Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement für AWS CodeStar Benachrichtigungen und AWS CodeConnections
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), AWS CodeStar Benachrichtigungen und Ressourcen zu verwenden. AWS CodeConnections IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Anmerkung**
Aktionen für Ressourcen, die unter dem neuen Dienstpräfix erstellt wurden, `codeconnections` sind verfügbar. Wenn Sie eine Ressource unter dem neuen Dienstpräfix erstellen, wird sie `codeconnections` im Ressourcen-ARN verwendet. Aktionen und Ressourcen für das `codestar-connections` Dienstpräfix bleiben verfügbar. Wenn Sie eine Ressource in der IAM-Richtlinie angeben, muss das Dienstpräfix mit dem der Ressource übereinstimmen.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Funktionsweise von Funktionen in der Entwicklertools-Konsole mit IAM](security_iam_service-with-iam.md)
+ [AWS CodeConnections Referenz zu Berechtigungen](#permissions-reference-connections)
+ [Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
+ [Verwendung von Tags zur Steuerung des Zugriffs auf Ressourcen AWS CodeConnections](connections-tag-based-access-control.md)
+ [Verwenden von Notifications und Connections in der Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Fehlerbehebung bei AWS CodeStar Benachrichtigungen sowie AWS CodeConnections Identität und Zugriff](security_iam_troubleshoot.md)
+ [Verwenden von serviceverknüpften Rollen für Benachrichtigungen AWS CodeStar](using-service-linked-roles.md)
+ [Verwenden von serviceverknüpften Rollen für AWS CodeConnections](service-linked-role-connections.md)
+ [AWS verwaltete Richtlinien für AWS CodeConnections](security-iam-awsmanpol.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei AWS CodeStar Benachrichtigungen sowie AWS CodeConnections Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Funktionsweise von Funktionen in der Entwicklertools-Konsole mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### Root-Benutzer des AWS-Kontos
Wenn Sie eine erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem so genannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle Ressourcen hat. AWS-Services Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
## AWS CodeConnections Referenz zu Berechtigungen
In den folgenden Tabellen sind die einzelnen AWS CodeConnections API-Operationen, die entsprechenden Aktionen, für die Sie Berechtigungen erteilen können, und das Format des Ressourcen-ARN aufgeführt, der für die Erteilung von Berechtigungen verwendet werden soll. Sie AWS CodeConnections APIs sind auf der Grundlage des Umfangs der Aktionen, die von dieser API zugelassen sind, in Tabellen gruppiert. Verwenden Sie sie als Referenz, wenn Sie Berechtigungsrichtlinien für eine IAM-Identität (identitätsbasierte Richtlinie) verfassen.
Beim Erstellen einer Berechtigungsrichtlinie geben Sie die Aktionen im Feld `Action` der Richtlinie an. Sie geben den Ressourcenwert im Feld `Resource` der Richtlinie als ARN mit oder ohne Platzhalterzeichen (\$1) an.
Bedingungen in Ihren Verbindungsrichtlinien können Sie mit den Bedingungsschlüsseln ausdrücken, die hier beschrieben und unter [Bedingungsschlüssel](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys) aufgeführt sind. Sie können auch Bedingungsschlüssel für AWS alle Bereiche verwenden. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter [Verfügbare Schlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.
Um eine Aktion anzugeben, verwenden Sie das Präfix `codeconnections` gefolgt vom Namen der API-Operation (z. B. `codeconnections:ListConnections` oder `codeconnections:CreateConnection`).
**Verwenden von Platzhaltern **
Sie können ein Platzhalterzeichen (\$1) in Ihrem ARN verwenden, um mehrere Aktionen oder Ressourcen anzugeben. `codeconnections:*`Gibt beispielsweise alle Aktionen an und gibt alle AWS CodeConnections Aktionen `codeconnections:Get*` an, die mit dem Wort beginnen. AWS CodeConnections `Get` Im folgenden Beispiel wird der Zugriff auf alle Ressourcen erteilt, deren Name mit `MyConnection` beginnt.
