

   1. Wählen Sie im Navigationsbereich **Rollen**.

   1. Geben Sie im Suchfeld den Namen der Rolle ein, die Sie gerade erstellt haben (`codecatalyst-webapp-build-role`).

   1. Wählen Sie die Rolle aus der Liste aus.

      Die **Übersichtsseite** der Rolle wird angezeigt.

   1. Kopieren Sie oben den **ARN-Wert**.

   Sie haben jetzt die Build-Rolle mit den entsprechenden Berechtigungen erstellt und ihren ARN abgerufen.

## Manuelles Erstellen von Rollen für den SAM-Blueprint
<a name="ipa-iam-roles-SAM-blueprint"></a>

Der CodeCatalyst SAM-Blueprint verwendet von Ihnen erstellte IAM-Rollen, die als **Build-Rolle für CloudFormation und **Bereitstellungsrolle** für** SAM bezeichnet werden.

Gehen Sie wie folgt vor, um die Rollen in IAM zu erstellen.

**Um eine Build-Rolle für zu erstellen CloudFormation**

1. Erstellen Sie wie folgt eine Richtlinie für die Rolle:

   1. Melden Sie sich an bei AWS.

   1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

   1. Wählen Sie im Navigationsbereich **Richtlinien**.

   1. Wählen Sie **Richtlinie erstellen** aus.

   1. Wählen Sie den Tab **JSON**.

   1. Löschen Sie den vorhandenen Code.

   1. Fügen Sie folgenden Code ein:

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "s3:*",
                      "cloudformation:*"
                  ],
                  "Resource": "*"
              }
          ]
      }
      ```

------
**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

      ```
      "Resource": "*"
      ```

   1. Wählen Sie **Next: Tags** (Weiter: Tags) aus.

   1. Klicken Sie auf **Weiter: Prüfen**.

   1. Geben Sie im Feld **Name** Folgendes ein:

      ```
      codecatalyst-SAM-build-policy
      ```

   1. Wählen Sie **Richtlinie erstellen** aus.

      Sie haben jetzt eine Berechtigungsrichtlinie erstellt.

1. Erstellen Sie die Build-Rolle wie folgt:

   1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.

   1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie**.

   1. Löschen Sie die bestehende benutzerdefinierte Vertrauensrichtlinie.

   1. Fügen Sie die folgende benutzerdefinierte Vertrauensrichtlinie hinzu:

   1. Wählen Sie **Weiter** aus.

   1. Hängen Sie die Berechtigungsrichtlinie an die Build-Rolle an. Suchen Sie auf der Seite **Berechtigungen hinzufügen** im Abschnitt **Berechtigungsrichtlinien** nach dem entsprechenden Kontrollkästchen `codecatalyst-SAM-build-policy` und aktivieren Sie es.

   1. Wählen Sie **Weiter** aus.

   1. Geben Sie **als Rollenname** Folgendes ein:

      ```
      codecatalyst-SAM-build-role
      ```

   1. Geben Sie **als Rollenbeschreibung** Folgendes ein:

      ```
      CodeCatalyst SAM build role
      ```

   1. Wählen Sie **Rolle erstellen** aus.

   Sie haben jetzt eine Build-Rolle mit einer Vertrauensrichtlinie und einer Berechtigungsrichtlinie erstellt.

1. Hängen Sie die Berechtigungsrichtlinie wie folgt an die Build-Rolle an:

   1. Wählen Sie im Navigationsbereich **Rollen** aus, und suchen Sie dann nach`codecatalyst-SAM-build-role`. ``

   1. Wählen Sie`codecatalyst-SAM-build-role`, ob die Details angezeigt werden sollen. ``

   1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Berechtigungen hinzufügen** und dann **Richtlinien anhängen** aus.

   1. Suchen Sie nach`codecatalyst-SAM-build-policy`, aktivieren Sie das entsprechende Kontrollkästchen und wählen Sie dann **Richtlinien anhängen** aus.

      Sie haben jetzt die Berechtigungsrichtlinie an die Build-Rolle angehängt. Die Build-Rolle hat jetzt zwei Richtlinien: eine Berechtigungsrichtlinie und eine Vertrauensrichtlinie.

1. Rufen Sie den ARN für die Build-Rolle wie folgt ab:

   1. Wählen Sie im Navigationsbereich **Rollen**.

   1. Geben Sie im Suchfeld den Namen der Rolle ein, die Sie gerade erstellt haben (`codecatalyst-SAM-build-role`).

   1. Wählen Sie die Rolle aus der Liste aus.

      Die **Übersichtsseite** der Rolle wird angezeigt.

