Identity and Access Management y Amazon CodeCatalyst - Amazon CodeCatalyst
Políticas basadas en identidadAcciones de políticasRecursos de políticasClaves de condición de políticaEjemplos de políticas basadas en la identidad para las cuentas conectadas de Amazon CodeCatalyst CodeCatalyst referencia de permisos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Identity and Access Management y Amazon CodeCatalyst

En Amazon CodeCatalyst, creas y utilizas un ID de AWS constructor para iniciar sesión y acceder a tus espacios y proyectos. Un AWS Builder ID no es una identidad en AWS Identity and Access Management (IAM) ni existe en un Cuenta de AWS. Sin CodeCatalyst embargo, se integra con IAM cuando se verifica un espacio con fines de facturación y cuando se conecta a un espacio Cuenta de AWS para crear y usar recursos en él. Cuenta de AWS

AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan quién puede estar autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.

Al crear un espacio en Amazon CodeCatalyst, debes conectarlo Cuenta de AWS como cuenta de facturación de tu espacio. Debes tener permisos de administrador en el espacio Cuenta de AWS para verificar el CodeCatalyst espacio o tener el permiso. También tiene la opción de añadir una función de IAM a su espacio que CodeCatalyst podrá utilizar para crear y acceder a los recursos del espacio conectado Cuenta de AWS. Esto se denomina rol de servicio. Puede optar por crear conexiones con más de una cuenta Cuenta de AWS y crear funciones de servicio para CodeCatalyst cada una de esas cuentas.

nota

La facturación CodeCatalyst se realiza en la cuenta Cuenta de AWS designada como cuenta de facturación. Sin embargo, si crea un rol de CodeCatalyst servicio en esa función Cuenta de AWS o en cualquier otra conexión Cuenta de AWS, los recursos creados y utilizados por la función de CodeCatalyst servicio se facturarán en esa función conectada Cuenta de AWS. Para obtener más información, consulta Gestión de la facturación en la Guía del CodeCatalyst administrador de Amazon.

Temas

Políticas basadas en la identidad en IAM

Las políticas basadas en la identidad son documentos de política de permisos de JSON que se pueden adjuntar a una identidad. Esa identidad puede ser un usuario, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM en la Guía del usuario de IAM.

Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. No es posible especificar la entidad principal en una política basada en identidad porque se aplica al usuario o rol al que está adjunto. Para más información sobre los elementos que puede utilizar en una política de JSON, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.

Ejemplos de políticas basadas en identidades de CodeCatalyst

Para ver ejemplos de políticas CodeCatalyst basadas en la identidad, consulte. Ejemplos de políticas de conexiones basadas en la identidad CodeCatalyst

Acciones políticas en IAM

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué director puede realizar qué acciones, con qué recursos y en qué condiciones.

El elemento Action de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Las acciones políticas suelen tener el mismo nombre que la operación de AWS API asociada. Hay algunas excepciones, como acciones de solo permiso que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan acciones dependientes.

Para especificar varias acciones en una única instrucción, sepárelas con comas.

"Action": [
      "prefix:action1",
      "prefix:action2"
         ]

Recursos de políticas en IAM

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué director puede realizar qué acciones, con qué recursos y en qué condiciones.

El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Como práctica recomendada, especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). Puede hacerlo para acciones que admitan un tipo de recurso específico, conocido como permisos de nivel de recurso.

Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utilice un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.

"Resource": "*"

Las condiciones políticas son las claves de la IAM

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué director puede realizar qué acciones, con qué recursos y en qué condiciones.

El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilicen operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.

Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición con una operación lógica OR. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.

También puede utilizar variables de marcador de posición al especificar condiciones. Para más información, consulte Elementos de la política de IAM: variables y etiquetas en la Guía del usuario de IAM.

AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición globales de AWS , consulte Claves de contexto de condición globales de AWSen la Guía del usuario de IAM.

Ejemplos de políticas de conexiones basadas en la identidad CodeCatalyst

En CodeCatalyst, Cuentas de AWS son necesarios para gestionar la facturación de un espacio y acceder a los recursos de los flujos de trabajo del proyecto. La conexión de una cuenta se utiliza para autorizar Cuentas de AWS la adición a un espacio. En los lugares conectados se utilizan políticas basadas en la identidad. Cuentas de AWS

De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar recursos. CodeCatalyst Tampoco pueden realizar tareas mediante la AWS Management Console, AWS Command Line Interface (AWS CLI) o la AWS API. Un administrador de IAM debe crear políticas de IAM que concedan a los usuarios y a los roles permiso para realizar acciones en los recursos que necesitan. El administrador debe asociar esas políticas a los usuarios que las necesiten.

En el siguiente ejemplo, las políticas de IAM conceden permisos para las acciones relacionadas con las conexiones de cuentas. Úselas para limitar el acceso a las cuentas conectadas a CodeCatalyst.