```
arn:aws:codeconnections:us-west-2:account-ID:connection/*
```
Sie können Platzhalter nur für die in der folgenden Tabelle aufgeführten *connection* Ressourcen verwenden. Sie können Platzhalter nicht zusammen mit *region* Ressourcen verwenden. *account-id* Weitere Informationen zu Platzhaltern finden Sie unter [IAM Identifiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) im *Benutzerhandbuch von IAM*.
**Topics**
+ [Berechtigungen zum Verwalten von Verbindungen](#permissions-reference-connections-managing)
+ [Berechtigungen zum Verwalten von Hosts](#permissions-reference-connections-hosts)
+ [Berechtigungen zum Abschließen von Verbindungen](#permissions-reference-connections-handshake)
+ [Berechtigungen zum Einrichten von Hosts](#connections-permissions-actions-host-registration)
+ [Übergeben einer Verbindung an einen Service](#permissions-reference-connections-passconnection)
+ [Verwenden einer Verbindung](#permissions-reference-connections-use)
+ [Unterstützte Zugriffstypen für `ProviderAction`](#permissions-reference-connections-access)
+ [Unterstütze Berechtigungen für das Markieren von Verbindungsressourcen](#permissions-reference-connections-tagging)
+ [Übergeben einer Verbindung an einen Repository-Link](#permissions-reference-connections-passrepository)
+ [Unterstützter Bedingungsschlüssel für Repository-Links](#permissions-reference-connections-branch)
+ [Unterstützte Berechtigungen für die gemeinsame Nutzung von Verbindungen](#permissions-reference-connections-sharing)
### Berechtigungen zum Verwalten von Verbindungen
Eine Rolle oder ein Benutzer, der das SDK AWS CLI oder das SDK zum Anzeigen, Erstellen oder Löschen von Verbindungen verwendet, sollte über folgende Berechtigungen verfügen.
**Anmerkung**
Sie können in der Konsole keine Verbindung nur mit den folgenden Berechtigungen herstellen oder verwenden. Sie müssen die Berechtigungen in [Berechtigungen zum Abschließen von Verbindungen](#permissions-reference-connections-handshake) hinzufügen.
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
```
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**AWS CodeConnections erforderliche Berechtigungen für die Verwaltung von Verbindungen**
| AWS CodeConnections Aktionen | Erforderliche Berechtigungen | Ressourcen |
| --- | --- | --- |
| CreateConnection | `codeconnections:CreateConnection` Ist erforderlich, um mit der CLI bzw. der Konsole eine Verbindung zu erstellen. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
| DeleteConnection | `codeconnections:DeleteConnection` Ist erforderlich, um mit der CLI bzw. der Konsole eine Verbindung zu löschen. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| GetConnection | `codeconnections:GetConnection` Ist erforderlich, um mit der CLI bzw. der Konsole Details zu einer Verbindung zu sehen. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| ListConnections | `codeconnections:ListConnections` Ist erforderlich, um mit der CLI bzw. der Konsole alle Verbindungen im Konto zu sehen. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
Diese Vorgänge unterstützen die folgenden Bedingungsschlüssel:
| Action | Bedingungsschlüssel |
| --- | --- |
| `codeconnections:CreateConnection` | `codeconnections:ProviderType` |
| codeconnections:DeleteConnection | – |
| codeconnections:GetConnection | – |
| codeconnections:ListConnections | codeconnections:ProviderTypeFilter |
### Berechtigungen zum Verwalten von Hosts
Eine Rolle oder ein Benutzer, der AWS CLI bzw. der das SDK zum Anzeigen, Erstellen oder Löschen von Hosts verwenden soll, sollte über folgende Berechtigungen verfügen.
**Anmerkung**
Sie können im Host keine Verbindung herstellen oder verwenden, wenn nur die folgenden Berechtigungen vorhanden sind. Sie müssen die Berechtigungen in [Berechtigungen zum Einrichten von Hosts](#connections-permissions-actions-host-registration) hinzufügen.
