Amazon ya no CodeCatalyst está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cómo migrar desde CodeCatalyst](migration.md).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identity and Access Management y Amazon CodeCatalyst
En Amazon CodeCatalyst, creas y utilizas un ID de AWS constructor para iniciar sesión y acceder a tus espacios y proyectos. Un AWS Builder ID no es una identidad en AWS Identity and Access Management (IAM) ni existe en un Cuenta de AWS. Sin CodeCatalyst embargo, se integra con IAM cuando se verifica un espacio con fines de facturación y cuando se conecta a un espacio Cuenta de AWS para crear y usar recursos en él. Cuenta de AWS
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan quién puede estar *autenticado* (ha iniciado sesión) y *autorizado* (tiene permisos) para utilizar recursos. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
Al crear un espacio en Amazon CodeCatalyst, debes conectarlo Cuenta de AWS como cuenta de facturación de tu espacio. Debes tener permisos de administrador en el espacio Cuenta de AWS para verificar el CodeCatalyst espacio o tener el permiso. También tiene la opción de añadir una función de IAM a su espacio que CodeCatalyst podrá utilizar para crear y acceder a los recursos del espacio conectado Cuenta de AWS. Esto se denomina [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Puede optar por crear conexiones con más de una cuenta Cuenta de AWS y crear funciones de servicio para CodeCatalyst cada una de esas cuentas.
**nota**
La facturación CodeCatalyst se realiza en la cuenta Cuenta de AWS designada como cuenta de facturación. Sin embargo, si crea un rol de CodeCatalyst servicio en esa función Cuenta de AWS o en cualquier otra conexión Cuenta de AWS, los recursos creados y utilizados por la función de CodeCatalyst servicio se facturarán en esa función conectada Cuenta de AWS. Para obtener más información, consulta [Gestión de la facturación](https://docs.aws.amazon.com/codecatalyst/latest/adminguide/managing-billing.html) en la Guía del CodeCatalyst administrador de Amazon.
**Topics**
+ [Políticas basadas en identidad en IAM](#id-based-policies)
+ [Acciones de políticas en IAM](#id-based-policies-actions)
+ [Recursos de políticas en IAM](#id-based-policies-resources)
+ [Claves de condición de política en IAM](#id-based-policies-conditionkeys)
+ [Ejemplos de políticas de conexiones basadas en la identidad CodeCatalyst](#id-based-policy-examples)
+ [Uso de etiquetas para controlar el acceso a recursos de conexión de cuenta](id-based-policy-examples-tags.md)
+ [CodeCatalyst referencia de permisos](#permissions-reference)
+ [Uso de roles vinculados a servicios para CodeCatalyst](using-service-linked-roles.md)
+ [AWS políticas gestionadas para Amazon CodeCatalyst](security-iam-awsmanpol.md)
+ [Otorgue acceso a AWS los recursos del proyecto con funciones de IAM](ipa-iam-roles.md)
## Políticas basadas en identidad en IAM
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad. Esa identidad puede ser un usuario, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. No es posible especificar la entidad principal en una política basada en identidad porque se aplica al usuario o rol al que está asociada. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en la identidad para CodeCatalyst
Para ver ejemplos de políticas CodeCatalyst basadas en la identidad, consulte. [Ejemplos de políticas de conexiones basadas en la identidad CodeCatalyst](#id-based-policy-examples)
## Acciones de políticas en IAM
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **acciones** puede realizar cada **entidad principal** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Las acciones políticas suelen tener el mismo nombre que la operación de AWS API asociada. Hay algunas excepciones, como *acciones de solo permiso* que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan *acciones dependientes*.
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"prefix:action1",
"prefix:action2"
]
```
## Recursos de políticas en IAM
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **acciones** puede realizar cada **entidad principal** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento `Resource` o `NotResource`. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Puedes hacerlo para acciones que admitan un tipo de recurso específico, conocido como *permisos de nivel de recurso*.
Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utiliza un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
## Claves de condición de política en IAM
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **acciones** puede realizar cada **entidad principal** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` (o *bloque* de `Condition`) permite especificar condiciones en las que entra en vigor una instrucción. El elemento `Condition` es opcional. Puedes crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.
Si especifica varios elementos de `Condition` en una instrucción o varias claves en un único elemento de `Condition`, AWS las evalúa mediante una operación `AND` lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición con una operación lógica `OR`. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puedes utilizar variables de marcador de posición al especificar condiciones. Para obtener más información, consulte [Elementos de la política de IAM: variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de IAM*.
AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición globales de AWS , consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
## Ejemplos de políticas de conexiones basadas en la identidad CodeCatalyst
En CodeCatalyst, Cuentas de AWS son necesarios para gestionar la facturación de un espacio y acceder a los recursos de los flujos de trabajo del proyecto. La conexión de una cuenta se utiliza para autorizar la adición de Cuentas de AWS en un espacio. Las políticas basadas en identidad se usan en las Cuentas de AWS conectadas.
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de CodeCatalyst. Tampoco pueden realizar tareas mediante la Consola de administración de AWS, AWS Command Line Interface (AWS CLI) o la AWS API. Un administrador de IAM debe crear políticas de IAM que concedan a los usuarios y a los roles permiso para realizar acciones en los recursos que necesitan. El administrador debe asociar esas políticas a los usuarios que las necesiten.
Las siguientes políticas de IAM de ejemplo conceden permisos para llevar a cabo acciones relacionadas con las conexiones de cuentas. Úsalas para limitar el acceso a las cuentas conectadas a CodeCatalyst.
### Ejemplo 1: permitir que un usuario acepte solicitudes de conexión de una sola vez Región de AWS
La siguiente política de permisos solo permite a los usuarios ver y aceptar solicitudes de conexiones entre CodeCatalyst y Cuentas de AWS. Además, la política utiliza una condición para permitir solo las acciones en la región us-west-2 y no desde otras. Regiones de AWS Para ver y aprobar la solicitud, el usuario inicia sesión en ella Consola de administración de AWS con la misma cuenta que se especifica en la solicitud.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:GetPendingConnection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
}
]
}
```
------
### Ejemplo 2: permitir administrar las conexiones en la consola para una sola Región de AWS
La siguiente política de permisos permite a los usuarios administrar las conexiones entre CodeCatalyst y Cuentas de AWS dentro de una sola región. La política utiliza una condición para permitir solo las acciones en la región us-west-2 y no desde otras. Regiones de AWS Tras crear una conexión, puede crear el rol **CodeCatalystWorkflowDevelopmentRole-*spaceName*** seleccionando la opción en la Consola de administración de AWS. En la política de ejemplo, la condición de la `iam:PassRole` acción incluye los principios de servicio de. CodeCatalyst Solo se crearán en la Consola de administración de AWS los roles con ese acceso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
### Ejemplo 3: Denegación de la administración de conexiones
La siguiente política de permisos niega a los usuarios la posibilidad de administrar las conexiones entre CodeCatalyst y Cuentas de AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codecatalyst:*"
],
"Resource": "*"
}
]
}
```
------
# Uso de etiquetas para controlar el acceso a recursos de conexión de cuenta
Las etiquetas se pueden asociar al recurso o pasarse dentro de la solicitud a los servicios que admiten etiquetado. Los recursos en las políticas pueden tener etiquetas y algunas acciones en las políticas puede incluir etiquetas. Las claves de condición de etiquetado incluyen las claves de condición `aws:RequestTag` y `aws:ResourceTag`. Cuando crea una política de IAM, puede utilizar claves de condición de etiqueta para controlar lo siguiente:
+ Qué usuarios pueden realizar acciones en un recurso de conexión, según las etiquetas que ya tiene.