Ejemplo 1: permitir que un usuario acepte solicitudes de conexión de una sola vez Región de AWS

La siguiente política de permisos solo permite a los usuarios ver y aceptar solicitudes de conexiones entre CodeCatalyst y Cuentas de AWS. Además, la política utiliza una condición para permitir solo las acciones en la región us-west-2 y no desde otras. Regiones de AWS Para ver y aprobar la solicitud, el usuario inicia sesión en ella AWS Management Console con la misma cuenta que se especifica en la solicitud. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:GetPendingConnection"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": "us-west-2"
        }
      }
    }
  ]
}

Ejemplo 2: permitir administrar las conexiones en la consola para una sola Región de AWS

La siguiente política de permisos permite a los usuarios administrar las conexiones entre CodeCatalyst y Cuentas de AWS dentro de una sola región. La política utiliza una condición para permitir solo las acciones en la región us-west-2 y no desde otras. Regiones de AWS Tras crear una conexión, puede crear el CodeCatalystWorkflowDevelopmentRole-spaceNamerol seleccionando la opción en. AWS Management Console En la política de ejemplo, la condición de la iam:PassRole acción incluye los principios del servicio para CodeCatalyst. Solo los roles con ese acceso se crearán en. AWS Management Console

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codecatalyst:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": "us-west-2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "codecatalyst.amazonaws.com",
                        "codecatalyst-runner.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Ejemplo 3: Denegar la administración de las conexiones

La siguiente política de permisos niega a los usuarios la posibilidad de administrar las conexiones entre CodeCatalyst y Cuentas de AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "codecatalyst:*"
            ],
            "Resource": "*"
        }
    ]
}

CodeCatalyst referencia de permisos

En esta sección se proporciona una referencia de permisos para las acciones utilizadas con el recurso de conexión de la cuenta al Cuentas de AWS que se está conectado CodeCatalyst. En la siguiente sección, se describen las acciones relacionadas únicamente con los permisos y relacionadas con la conexión de cuentas.

Permisos necesarios para las conexiones de cuentas

Se requieren los siguientes permisos para trabajar con las conexiones de cuentas.

CodeCatalyst permisos para las conexiones de cuentas Permisos necesarios Recursos
AcceptConnection Necesario para aceptar una solicitud de conexión de esta cuenta a un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API.

Solo admite un carácter comodín (*) en el elemento Resource de la política.
AssociateIamRoleToConnection Necesario para asociar un rol de IAM a una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
DeleteConnection Necesario para eliminar la conexión de una cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
DisassociateIamRoleFromConnection Necesario para desasociar un rol de IAM de una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
GetBillingAuthorization Necesario para describir la autorización de facturación para la conexión de una cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
GetConnection Necesario para poder conectar una cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
GetPendingConnection Necesario para obtener una solicitud pendiente para conectar esta cuenta a un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API.

Solo admite un carácter comodín (*) en el elemento Resource de la política.
ListConnections Necesario para enumerar las conexiones de cuentas que no están pendientes. Se trata únicamente de un permiso de política de IAM, no de una acción de API.

Solo admite un carácter comodín (*) en el elemento Resource de la política.
ListIamRolesForConnection Necesario para enumerar las funciones de IAM asociadas a una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
ListTagsForResource Necesario para enumerar las etiquetas asociadas a una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
PutBillingAuthorization Necesario para crear o actualizar la autorización de facturación de una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
RejectConnection Necesario para rechazar una solicitud de conexión de esta cuenta a un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API.

Solo admite un carácter comodín (*) en el elemento Resource de la política.
TagResource Necesario para crear o editar las etiquetas asociadas a la conexión de una cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID
UntagResource Necesario para eliminar las etiquetas asociadas a la conexión de una cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/connections/connection_ID

Permisos necesarios para las aplicaciones del Centro de Identidad de IAM

Se requieren los siguientes permisos para trabajar con las aplicaciones del IAM Identity Center.

CodeCatalyst permisos para las aplicaciones del IAM Identity Center Permisos necesarios Recursos
AssociateIdentityCenterApplicationToSpace Necesario para asociar una aplicación del centro de identidad de IAM a un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
AssociateIdentityToIdentityCenterApplication Necesario para asociar una identidad a una solicitud del Centro de Identidad de IAM para un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
BatchAssociateIdentitiesToIdentityCenterApplication Necesario para asociar varias identidades a una aplicación del Centro de Identidad de IAM para un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
BatchDisassociateIdentitiesFromIdentityCenterApplication Necesario para desasociar varias identidades de una aplicación del Centro de Identidad de IAM para un espacio. CodeCatalyst Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
CreateIdentityCenterApplication Necesario para crear una aplicación del centro de identidad de IAM. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
CreateSpaceAdminRoleAssignment Necesario para crear una asignación de funciones de administrador para un CodeCatalyst espacio y una aplicación del IAM Identity Center determinados. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
DeleteIdentityCenterApplication Necesario para eliminar una aplicación del IAM Identity Center. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
DisassociateIdentityCenterApplicationFromSpace Necesario para desvincular una aplicación del Centro de Identidad de IAM de un espacio. CodeCatalyst Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
DisassociateIdentityFromIdentityCenterApplication Necesario para desasociar una identidad de una solicitud del Centro de Identidad de IAM para un espacio. CodeCatalyst Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
GetIdentityCenterApplication Necesario para obtener información sobre una solicitud del Centro de Identidad de IAM. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
ListIdentityCenterApplications Necesario para ver una lista de todas las aplicaciones del IAM Identity Center de la cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API.

Solo admite un carácter comodín (*) en el elemento Resource de la política.
ListIdentityCenterApplicationsForSpace Necesario para ver una lista de las aplicaciones del IAM Identity Center por CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
ListSpacesForIdentityCenterApplication Necesario para ver una lista de CodeCatalyst espacios por aplicación del IAM Identity Center. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
SynchronizeIdentityCenterApplication Necesario para sincronizar una aplicación del IAM Identity Center con el almacén de identidades de respaldo. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID
UpdateIdentityCenterApplication Necesario para actualizar una aplicación del centro de identidad de IAM. Se trata únicamente de un permiso de política de IAM, no de una acción de API. arn:aws:codecatalyst:region:account_ID:/identity-center-applications/identity-center-application_ID