```
codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts
```
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**AWS CodeConnections erforderliche Berechtigungen für die Verwaltung von Hosts**
| AWS CodeConnections Aktionen | Erforderliche Berechtigungen | Ressourcen |
| --- | --- | --- |
| CreateHost | `codeconnections:CreateHost` Ist erforderlich, um mit der CLI bzw. der Konsole einen Host zu erstellen. | arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
| DeleteHost | `codeconnections:DeleteHost` Ist erforderlich, um mit der CLI bzw. der Konsole einen Host zu löschen. | Codeverbindungen: ::host/ *region* *account-id* *host-id* |
| GetHost | `codeconnections:GetHost` Ist erforderlich, um mit der CLI bzw. der Konsole Details zu einem Host zu sehen. | *region*arn:aws:codeconnections: ::host/ *account-id* *host-id* |
| ListHosts | `codeconnections:ListHosts` Ist erforderlich, um mit der CLI bzw. der Konsole alle Hosts im Konto zu sehen. | arn:aws:codeconnections: *region* ::host/ *account-id* *host-id* |
Diese Vorgänge unterstützen die folgenden Bedingungsschlüssel:
| Action | Bedingungsschlüssel |
| --- | --- |
| `codeconnections:CreateHost` | `codeconnections:ProviderType` `codeconnections:VpcId` |
| codeconnections:DeleteHost | – |
| codeconnections:GetHost | – |
| codeconnections:ListHosts | codeconnections:ProviderTypeFilter |
Ein Beispiel für eine Richtlinie, die den **VpcId**Bedingungsschlüssel verwendet, finden Sie unter[Beispiel: Beschränken Sie die VPC-Berechtigungen für Hosts mithilfe des **VpcId**Kontextschlüssels](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-vpc).
### Berechtigungen zum Abschließen von Verbindungen
Eine Rolle oder ein Benutzer, die bzw. der zum Verwalten von Verbindungen in der Konsole bestimmt ist, sollte über die erforderlichen Berechtigungen verfügen, um eine Verbindung in der Konsole abzuschließen und eine Installation zu erstellen. Dazu gehören das Autorisieren des Handshakes beim Anbieter und das Erstellen von Installationen für Verbindungen. Verwenden Sie die folgenden Berechtigungen zusätzlich zu den oben genannten Berechtigungen.
Die folgenden IAM-Vorgänge werden von der Konsole verwendet, wenn Sie einen browserbasierten Handshake ausführen. `ListInstallationTargets`, `GetInstallationUrl`, `StartOAuthHandshake`, `UpdateConnectionInstallation` und `GetIndividualAccessToken` sind IAM-Richtlinienberechtigungen. Es handelt sich dabei nicht um API-Aktionen.
```
codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
```
Auf dieser Grundlage sind die folgenden Berechtigungen erforderlich, um eine Verbindung in der Konsole zu verwenden, zu erstellen, zu ändern oder zu löschen:
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
```
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**AWS CodeConnections erforderliche Berechtigungen für das Herstellen von Verbindungen**
| AWS CodeConnections Aktionen | Erforderliche Berechtigungen | Ressourcen |
| --- | --- | --- |
| `GetIndividualAccessToken` | `codeconnections:GetIndividualAccessToken` Ist erforderlich, um mit der Konsole eine Verbindung abzuschließen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
| `GetInstallationUrl` | `codeconnections:GetInstallationUrl` Ist erforderlich, um mit der Konsole eine Verbindung abzuschließen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListInstallationTargets` | `codeconnections:ListInstallationTargets` Ist erforderlich, um mit der Konsole eine Verbindung abzuschließen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `StartOAuthHandshake` | `codeconnections:StartOAuthHandshake` Ist erforderlich, um mit der Konsole eine Verbindung abzuschließen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `UpdateConnectionInstallation` | `codeconnections:UpdateConnectionInstallation` Ist erforderlich, um mit der Konsole eine Verbindung abzuschließen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
Diese Vorgänge unterstützen die folgenden Bedingungsschlüssel:
| Action | Bedingungsschlüssel |
| --- | --- |
| codeconnections:GetIndividualAccessToken | codeconnections:ProviderType |
| codeconnections:GetInstallationUrl | codeconnections:ProviderType |
| `codeconnections:ListInstallationTargets` | – |
| codeconnections:StartOAuthHandshake | codeconnections:ProviderType |
| codeconnections:UpdateConnectionInstallation | codeconnections:InstallationId |
### Berechtigungen zum Einrichten von Hosts
Eine Rolle oder ein Benutzer, die bzw. der zum Verwalten von Verbindungen in der Konsole bestimmt ist, sollte über die erforderlichen Berechtigungen verfügen, um einen Host in der Konsole zu erstellen. Dazu gehören das Autorisieren des Handshakes beim Anbieter und das Installieren der Host-App. Verwenden Sie die folgenden Berechtigungen zusätzlich zu den oben genannten Berechtigungen für Hosts.