+ Qué etiquetas se pueden pasar en la solicitud de una acción.
+ Si se pueden utilizar claves de etiqueta específicas en una solicitud.
Los siguientes ejemplos muestran cómo especificar las condiciones de las etiquetas en las políticas para los usuarios de conexiones de CodeCatalyst cuentas. Para obtener más información acerca de las claves de condición, consulte [Claves de condición de política en IAM](security-iam.md#id-based-policies-conditionkeys).
## Ejemplo 1: Permitir acciones en función de las etiquetas en la solicitud
La siguiente política concede a los usuarios permiso para aprobar conexiones de cuentas.
Para ello, permite las acciones `AcceptConnection` y `TagResource` si la solicitud especifica una etiqueta denominada `Project` con el valor `ProjectA`. (La clave de condición `aws:RequestTag` se utiliza para controlar qué etiquetas se pueden pasar en una solicitud de IAM). La condición `aws:TagKeys` garantiza la distinción entre mayúsculas y minúsculas de las claves de etiqueta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
------
## Ejemplo 2: Permitir acciones en función de etiquetas de recursos
La siguiente política concede a los usuarios permiso para realizar acciones en los recursos de conexiones de cuentas y obtener información sobre ellos.
Para ello, permite realizar determinadas acciones si la conexión tiene una etiqueta denominada `Project` con el valor `ProjectA`. (La clave de condición `aws:ResourceTag` se utiliza para controlar qué etiquetas se pueden pasar en una solicitud de IAM).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:GetConnection",
"codecatalyst:DeleteConnection",
"codecatalyst:AssociateIamRoleToConnection",
"codecatalyst:DisassociateIamRoleFromConnection",
"codecatalyst:ListIamRolesForConnection",
"codecatalyst:PutBillingAuthorization"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "ProjectA"
}
}
}
]
}
```
------
## CodeCatalyst referencia de permisos
En esta sección se proporciona una referencia de permisos para las acciones utilizadas con el recurso de conexión de la cuenta al Cuentas de AWS que se está conectado CodeCatalyst. En la siguiente sección, se describen las acciones que solo pueden llevarse a cabo con permisos y que están relacionadas con la conexión de cuentas.
### Permisos necesarios para las conexiones de cuentas
Los siguientes permisos son necesarios para trabajar con conexiones de cuentas.
****
| CodeCatalyst permisos para las conexiones de cuentas | Permisos necesarios | Recursos |
| --- | --- | --- |
| AcceptConnection | Necesarios para aceptar una solicitud de conexión de esta cuenta a un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | Solo admite un carácter comodín (\$1) en el elemento `Resource` de la política. |
| AssociateIamRoleToConnection | Necesario para asociar un rol de IAM a una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DeleteConnection | Necesario para eliminar una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DisassociateIamRoleFromConnection | Necesario para desasociar un rol de IAM de una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetBillingAuthorization | Necesario para describir la autorización de facturación de una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetConnection | Necesario para obtener una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetPendingConnection | Necesario para obtener una solicitud pendiente para conectar esta cuenta a un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | Solo admite un carácter comodín (\$1) en el elemento `Resource` de la política. |
| ListConnections | Necesario para enumerar las conexiones de cuentas que no estén pendientes. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | Solo admite un carácter comodín (\$1) en el elemento `Resource` de la política. |
| ListIamRolesForConnection | Necesario para enumerar los roles de IAM asociados con una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| ListTagsForResource | Necesario para enumerar las etiquetas asociadas con una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| PutBillingAuthorization | Necesario para crear o actualizar la autorización de facturación de una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| RejectConnection | Necesario para rechazar una solicitud de conexión de esta cuenta a un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | Solo admite un carácter comodín (\$1) en el elemento `Resource` de la política. |
| TagResource | Necesario para crear o editar las etiquetas asociadas con una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| UntagResource | Necesario para eliminar las etiquetas asociadas con una conexión de cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
### Permisos necesarios para las aplicaciones de IAM Identity Center
Se requieren los siguientes permisos para trabajar con aplicaciones de IAM Identity Center.
****
| CodeCatalyst permisos para las aplicaciones del IAM Identity Center | Permisos necesarios | Recursos |
| --- | --- | --- |
| AssociateIdentityCenterApplicationToSpace | Necesario para asociar una aplicación del centro de identidad de IAM a un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| AssociateIdentityToIdentityCenterApplication | Necesario para asociar una identidad a una solicitud del Centro de Identidad de IAM para un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchAssociateIdentitiesToIdentityCenterApplication | Necesario para asociar varias identidades a una aplicación del Centro de Identidad de IAM para un CodeCatalyst espacio. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchDisassociateIdentitiesFromIdentityCenterApplication | Necesario para desasociar varias identidades de una aplicación del Centro de Identidad de IAM para un espacio. CodeCatalyst Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateIdentityCenterApplication | Necesario para crear una aplicación de IAM Identity Center. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateSpaceAdminRoleAssignment | Necesario para crear una asignación de funciones de administrador para un CodeCatalyst espacio y una aplicación del Centro de Identidad de IAM determinados. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DeleteIdentityCenterApplication | Necesario para eliminar una aplicación de IAM Identity Center. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityCenterApplicationFromSpace | Necesario para desasociar una aplicación del IAM Identity Center de un espacio. CodeCatalyst Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityFromIdentityCenterApplication | Necesario para desasociar una identidad de una solicitud del Centro de Identidad de IAM para un espacio. CodeCatalyst Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| GetIdentityCenterApplication | Necesario para obtener más información sobre una aplicación de IAM Identity Center. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListIdentityCenterApplications | Necesario para ver una lista de todas las aplicaciones de IAM Identity Center de la cuenta. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | Solo admite un carácter comodín (\$1) en el elemento `Resource` de la política. |
| ListIdentityCenterApplicationsForSpace | Necesario para ver una lista de las aplicaciones del IAM Identity Center por espacio. CodeCatalyst Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListSpacesForIdentityCenterApplication | Necesario para ver una lista de CodeCatalyst espacios por aplicación del IAM Identity Center. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| SynchronizeIdentityCenterApplication | Necesario para sincronizar una aplicación de IAM Identity Center con el almacén de identidades de respaldo. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| UpdateIdentityCenterApplication | Necesario para actualizar una aplicación de IAM Identity Center. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
# Uso de roles vinculados a servicios para CodeCatalyst
Amazon CodeCatalyst usa roles AWS Identity and Access Management vinculados a [servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. CodeCatalyst Los roles vinculados al servicio están predefinidos CodeCatalyst e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración CodeCatalyst , ya que no es necesario añadir manualmente los permisos necesarios. CodeCatalyst define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo CodeCatalyst puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus CodeCatalyst recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para CodeCatalyst
CodeCatalyst usa el rol vinculado al servicio denominado **AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**— Permite a Amazon acceder de CodeCatalyst solo lectura a los perfiles de las instancias de la aplicación y a los usuarios y grupos del directorio asociado en su nombre.