   1. Kopieren Sie oben den **ARN-Wert**.

   Sie haben jetzt die Build-Rolle mit den entsprechenden Berechtigungen erstellt und ihren ARN abgerufen.

**Um eine Bereitstellungsrolle für SAM zu erstellen**

1. Erstellen Sie wie folgt eine Richtlinie für die Rolle:

   1. Melden Sie sich an bei AWS.

   1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

   1. Wählen Sie im Navigationsbereich **Richtlinien**.

   1. Wählen Sie **Richtlinie erstellen** aus.

   1. Wählen Sie den Tab **JSON**.

   1. Löschen Sie den vorhandenen Code.

   1. Fügen Sie folgenden Code ein:
**Anmerkung**  
Wenn die Rolle zum ersten Mal zum Ausführen von Workflow-Aktionen verwendet wird, verwenden Sie den Platzhalter in der Ressourcenrichtlinien-Anweisung und grenzen Sie dann die Richtlinie mit dem Ressourcennamen ab, sobald sie verfügbar ist.  

      ```
      "Resource": "*"
      ```

   1. Wählen Sie **Next: Tags** (Weiter: Tags) aus.

   1. Klicken Sie auf **Weiter: Prüfen**.

   1. Geben Sie im Feld **Name** Folgendes ein:

      ```
      codecatalyst-SAM-deploy-policy
      ```

   1. Wählen Sie **Richtlinie erstellen** aus.

      Sie haben jetzt eine Berechtigungsrichtlinie erstellt.

1. Erstellen Sie die Build-Rolle wie folgt:

   1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.

   1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie**.

   1. Löschen Sie die bestehende benutzerdefinierte Vertrauensrichtlinie.

   1. Fügen Sie die folgende benutzerdefinierte Vertrauensrichtlinie hinzu:

   1. Wählen Sie **Weiter** aus.

   1. Hängen Sie die Berechtigungsrichtlinie an die Build-Rolle an. Suchen Sie auf der Seite **Berechtigungen hinzufügen** im Abschnitt **Berechtigungsrichtlinien** nach dem entsprechenden Kontrollkästchen `codecatalyst-SAM-deploy-policy` und aktivieren Sie es.

   1. Wählen Sie **Weiter** aus.

   1. Geben Sie **als Rollenname** Folgendes ein:

      ```
      codecatalyst-SAM-deploy-role
      ```

   1. Geben Sie **als Rollenbeschreibung** Folgendes ein:

      ```
      CodeCatalyst SAM deploy role
      ```

   1. Wählen Sie **Rolle erstellen** aus.

   Sie haben jetzt eine Build-Rolle mit einer Vertrauensrichtlinie und einer Berechtigungsrichtlinie erstellt.

1. Hängen Sie die Berechtigungsrichtlinie wie folgt an die Build-Rolle an:

   1. Wählen Sie im Navigationsbereich **Rollen** aus, und suchen Sie dann nach`codecatalyst-SAM-deploy-role`. ``

   1. Wählen Sie`codecatalyst-SAM-deploy-role`, ob die Details angezeigt werden sollen. ``

   1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Berechtigungen hinzufügen** und dann **Richtlinien anhängen** aus.

   1. Suchen Sie nach`codecatalyst-SAM-deploy-policy`, aktivieren Sie das entsprechende Kontrollkästchen und wählen Sie dann **Richtlinien anhängen** aus.

      Sie haben jetzt die Berechtigungsrichtlinie an die Build-Rolle angehängt. Die Build-Rolle hat jetzt zwei Richtlinien: eine Berechtigungsrichtlinie und eine Vertrauensrichtlinie.

1. Rufen Sie den ARN für die Build-Rolle wie folgt ab:

   1. Wählen Sie im Navigationsbereich **Rollen**.

   1. Geben Sie im Suchfeld den Namen der Rolle ein, die Sie gerade erstellt haben (`codecatalyst-SAM-deploy-role`).

   1. Wählen Sie die Rolle aus der Liste aus.

      Die **Übersichtsseite** der Rolle wird angezeigt.

   1. Kopieren Sie oben den **ARN-Wert**.

   Sie haben jetzt die Build-Rolle mit den entsprechenden Berechtigungen erstellt und ihren ARN abgerufen.