Die folgenden IAM-Vorgänge werden von der Konsole verwendet, wenn Sie eine browserbasierte Hostregistrierung durchführen. `RegisterAppCode` und `StartAppRegistrationHandshake` sind IAM-Richtlinienberechtigungen. Es handelt sich dabei nicht um API-Aktionen.
```
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
Dementsprechend sind die folgenden Berechtigungen erforderlich, damit Sie eine Verbindung in der Konsole verwenden, erstellen, ändern oder löschen können, für die ein Host erforderlich ist (z. B. installierte Anbietertypen).
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**AWS CodeConnections erforderliche Berechtigungen für den Abschluss des Host-Setups**
| Verbindungen und Aktionen | Erforderliche Berechtigungen | Ressourcen |
| --- | --- | --- |
| `RegisterAppCode` | `codeconnections:RegisterAppCode` Erforderlich, um die Hosteinrichtung mit der Konsole abzuschließen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
| `StartAppRegistrationHandshake` | `codeconnections:StartAppRegistrationHandshake` Erforderlich, um die Hosteinrichtung mit der Konsole abzuschließen. Dies ist nur eine IAM-Richtlinienberechtigung, keine API-Aktion. | arn:aws:codeconnections: *region* ::host/ *account-id* *host-id* |
Diese Vorgänge unterstützen die folgenden Bedingungsschlüssel:
### Übergeben einer Verbindung an einen Service
Wenn eine Verbindung an einen Service übergeben wird (z. B. wenn ein Verbindungs-ARN in einer Pipeline-Definition bereitgestellt wird, um eine Pipeline zu erstellen oder zu ändern), muss der Benutzer über die `codeconnections:PassConnection`-Berechtigung verfügen.
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**AWS CodeConnections erforderliche Berechtigungen für die Weitergabe einer Verbindung**
| AWS CodeConnections Aktionen | Erforderliche Berechtigungen | Ressourcen |
| --- | --- | --- |
| `PassConnection` | `codeconnections:PassConnection` Ist erforderlich, um eine Verbindung an einen Service zu übergeben. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
Dieser Vorgang unterstützt auch den folgenden Bedingungsschlüssel:
+ `codeconnections:PassedToService`
**Unterstützte Werte für Bedingungsschlüssel**
| Key (Schlüssel) | Gültige Aktionsanbieter |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/dtconsole/latest/userguide/security-iam.html) |
### Verwenden einer Verbindung
Wenn ein Dienst wie eine Verbindung CodePipeline verwendet, muss die Dienstrolle über die `codeconnections:UseConnection` Berechtigung für eine bestimmte Verbindung verfügen.
Um Verbindungen in der Konsole zu verwalten, muss die Benutzerrichtlinie die `codeconnections:UseConnection`-Berechtigung haben.