El rol vinculado al servicio AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization depende de los siguientes servicios para asumir el rol:
+ `codecatalyst.amazonaws.com`
La política de permisos de roles denominada AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy permite CodeCatalyst realizar las siguientes acciones en los recursos especificados:
+ Acción: `View application instance profiles and associated directory users and groups` para `CodeCatalyst spaces that support identity federation and SSO users and groups`
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para CodeCatalyst
No necesita crear manualmente un rol vinculado a servicios. Al crear un espacio en la Consola de administración de AWS, la o la AWS API AWS CLI, se CodeCatalyst crea automáticamente el rol vinculado al servicio.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizabas el CodeCatalyst servicio antes del 17 de noviembre de 2023, cuando comenzó a admitir roles vinculados al servicio, entonces CodeCatalyst creaste el AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization rol en tu cuenta. Para obtener más información, consulte [Apareció un nuevo puesto en mi](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Cuenta de AWS
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un espacio, vuelve a CodeCatalyst crear el rol vinculado al servicio para usted.
También puede utilizar la consola de IAM para crear un rol vinculado al servicio con el caso de uso **Ver perfiles de instancias de aplicación y usuarios y grupos de directorios asociados**. En la API AWS CLI o en la AWS API, cree un rol vinculado al servicio con el nombre del servicio. `codecatalyst.amazonaws.com` Para obtener más información, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Edición de un rol vinculado a un servicio para CodeCatalyst
CodeCatalyst no permite editar el rol vinculado al AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para CodeCatalyst
No es necesario eliminar manualmente el rol de AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization. Al eliminar un espacio en la Consola de administración de AWS, la API o la AWS API AWS CLI, se CodeCatalyst limpian los recursos y se elimina el rol vinculado al servicio.
También puedes usar la consola de IAM AWS CLI o la AWS API para eliminar manualmente el rol vinculado al servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al servicio para poder eliminarlo después manualmente.
**nota**
Si el CodeCatalyst servicio utiliza el rol cuando intentas eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar CodeCatalyst los recursos utilizados por el AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**
+ [Eliminación del espacio](https://docs.aws.amazon.com/codecatalyst/latest/userguide/spaces-delete.htm).
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles para los roles vinculados al servicio CodeCatalyst
CodeCatalyst admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
CodeCatalyst no admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Puede usar el rol AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization en las siguientes regiones.
****
| Nombre de la región | Identidad de la región | Support en CodeCatalyst |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | No |
| Este de EE. UU. (Ohio) | us-east-2 | No |
| Oeste de EE. UU. (Norte de California) | us-west-1 | No |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| África (Ciudad del Cabo) | af-south-1 | No |
| Asia-Pacífico (Hong Kong) | ap-east-1 | No |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | No |
| Asia-Pacífico (Mumbai) | ap-south-1 | No |
| Asia-Pacífico (Osaka) | ap-northeast-3 | No |
| Asia-Pacífico (Seúl) | ap-northeast-2 | No |
| Asia-Pacífico (Singapur) | ap-southeast-1 | No |
| Asia-Pacífico (Sídney) | ap-southeast-2 | No |
| Asia-Pacífico (Tokio) | ap-northeast-1 | No |
| Canadá (centro) | ca-central-1 | No |
| Europa (Fráncfort) | eu-central-1 | No |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | No |
| Europa (Milán) | eu-south-1 | No |
| Europa (París) | eu-west-3 | No |
| Europa (Estocolmo) | eu-north-1 | No |
| Medio Oriente (Baréin) | me-south-1 | No |
| Medio Oriente (EAU) | me-central-1 | No |
| América del Sur (São Paulo) | sa-east-1 | No |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | No |
| AWS GovCloud (Estados Unidos-Oeste) | us-gov-west-1 | No |
# AWS políticas gestionadas para Amazon CodeCatalyst
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: AmazonCodeCatalystSupportAccess
Se trata de una política que concede permisos a todos los administradores y miembros del espacio para utilizar el plan de soporte premium Business o Enterprise asociado a la cuenta de facturación del espacio. Estos permisos permiten a los administradores y miembros del espacio utilizar el plan de soporte premium para los recursos para los que tienen permisos dentro de las políticas de CodeCatalyst permisos.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `support`— Otorga permisos para permitir a los usuarios buscar, crear y resolver casos de AWS Support. También otorga permisos para describir las comunicaciones, los niveles de gravedad, los archivos adjuntos y los detalles de los casos de soporte relacionados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeAttachment",
"support:DescribeCaseAttributes",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeIssueTypes",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:DescribeSupportLevel",
"support:SearchForCases",
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:InitiateCallForCase",
"support:InitiateChatForCase",
"support:PutCaseAttributes",
"support:RateCaseCommunication",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonCodeCatalystFullAccess
Se trata de una política que concede permisos para gestionar tu CodeCatalyst espacio y tus cuentas conectadas en la página Amazon CodeCatalyst Spaces del Consola de administración de AWS. Esta aplicación se utiliza para configurar los espacios en los Cuentas de AWS que están conectados CodeCatalyst.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `codecatalyst`— Otorga todos los permisos para acceder a la página Amazon CodeCatalyst Spaces en Consola de administración de AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeCatalystResourceAccess",
"Effect": "Allow",
"Action": [
"codecatalyst:*",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "CodeCatalystAssociateIAMRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS política gestionada: AmazonCodeCatalystReadOnlyAccess
Se trata de una política que concede permisos para ver y enumerar la información de los espacios y las cuentas conectadas en la página Amazon CodeCatalyst Spaces del Consola de administración de AWS. Esta aplicación se utiliza para configurar los espacios Cuentas de AWS que están conectados a su espacio en CodeCatalyst.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `codecatalyst`— Otorga permisos de solo lectura a la página Amazon CodeCatalyst Spaces en. Consola de administración de AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:Get*",
"codecatalyst:List*"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy
No puede asociar AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy; a sus entidades de IAM. Esta política está asociada a un rol vinculado al servicio que permite CodeCatalyst realizar acciones en su nombre. Para obtener más información, consulte [Uso de roles vinculados a servicios para CodeCatalyst](using-service-linked-roles.md).
Esta política permite a los clientes ver los perfiles de las instancias de la aplicación y los usuarios y grupos del directorio asociado al administrar los espacios en ellos. CodeCatalyst Los clientes verán estos recursos cuando administren espacios que admitan la federación de identidades y los usuarios y grupos con SSO.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `sso`— Otorga permisos que permiten a los usuarios ver los perfiles de instancias de aplicaciones que se administran en el Centro de Identidad de IAM para los espacios asociados. CodeCatalyst
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:ListApplications",
"sso:ListApplicationAssignments",
"sso:DescribeInstance",
"sso:DescribeApplication"
],
"Resource": "*"
}
]
}
```
------
## CodeCatalyst actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas CodeCatalyst desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del [historial del CodeCatalyst documento](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy](#security-iam-awsmanpol-AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy): política nueva | CodeCatalyst agregó la política. Otorga permisos que permiten a CodeCatalyst los usuarios ver los perfiles de las instancias de la aplicación y los usuarios y grupos del directorio asociado. | 17 de noviembre de 2023 |
| [AmazonCodeCatalystSupportAccess](#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess): política nueva | CodeCatalyst agregó la política. Otorga permisos que permiten a CodeCatalyst los usuarios buscar, crear y resolver casos de asistencia, así como ver las comunicaciones y los detalles relacionados. | 20 de abril de 2023 |
| [AmazonCodeCatalystFullAccess](#security-iam-awsmanpol-AmazonCodeCatalystFullAccess): política nueva | CodeCatalyst agregó la política. Otorga acceso completo a CodeCatalyst. | 20 de abril de 2023 |
| [AmazonCodeCatalystReadOnlyAccess](#security-iam-awsmanpol-AmazonCodeCatalystReadOnlyAccess): política nueva | CodeCatalyst agregó la política. Otorga acceso de solo lectura a. CodeCatalyst | 20 de abril de 2023 |
| CodeCatalyst comenzó a rastrear los cambios | CodeCatalyst comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 20 de abril de 2023 |
# Otorgue acceso a AWS los recursos del proyecto con funciones de IAM
CodeCatalyst puede acceder a AWS los recursos conectándolo Cuenta de AWS a un CodeCatalyst espacio. Luego, puede crear los siguientes roles de servicio y asociarlos al conectar su cuenta.
Para obtener más información sobre los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
+ Para acceder a los recursos en y Cuenta de AWS para sus CodeCatalyst proyectos y flujos de trabajo, primero debe conceder el permiso CodeCatalyst para acceder a esos recursos en su nombre. Para ello, debe crear un rol de servicio en un entorno conectado Cuenta de AWS que CodeCatalyst pueda asumir en nombre de los usuarios y proyectos del espacio. Puede elegir entre crear y usar el rol de servicio **CodeCatalystWorkflowDevelopmentRole-*spaceName*** o crear roles de servicio personalizados y configurar esas políticas y roles de IAM manualmente. Como práctica recomendada, asigne a estos roles la cantidad mínima de permisos necesaria.
**nota**
Para las funciones de servicio personalizadas, se requiere el director del CodeCatalyst servicio. Para obtener más información sobre el principio CodeCatalyst de servicio y el modelo de confianza, consulte[Entender el modelo de CodeCatalyst confianza](trust-model.md).
+ Para gestionar el soporte de un espacio a través del conectado Cuenta de AWS, puede optar por crear y utilizar el rol de **AWSRoleForCodeCatalystSupport**servicio que permite a CodeCatalyst los usuarios acceder al soporte. Para obtener más información sobre la compatibilidad con un CodeCatalyst espacio, consulte[Soporte para Amazon CodeCatalyst](support.md).
## El funcionamiento del rol de servicio **CodeCatalystWorkflowDevelopmentRole-*spaceName***
Puede añadir un rol de IAM a su espacio que CodeCatalyst podrá utilizar para crear recursos y acceder a ellos en un entorno conectado Cuenta de AWS. Esto se denomina [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). La forma más sencilla de crear un rol de servicio es añadir uno al crear el espacio y elegir la opción **CodeCatalystWorkflowDevelopmentRole-*spaceName*** para ese rol. Esto no solo crea el rol de servicio con el `AdministratorAccess` adjunto, sino que también crea la política de confianza que permite CodeCatalyst asumir el rol en nombre de los usuarios en los proyectos del espacio. El rol de servicio se aplica al espacio, no a proyectos individuales. Para crear esta función, consulte [Creación del rol **CodeCatalystWorkflowDevelopmentRole-*spaceName*** para su cuenta y su espacio](#ipa-iam-roles-service-create). Solo puede crear un rol para cada espacio de cada cuenta.
**nota**
Esta función solo se recomienda para su uso con cuentas de desarrollo y utiliza la política `AdministratorAccess` AWS gestionada, lo que le da pleno acceso para crear nuevas políticas y recursos en esta Cuenta de AWS.
La política asociada al rol **CodeCatalystWorkflowDevelopmentRole-*spaceName*** está diseñada para funcionar con proyectos creados con esquemas en el espacio. Permite a los usuarios de esos proyectos desarrollar, compilar, probar e implementar código utilizando los recursos de la Cuenta de AWS conectada. Para obtener más información, consulte [Crear un rol para un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
La política asociada a la **CodeCatalystWorkflowDevelopmentRole-*spaceName***función es la política `AdministratorAccess` gestionada en AWS. Se trata de una política que otorga acceso total a todas AWS las acciones y recursos. Para ver el documento de política de JSON en la consola de IAM, consulte [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess).
La siguiente política de confianza permite CodeCatalyst asumir el **CodeCatalystWorkflowDevelopmentRole-*spaceName***rol. Para obtener más información sobre el modelo de CodeCatalyst confianza, consulte[Entender el modelo de CodeCatalyst confianza](trust-model.md).