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**AWS CodeConnections erforderliche Aktion für die Verwendung von Verbindungen**
| AWS CodeConnections Aktionen | Erforderliche Berechtigungen | Ressourcen |
| --- | --- | --- |
| `UseConnection` | `codeconnections:UseConnection` Ist erforderlich zum Verwenden einer Verbindung. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
Dieser Vorgang unterstützt auch die folgenden Bedingungsschlüssel:
+ `codeconnections:BranchName`
+ `codeconnections:FullRepositoryId`
+ `codeconnections:OwnerId`
+ `codeconnections:ProviderAction`
+ `codeconnections:ProviderPermissionsRequired`
+ `codeconnections:RepositoryName`
**Unterstützte Werte für Bedingungsschlüssel**
| Key (Schlüssel) | Gültige Aktionsanbieter |
| --- | --- |
| `codeconnections:FullRepositoryId` | Der Benutzername und der Repository-Name eines Repositorys, wie etwa `my-owner/my-repository`. Wird nur unterstützt, wenn die Verbindung für den Zugriff auf ein bestimmtes Repository verwendet wird. |
| `codeconnections:ProviderPermissionsRequired` | read\$1only oder read\$1write |
| `codeconnections:ProviderAction` | `GetBranch`, `ListRepositories`, `ListOwners`, `ListBranches`, `StartUploadArchiveToS3`, `GitPush`, `GitPull`, `GetUploadArchiveToS3Status`, `CreatePullRequestDiffComment`, `GetPullRequest`, `ListBranchCommits`, `ListCommitFiles`, `ListPullRequestComments`, `ListPullRequestCommits`. Weitere Informationen finden Sie im folgenden Abschnitt. |
Die erforderlichen Bedingungsschlüssel für einige Funktionen können sich im Laufe der Zeit ändern. Es wird empfohlen, den Zugriff auf eine Verbindung mit `codeconnections:UseConnection` zu kontrollieren, es sei denn, Ihre Zugriffskontrollanforderungen erfordern andere Berechtigungen.
### Unterstützte Zugriffstypen für `ProviderAction`
Wenn eine Verbindung von einem AWS Dienst verwendet wird, führt dies dazu, dass API-Aufrufe an Ihren Quellcode-Anbieter getätigt werden. Beispielsweise kann ein Service Repositorys für eine Bitbucket-Verbindung auflisten, indem er die `https://api.bitbucket.org/2.0/repositories/username`-API aufruft.
Mit dem `ProviderAction` Bedingungsschlüssel können Sie einschränken, welcher APIs Anbieter aufgerufen werden kann. Da der API-Pfad möglicherweise dynamisch generiert wird und der Pfad von Anbieter zu Anbieter variiert, wird der `ProviderAction`-Wert einem abstrakten Aktionsnamen und nicht der URL der API zugeordnet. Auf diese Weise können Sie Richtlinien schreiben, die unabhängig vom Anbietertyp für die Verbindung dieselbe Wirkung haben.
Im Folgenden sind die Zugriffstypen aufgeführt, die für jeden der unterstützten `ProviderAction`-Werte gewährt werden. Das folgende Beispiel zeigt IAM-Richtlinienberechtigungen. Es handelt sich dabei nicht um API-Aktionen.
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**AWS CodeConnections unterstützte Zugriffsarten für `ProviderAction`**
| AWS CodeConnections Erlaubnis | Erforderliche Berechtigungen | Ressourcen |
| --- | --- | --- |
| `GetBranch` | ` codeconnections:GetBranch` Ist erforderlich zum Zugreifen auf Informationen über eine Verzweigung, z. B. das letzte Commit für diese Verzweigung. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
| `ListRepositories` | ` codeconnections:ListRepositories` Ist erforderlich zum Abrufen einer Liste von öffentlichen und privaten Repositorys, einschließlich Details zu den Repositorys, die einem Besitzer gehören. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListOwners` | `codeconnections:ListOwners` Ist erforderlich zum Aufrufen einer Liste von Besitzern, auf die die Verbindung Zugriff hat. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListBranches` | ` codeconnections:ListBranches` Ist erforderlich zum Abrufen einer Liste der Verzweigungen, die in einem bestimmten Repository vorhanden sind. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `StartUploadArchiveToS3` | ` codeconnections:StartUploadArchiveToS3` Ist erforderlich, um den Quellcode zu lesen und auf Amazon S3 hochzuladen. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `GitPush` | ` codeconnections:GitPush` Ist erforderlich zum Schreiben eines Repositorys mit Git. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `GitPull` | ` codeconnections:GitPull` Ist erforderlich zum Lesen eines Git aus einem Repository. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| GetUploadArchiveToS3Status | ` codeconnections:GetUploadArchiveToS3Status` Ist erforderlich zum Aufrufen des Status eines Uploads, einschließlich aller Fehlermeldungen, die von `StartUploadArchiveToS3` gestartet werden. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| CreatePullRequestDiffComment | ` codeconnections:CreatePullRequestDiffComment` Ist erforderlich für den Zugriff auf Kommentare zu einer Pull-Anforderung. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| GetPullRequest | ` codeconnections:GetPullRequest` Ist erforderlich zum Anzeigen von Pull-Anforderungen für ein Repository. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListBranchCommits` | ` codeconnections:ListBranchCommits` Ist erforderlich zum Anzeigen einer Liste von Commits für eine Repository-Verzweigung. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListCommitFiles` | ` codeconnections:ListCommitFiles` Ist erforderlich zum Anzeigen einer Liste von Dateien für ein Commit. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListPullRequestComments` | ` codeconnections:ListPullRequestComments` Ist erforderlich zum Anzeigen einer Liste mit Kommentaren für eine Pull-Anforderung. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListPullRequestCommits` | ` codeconnections:ListPullRequestCommits` Ist erforderlich zum Anzeigen einer Liste von Commits für eine Pull-Anforderung. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
### Unterstütze Berechtigungen für das Markieren von Verbindungsressourcen
Die folgenden IAM-Vorgänge werden beim Markieren von Verbindungsressourcen verwendet.
```
codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource
```
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**AWS CodeConnections erforderliche Aktionen zum Markieren von Verbindungsressourcen**
| AWS CodeConnections Aktionen | Erforderliche Berechtigungen | Ressourcen |
| --- | --- | --- |
| `ListTagsForResource` | `codeconnections:ListTagsForResource` Ist erforderlich zum Anzeigen einer Liste von Markierungen, die mit der Verbindungsressource verknüpft sind. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id*,arn:aws:codeconnections: *region* ::host/ *account-id* *host-id* |
| `TagResource` | `codeconnections:TagResource` Ist erforderlich zum Markieren einer Verbindungsressource. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id*,arn:aws:codeconnections: *region* ::host/ *account-id* *host-id* |
| `UntagResource` | `codeconnections:UntagResource` Ist erforderlich zum Entfernen von Markierungen bei einer Ressource. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id*,arn:aws:codeconnections: *region* ::host/ *account-id* *host-id* |
### Übergeben einer Verbindung an einen Repository-Link
Wenn ein Repository-Link in einer Synchronisierungskonfiguration bereitgestellt wird, muss der Benutzer über die `codeconnections:PassRepository`-Berechtigung für den Repository-Link ARN/die Resource verfügen.
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**AWS CodeConnections erforderliche Berechtigungen für das Weiterleiten einer Verbindung**
| AWS CodeConnections Aktionen | Erforderliche Berechtigungen | Ressourcen |
| --- | --- | --- |
| `PassRepository` | `codeconnections:PassRepository` Dies ist erforderlich, um einen Repository-Link an eine Synchronisierungskonfiguration zu übergeben. | arn:aws:codeconnections: ::repository-link/ *region* *account-id* *repository-link-id* |
Dieser Vorgang unterstützt auch den folgenden Bedingungsschlüssel:
+ `codeconnections:PassedToService`
**Unterstützte Werte für Bedingungsschlüssel**
| Key (Schlüssel) | Gültige Aktionsanbieter |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/dtconsole/latest/userguide/security-iam.html) |
### Unterstützter Bedingungsschlüssel für Repository-Links
Operationen für Repository-Links und Sync-Konfigurationsressourcen werden durch den folgenden Bedingungsschlüssel unterstützt:
+ `codeconnections:Branch`
Filtert den Zugriff nach dem Zweignamen, der in der Anforderung übergeben wird.
**Unterstützte Aktionen für den Bedingungsschlüssel**
| Key (Schlüssel) | Zulässige Werte |
| --- | --- |
| `codeconnections:Branch` | Die folgenden Aktionen werden für diesen Bedingungsschlüssel unterstützt:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/dtconsole/latest/userguide/security-iam.html) |
### Unterstützte Berechtigungen für die gemeinsame Nutzung von Verbindungen
Die folgenden IAM-Operationen werden beim Teilen von Verbindungen verwendet.