```
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst-runner.amazonaws.com",
"codecatalyst.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
}
}
}
]
```
## Creación del rol **CodeCatalystWorkflowDevelopmentRole-*spaceName*** para su cuenta y su espacio
Siga estos pasos para crear el rol `CodeCatalystWorkflowDevelopmentRole-spaceName` que se usará en los flujos de trabajo de su espacio. Para cada cuenta en la que desee tener roles de IAM para utilizarlos en proyectos, deberá añadir a su espacio un rol, como el de desarrollador.
Antes de empezar, debe disponer de privilegios administrativos para su administrador Cuenta de AWS o poder trabajar con él. Para obtener más información sobre cómo Cuentas de AWS se utilizan las funciones de IAM CodeCatalyst, consulte[Permitir el acceso a AWS los recursos con conexión Cuentas de AWS](ipa-connect-account.md).
**Para crear y añadir el CodeCatalyst **CodeCatalystWorkflowDevelopmentRole-*spaceName*****
1. Antes de empezar en la CodeCatalyst consola, abra el espacio y Consola de administración de AWS, a continuación, asegúrese de haber iniciado sesión con lo mismo Cuenta de AWS para su espacio.
1. Abre la CodeCatalyst consola en [https://codecatalyst.aws/](https://codecatalyst.aws/).
1. Navega hasta tu CodeCatalyst espacio. Elija **Configuración** y después **Cuentas de AWS**.
1. Elija el enlace en el Cuenta de AWS que desee crear el rol. Aparecerá la página **Detalles de la Cuenta de AWS **.
1. Selecciona **Administrar roles desde Consola de administración de AWS**.
La página **Añadir función de IAM al CodeCatalyst espacio de Amazon** se abre en. Consola de administración de AWS Esta es la página de **Amazon CodeCatalyst Spaces**. Es posible que deba iniciar sesión para acceder a la página.
1. Elija **Crear un rol CodeCatalyst de administrador de desarrollo en IAM.** Esta opción crea un rol de servicio que contiene la política de permisos y la política de confianza del rol de desarrollo. El rol tendrá un nombre `CodeCatalystWorkflowDevelopmentRole-spaceName`. Para obtener más información sobre los roles y la política de roles, consulte [El funcionamiento del rol de servicio **CodeCatalystWorkflowDevelopmentRole-*spaceName***](#ipa-iam-roles-service-role).
**nota**
Esta función solo se recomienda para su uso con cuentas de desarrollador y utiliza la política `AdministratorAccess` AWS gestionada, lo que le da acceso total para crear nuevas políticas y recursos en ella. Cuenta de AWS
1. Seleccione **Crear rol de desarrollo**.
1. En la página de conexiones, en la sección **Funciones de IAM disponibles para CodeCatalyst**, consulta la `CodeCatalystWorkflowDevelopmentRole-spaceName` función en la lista de funciones de IAM añadidas a tu cuenta.
1. Para volver a tu espacio, selecciona **Ir a Amazon CodeCatalyst**.
## El funcionamiento del rol de servicio **AWSRoleForCodeCatalystSupport**
Puede añadir una función de IAM a su espacio que CodeCatalyst los usuarios de un espacio puedan utilizar para crear casos de soporte y acceder a ellos. Esto se denomina [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) para soporte; la forma más sencilla de crearlo consiste en añadir uno al crear el espacio y elegir la opción `AWSRoleForCodeCatalystSupport` para ese rol. Esto no solo crea la política y el rol, sino que también crea la política de confianza que permite CodeCatalyst asumir el rol en nombre de los usuarios en los proyectos del espacio. El rol de servicio se aplica al espacio, no a proyectos individuales. Para crear esta función, consulte [Creación del rol **AWSRoleForCodeCatalystSupport** para su cuenta y su espacio](#ipa-iam-roles-support-create).
La política asociada al rol `AWSRoleForCodeCatalystSupport` es una política administrada que proporciona acceso a los permisos de soporte. Para obtener más información, consulte [AWS política gestionada: AmazonCodeCatalystSupportAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess).
El rol de confianza de la política CodeCatalyst permite asumir el rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Creación del rol **AWSRoleForCodeCatalystSupport** para su cuenta y su espacio
Siga estos pasos para crear el rol `AWSRoleForCodeCatalystSupport`, que se usará en los casos de soporte de su espacio. El rol debe añadirse a la cuenta de facturación designada para el espacio.
Antes de empezar, debe disponer de privilegios administrativos para su administrador Cuenta de AWS o poder trabajar con él. Para obtener más información sobre cómo Cuentas de AWS se utilizan las funciones de IAM CodeCatalyst, consulte[Permitir el acceso a AWS los recursos con conexión Cuentas de AWS](ipa-connect-account.md).
**Para crear y añadir el CodeCatalyst **AWSRoleForCodeCatalystSupport****
1. Antes de empezar en la CodeCatalyst consola, abra el espacio y Consola de administración de AWS, a continuación, asegúrese de haber iniciado sesión con lo mismo Cuenta de AWS para su espacio.
1. Navega hasta tu CodeCatalyst espacio. Elija **Configuración** y después **Cuentas de AWS**.
1. Elija el enlace en el Cuenta de AWS que desee crear el rol. Aparecerá la página **Detalles de la Cuenta de AWS **.
1. Selecciona **Administrar roles desde Consola de administración de AWS**.
La página **Añadir función de IAM al CodeCatalyst espacio de Amazon** se abre en. Consola de administración de AWS Esta es la página de **Amazon CodeCatalyst Spaces**. Es posible que tenga que iniciar sesión para acceder a la página.
1. En **los detalles del CodeCatalyst espacio**, selecciona **Add CodeCatalyst Support role**. Esta opción crea un rol de servicio que contiene la política de permisos y la política de confianza del rol de desarrollo de vista previa. El rol tendrá un nombre **AWSRoleForCodeCatalystSupport** con un identificador único adjunto. Para obtener más información sobre los roles y la política de roles, consulte [El funcionamiento del rol de servicio **AWSRoleForCodeCatalystSupport**](#ipa-iam-roles-support-role).
1. En la página **Añadir función para CodeCatalyst Support**, deje seleccionada la opción predeterminada y, a continuación, elija **Crear función**.
1. En **Funciones de IAM disponibles para CodeCatalyst**, consulta la `CodeCatalystWorkflowDevelopmentRole-spaceName` función en la lista de funciones de IAM añadidas a tu cuenta.
1. Para volver a tu espacio, selecciona **Ir a Amazon CodeCatalyst**.
## Configurar las funciones de IAM para las acciones del flujo de trabajo en CodeCatalyst
En esta sección se detallan las funciones y políticas de IAM que puede crear para utilizarlas con su CodeCatalyst cuenta. Para obtener instrucciones sobre cómo crear roles de ejemplo, consulte [Creación manual de roles para acciones de flujos de trabajo](#ipa-iam-roles-actions). Tras crear el rol de IAM, copie el ARN del rol para añadir el rol de IAM a la conexión de la cuenta y asociarlo al entorno del proyecto. Para obtener más información, consulte [Adición de roles de IAM a las conexiones de cuentas](ipa-connect-account-addroles.md).
### CodeCatalyst rol de creación para el acceso a Amazon S3
Para las acciones de creación de CodeCatalyst flujos de trabajo, puede usar el rol de **CodeCatalystWorkflowDevelopmentRole-*spaceName***servicio predeterminado o puede crear un rol de IAM denominado **CodeCatalystBuildRoleforS3Access**. Este rol usa una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en CloudFormation sus recursos. Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
+ Escribir en bucket de Amazon S3.
+ Support the building of resources with CloudFormation. Esto requiere acceso a Amazon S3.
Este rol utiliza la siguiente política:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
### CodeCatalyst crear un rol para CloudFormation
Para las acciones de creación de CodeCatalyst flujos de trabajo, puedes usar el rol de **CodeCatalystWorkflowDevelopmentRole-*spaceName***servicio predeterminado o puedes crear un rol de IAM con los permisos necesarios. Este rol usa una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en sus CloudFormation recursos. Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
+ Support the building of resources with CloudFormation. Esto es obligatorio junto con la función de CodeCatalyst compilación para el acceso a Amazon S3 y la función de CodeCatalyst implementación para CloudFormation.
Se deben adjuntar a esta función las siguientes políticas AWS administradas:
+ **AWSCloudFormationFullAccess**
+ **IAMFullAcceso**
+ **Amazon S3 FullAccess**
+ **APIGatewayAdministrador de Amazon**
+ **AWSLambdaFullAccess**
### CodeCatalyst crear un rol para CDK
Para CodeCatalyst los flujos de trabajo que ejecutan acciones de creación de CDK, como una aplicación web moderna de tres niveles, puede utilizar el rol de **CodeCatalystWorkflowDevelopmentRole-*spaceName***servicio predeterminado o puede crear un rol de IAM con los permisos necesarios. Este rol usa una política con permisos específicos que CodeCatalyst necesita iniciar y ejecutar comandos de compilación de CDK para los recursos de su empresa. CloudFormation Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
+ Escribir en bucket de Amazon S3.
+ Support la creación de construcciones de CDK y pilas de CloudFormation recursos. Esto requiere acceso a Amazon S3 para el almacenamiento de artefactos, acceso a Amazon ECR para el soporte de repositorios de imágenes y acceso a SSM para la supervisión y la gobernanza del sistema en el caso de instancias virtuales.
Este rol utiliza la siguiente política:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
### CodeCatalyst implementar un rol para CloudFormation
Para las acciones de implementación del CodeCatalyst flujo de trabajo que utilizan CloudFormation, puede usar el rol de **CodeCatalystWorkflowDevelopmentRole-*spaceName***servicio predeterminado o puede usar una política con permisos específicos que CodeCatalyst necesite ejecutar tareas en CloudFormation los recursos de su Cuenta de AWS propiedad.
Este rol otorga permisos para hacer lo siguiente:
+ Permite CodeCatalyst invocar una función λ para realizar una blue/green implementación completa. CloudFormation
+ CodeCatalyst Permiten crear y actualizar pilas y conjuntos de cambios en. CloudFormation
Este rol utiliza la siguiente política:
```
{"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:Describe*",
"cloudformation:UpdateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:SetStackPolicy",
"cloudformation:ValidateTemplate",
"cloudformation:List*",
"iam:PassRole"
],
"Resource": "resource_ARN",
"Effect": "Allow"
}
```
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
### CodeCatalyst rol de implementación para Amazon EC2
CodeCatalyst las acciones de despliegue del flujo de trabajo utilizan un rol de IAM con los permisos necesarios. Esta función utiliza una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en los recursos de Amazon EC2 de su empresa. Cuenta de AWS La política predeterminada del rol **CodeCatalystWorkflowDevelopmentRole-*spaceName*** no incluye los permisos para Amazon EC2 ni Amazon EC2 Auto Scaling.
Este rol otorga permisos para hacer lo siguiente:
+ Crear implementaciones en Amazon EC2.
+ Leer las etiquetas en una instancia o identificar una instancia de Amazon EC2 mediante nombres de grupos de escalado automático.
+ Leer, crear, actualizar y eliminar grupos de Amazon EC2 Auto Scaling, enlaces de ciclo de vida y políticas de escalado.
+ Publicar información para temas de Amazon SNS.
+ Recupere información sobre CloudWatch las alarmas.
+ Leer y actualizar Elastic Load Balancing.
Este rol utiliza la siguiente política:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
### CodeCatalyst rol de implementación para Amazon ECS
Para las acciones del CodeCatalyst flujo de trabajo, puede crear un rol de IAM con los permisos necesarios. Puede usar la función de **CodeCatalystWorkflowDevelopmentRole-*spaceName***servicio predeterminada o puede crear una función de IAM para CodeCatalyst implementar acciones que se utilizarán en las implementaciones de Lambda. Esta función utiliza una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en los recursos de Amazon ECS de su Cuenta de AWS empresa.
Este rol otorga permisos para hacer lo siguiente:
+ Inicie el despliegue continuo de Amazon ECS en nombre de un CodeCatalyst usuario, en una cuenta especificada en la CodeCatalyst conexión.
+ Leer, actualizar y eliminar conjuntos de tareas de Amazon ECS.
+ Actualizar grupos de destino de Elastic Load Balancing, oyentes y reglas.
+ Invocar funciones de Lambda.
+ Acceder a archivos de revisión en buckets de Amazon S3.
+ Recupere información sobre CloudWatch las alarmas.
+ Publicar información para temas de Amazon SNS.