```
codeconnections:GetResourcePolicy
```
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**AWS CodeConnections erforderliche Aktionen für die gemeinsame Nutzung von Verbindungen**
| AWS CodeConnections Aktionen | Erforderliche Berechtigungen | Ressourcen |
| --- | --- | --- |
| `GetResourcePolicy` | `codeconnections:GetResourcePolicy` Erforderlich, um auf Informationen zur Ressourcenrichtlinie zuzugreifen. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
Weitere Informationen zur gemeinsamen Nutzung von Verbindungen finden Sie unter[Verbindungen teilen mit AWS-Konten](connections-share.md).
## Verwenden von Notifications und Connections in der Konsole
Die Benachrichtigungserfahrung ist in die CodePipeline Konsolen CodeBuild CodeCommit CodeDeploy,, und sowie in die Developer Tools-Konsole in der Navigationsleiste **„Einstellungen“** selbst integriert. Um auf Benachrichtigungen in den Konsolen zuzugreifen, muss entweder eine der verwalteten Richtlinien für diese Services für Sie angewendet sein oder Sie müssen über einen Mindestsatz an Berechtigungen verfügen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS CodeStar Benachrichtigungen und AWS CodeConnections Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie. Weitere Informationen zur Gewährung von Zugriff auf AWS CodeBuild, AWS CodeCommit, und AWS CodeDeploy AWS CodePipeline, einschließlich Zugriff auf diese Konsolen, finden Sie in den folgenden Themen:
+ CodeBuild: [Verwendung identitätsbasierter Richtlinien](https://docs.aws.amazon.com/codebuild/latest/userguide/security_iam_id-based-policy-examples.html#managed-policies) für CodeBuild
+ CodeCommit: [Verwendung identitätsbasierter Richtlinien](https://docs.aws.amazon.com/codecommit/latest/userguide/auth-and-access-control-iam-identity-based-access-control.html) für CodeCommit
+ AWS CodeDeploy: [Identitäts- und Zugriffsmanagement](https://docs.aws.amazon.com/codedeploy/latest/userguide/security-iam.html) für AWS CodeDeploy
+ CodePipeline: [Zugriffskontrolle mit IAM-Richtlinien](https://docs.aws.amazon.com/codepipeline/latest/userguide/access-control.html)
AWS CodeStar Für Benachrichtigungen gibt AWS es keine verwalteten Richtlinien. Um Zugriff auf Benachrichtigungsfunktionen zu ermöglichen, müssen Sie entweder eine der verwalteten Richtlinien für einen der oben aufgeführten Services anwenden oder Richtlinien mit der Berechtigungsstufe erstellen, die Sie Benutzern oder Entitäten erteilen möchten, und diese Richtlinien dann den Benutzern, Gruppen oder Rollen anfügen, die die Berechtigungen benötigen. Weitere Informationen finden Sie in den folgenden Beispielen:
+ [Beispiel: Eine Richtlinie auf Administratorebene für die Verwaltung von Benachrichtigungen AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-full-access)
+ [Beispiel: Eine Richtlinie auf Mitwirkendenebene für die Verwendung von Benachrichtigungen AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-contributor)
+ [Beispiel: Eine read-only-level Richtlinie für die Verwendung von AWS CodeStar Benachrichtigungen](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-read-only).
AWS CodeConnections hat keine AWS verwalteten Richtlinien. Sie verwenden die Berechtigungen und Kombinationen von Berechtigungen für den Zugriff, z. B. die Berechtigungen, die unter [Berechtigungen zum Abschließen von Verbindungen](#permissions-reference-connections-handshake) beschrieben ist.
Weitere Informationen finden Sie hier:
+ [Beispiel: Eine Richtlinie auf Administratorebene für die Verwaltung AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-fullaccess)
+ [Beispiel: Eine Richtlinie auf Mitwirkendenebene für die Verwendung AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-contributor)
+ [Beispiel: Eine read-only-level Richtlinie für die Verwendung AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-readonly)
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Konsolenberechtigungen gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die den API-Operation entsprechen, die Sie ausführen möchten.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```