Este rol utiliza la siguiente política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action":[
"ecs:DescribeServices",
"ecs:CreateTaskSet",
"ecs:DeleteTaskSet",
"ecs:ListClusters",
"ecs:RegisterTaskDefinition",
"ecs:UpdateServicePrimaryTaskSet",
"ecs:UpdateService",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:ModifyRule",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"cloudwatch:DescribeAlarms",
"sns:Publish",
"sns:ListTopics",
"s3:GetObject",
"s3:GetObjectVersion",
"codedeploy:CreateApplication",
"codedeploy:CreateDeployment",
"codedeploy:CreateDeploymentGroup",
"codedeploy:GetApplication",
"codedeploy:GetDeployment",
"codedeploy:GetDeploymentGroup",
"codedeploy:ListApplications",
"codedeploy:ListDeploymentGroups",
"codedeploy:ListDeployments",
"codedeploy:StopDeployment",
"codedeploy:GetDeploymentTarget",
"codedeploy:ListDeploymentTargets",
"codedeploy:GetDeploymentConfig",
"codedeploy:GetApplicationRevision",
"codedeploy:RegisterApplicationRevision",
"codedeploy:BatchGetApplicationRevisions",
"codedeploy:BatchGetDeploymentGroups",
"codedeploy:BatchGetDeployments",
"codedeploy:BatchGetApplications",
"codedeploy:ListApplicationRevisions",
"codedeploy:ListDeploymentConfigs",
"codedeploy:ContinueDeployment"
],
"Resource":"*",
"Effect":"Allow"
},{"Action":[
"iam:PassRole"
],
"Effect":"Allow",
"Resource":"*",
"Condition":{"StringLike":{"iam:PassedToService":[
"ecs-tasks.amazonaws.com",
"codedeploy.amazonaws.com"
]
}
}
}]
}
```
------
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
### CodeCatalyst rol de implementación para Lambda
Para las acciones CodeCatalyst del flujo de trabajo, puede crear un rol de IAM con los permisos necesarios. Puede usar la función de **CodeCatalystWorkflowDevelopmentRole-*spaceName***servicio predeterminada o crear una función de IAM para CodeCatalyst implementar acciones que se utilizarán en las implementaciones de Lambda. Esta función utiliza una política con permisos limitados que CodeCatalyst necesita para ejecutar tareas en los recursos de Lambda de su empresa. Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
+ Leer, actualizar e invocar alias y funciones de Lambda.
+ Acceder a archivos de revisión en buckets de Amazon S3.
+ Recupere información sobre las alarmas de CloudWatch eventos.
+ Publicar información para temas de Amazon SNS.
Este rol utiliza la siguiente política:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
### CodeCatalyst rol de implementación para Lambda
Para las acciones del CodeCatalyst flujo de trabajo, puede usar el rol de **CodeCatalystWorkflowDevelopmentRole-*spaceName***servicio predeterminado o puede crear un rol de IAM con los permisos necesarios. Esta función utiliza una política con permisos limitados que CodeCatalyst necesita para ejecutar tareas en los recursos de Lambda de su empresa. Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
+ Leer, actualizar e invocar alias y funciones de Lambda.
+ Acceder a archivos de revisión en buckets de Amazon S3.
+ Recupere información sobre CloudWatch las alarmas.
+ Publicar información para temas de Amazon SNS.
Este rol utiliza la siguiente política:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
### CodeCatalyst implementar un rol para AWS SAM
Para las acciones del CodeCatalyst flujo de trabajo, puede utilizar el rol de **CodeCatalystWorkflowDevelopmentRole-*spaceName***servicio predeterminado o puede crear un rol de IAM con los permisos necesarios. Este rol usa una política con permisos específicos que CodeCatalyst necesita para ejecutar las tareas AWS SAM y CloudFormation los recursos de su empresa. Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
+ CodeCatalyst Permiten invocar una función Lambda para realizar el despliegue de aplicaciones CLI AWS SAM y sin servidor.
+ CodeCatalyst Permiten crear y actualizar pilas y conjuntos de cambios en. CloudFormation
Este rol utiliza la siguiente política:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
### CodeCatalyst función de solo lectura para Amazon EC2
Para las acciones CodeCatalyst del flujo de trabajo, puede crear un rol de IAM con los permisos necesarios. Esta función utiliza una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en los recursos de Amazon EC2 de su empresa. Cuenta de AWS La función **CodeCatalystWorkflowDevelopmentRole-*spaceName***de servicio no incluye los permisos para Amazon EC2 ni las acciones descritas para Amazon. CloudWatch
Este rol otorga permisos para hacer lo siguiente:
+ Obtener el estado de las instancias de Amazon EC2.
+ Obtenga CloudWatch métricas para las instancias de Amazon EC2.
Este rol utiliza la siguiente política:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
### CodeCatalyst función de solo lectura para Amazon ECS
Para las acciones del CodeCatalyst flujo de trabajo, puede crear un rol de IAM con los permisos necesarios. Esta función utiliza una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en los recursos de Amazon ECS de su Cuenta de AWS empresa.
Este rol otorga permisos para hacer lo siguiente:
+ Leer conjuntos de tareas de Amazon ECS.
+ Recupere información sobre CloudWatch las alarmas.
Este rol utiliza la siguiente política:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
### CodeCatalyst función de solo lectura para Lambda
Para las acciones CodeCatalyst del flujo de trabajo, puede crear un rol de IAM con los permisos necesarios. Esta función utiliza una política con permisos limitados que CodeCatalyst necesita para ejecutar tareas en los recursos de Lambda de su empresa. Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
+ Leer los alias y las funciones de Lambda.
+ Acceder a archivos de revisión en buckets de Amazon S3.
+ Recupere información sobre CloudWatch las alarmas.
Este rol utiliza la siguiente política.
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
## Creación manual de roles para acciones de flujos de trabajo
CodeCatalyst Las acciones del flujo de trabajo utilizan las funciones de IAM que usted cree, denominadas **función de creación**, **función de implementación** y **función de pila**.
Siga estos pasos para crear estos roles en IAM.
**Creación de un rol de implementación**
1. Cree una política para el rol del modo siguiente:
1. Inicie sesión en. AWS
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. Elija **Crear política**.
1. Seleccione la pestaña **JSON**.
1. Elimine el código existente.
1. Pegue el siguiente código:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
1. Elija **Siguiente: Etiquetas**.
1. Elija **Siguiente: Revisar**.
1. En **Nombre**, escriba:
```
codecatalyst-deploy-policy
```
1. Elija **Crear política**.
Ahora ha creado una política de permisos.
1. Cree el rol de implementación de la siguiente manera:
1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.
1. Elija **Política de confianza personalizada**.
1. Elimine la política de confianza personalizada existente.
1. Añada la siguiente política de confianza personalizada:
1. Elija **Siguiente**.
1. En **Políticas de permisos**, busque `codecatalyst-deploy-policy` y active su casilla de verificación.
1. Elija **Siguiente**.
1. En **Nombre del rol**, escriba:
```
codecatalyst-deploy-role
```
1. En **Descripción del rol**, escriba:
```
CodeCatalyst deploy role
```
1. Elija **Crear rol**.
Ahora ha creado un rol de implementación con una política de confianza y una política de permisos.
1. Obtenga el ARN del rol de implementación de la siguiente manera:
1. Seleccione **Roles** en el panel de navegación.
1. En el cuadro de búsqueda, introduzca el nombre del rol que acaba de crear (`codecatalyst-deploy-role`).
1. Elija el rol de la lista.
Aparece la página **Resumen** del rol.
1. En la parte superior, copie el valor de **ARN**.
Ahora ha creado el rol de implementación con los permisos adecuados y ha obtenido su ARN.
**Creación de un rol de compilación**
1. Cree una política para el rol del modo siguiente:
1. Inicie sesión en AWS.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. Elija **Crear política**.
1. Seleccione la pestaña **JSON**.
1. Elimine el código existente.
1. Pegue el siguiente código:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
1. Elija **Siguiente: Etiquetas**.
1. Elija **Siguiente: Revisar**.
1. En **Nombre**, escriba:
```
codecatalyst-build-policy
```
1. Elija **Crear política**.
Ahora ha creado una política de permisos.
1. Cree el rol de compilación de la siguiente manera:
1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.
1. Elija **Política de confianza personalizada**.
1. Elimine la política de confianza personalizada existente.
1. Añada la siguiente política de confianza personalizada:
1. Elija **Siguiente**.
1. En **Políticas de permisos**, busque `codecatalyst-build-policy` y active su casilla de verificación.
1. Elija **Siguiente**.
1. En **Nombre del rol**, escriba:
```
codecatalyst-build-role
```
1. En **Descripción del rol**, escriba:
```
CodeCatalyst build role
```
1. Elija **Crear rol**.
Ahora ha creado un rol de compilación con una política de confianza y una política de permisos.
1. Obtenga el ARN del rol de compilación de la siguiente manera:
1. Seleccione **Roles** en el panel de navegación.
1. En el cuadro de búsqueda, introduzca el nombre del rol que acaba de crear (`codecatalyst-build-role`).
1. Elija el rol de la lista.
Aparece la página **Resumen** del rol.
1. En la parte superior, copie el valor de **ARN**.
Ahora ha creado el rol de compilación con los permisos adecuados y ha obtenido su ARN.
**Creación de un rol de pila**
**nota**
No es necesario crear un rol de pila, aunque se recomienda hacerlo por motivos de seguridad. Si no crea el rol de pila, tendrá que añadir al rol de implementación las políticas de permisos que se describen más adelante en este procedimiento.
1. Inicia sesión AWS con la cuenta en la que quieres implementar tu stack.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.
1. En la parte superior, seleccione **Servicio de AWS **.
1. De la lista de servicios, selecciona **CloudFormation**.
1. Elija **Siguiente: permisos**.
1. En el cuadro de búsqueda, añada las políticas necesarias para acceder a los recursos de la pila. Por ejemplo, si su pila incluye una AWS Lambda función, debe añadir una política que conceda acceso a Lambda.
**sugerencia**
Si no está seguro de qué políticas añadir, puede omitirlas por ahora. Cuando pruebas la acción, si no tienes los permisos adecuados, CloudFormation genera errores que muestran qué permisos debes añadir.
1. Elija **Siguiente: Etiquetas**.
1. Elija **Siguiente: Revisar**.
1. En **Nombre del rol**, escriba:
```
codecatalyst-stack-role
```
1. Elija **Crear rol**.
1. A fin de obtener el ARN del rol de pila, haga lo siguiente:
1. Seleccione **Roles** en el panel de navegación.
1. En el cuadro de búsqueda, introduzca el nombre del rol que acaba de crear (`codecatalyst-stack-role`).
1. Elija el rol de la lista.
1. En la página **Resumen**, copie el valor de **ARN de rol**.
## Se utiliza AWS CloudFormation para crear políticas y funciones en IAM
Puede optar por crear y utilizar AWS CloudFormation plantillas para crear las políticas y funciones que necesita para acceder a los recursos y Cuenta de AWS para sus CodeCatalyst proyectos y flujos de trabajo. CloudFormation es un servicio que le ayuda a modelar y configurar sus AWS recursos para que pueda dedicar menos tiempo a gestionarlos y más tiempo a centrarse en las aplicaciones en las que se ejecutan AWS. Si tiene la intención de crear funciones en varios Cuentas de AWS, la creación de una plantilla puede ayudarle a realizar esta tarea con mayor rapidez.
La siguiente plantilla de ejemplo crea una política y un rol para la acción de implementación.
```
Parameters:
CodeCatalystAccountId:
Type: String
Description: Account ID from the connections page
ExternalId:
Type: String
Description: External ID from the connections page
Resources:
CrossAccountRole:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref CodeCatalystAccountId
Action:
- 'sts:AssumeRole'
Condition:
StringEquals:
sts:ExternalId: !Ref ExternalId
Path: /
Policies:
- PolicyName: CodeCatalyst-CloudFormation-action-policy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- 'cloudformation:CreateStack'
- 'cloudformation:DeleteStack'
- 'cloudformation:Describe*'
- 'cloudformation:UpdateStack'
- 'cloudformation:CreateChangeSet'
- 'cloudformation:DeleteChangeSet'
- 'cloudformation:ExecuteChangeSet'
- 'cloudformation:SetStackPolicy'
- 'cloudformation:ValidateTemplate'
- 'cloudformation:List*'
- 'iam:PassRole'
Resource: '*'
```
## Creación manual del rol para el esquema de la aplicación web
**El esquema de la aplicación CodeCatalyst web utiliza las funciones de IAM que usted crea, denominadas **función de creación para CDK**, función de **implementación y función** de pila.**
Observe los siguientes pasos para crear el rol en IAM.
**Creación de un rol de compilación**
1. Cree una política para el rol del modo siguiente:
1. Inicie sesión en. AWS
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. Seleccione **Crear política**.
1. Seleccione la pestaña **JSON**.
1. Elimine el código existente.
1. Pegue el siguiente código:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
1. Elija **Siguiente: Etiquetas**.
1. Elija **Siguiente: Revisar**.
1. En **Nombre**, escriba:
```
codecatalyst-webapp-build-policy
```
1. Elija **Crear política**.
Ahora ha creado una política de permisos.
1. Cree el rol de compilación de la siguiente manera:
1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.
1. Elija **Política de confianza personalizada**.
1. Elimine la política de confianza personalizada existente.
1. Añada la siguiente política de confianza personalizada:
1. Elija **Siguiente**.
1. Asocie la política de permisos al rol de compilación. En la página **Agregar permisos**, en la sección **Políticas de permisos**, busque `codecatalyst-webapp-build-policy` y active su casilla de verificación.
1. Elija **Siguiente**.
1. En **Nombre del rol**, escriba:
```
codecatalyst-webapp-build-role
```
1. En **Descripción del rol**, escriba:
```
CodeCatalyst Web app build role
```
1. Elija **Crear rol**.
Ahora ha creado un rol de compilación con una política de confianza y una política de permisos.
1. Para asociar la política de permisos al rol de compilación, haga lo siguiente:
1. En el panel de navegación, elija **Roles** y, a continuación, busque `codecatalyst-webapp-build-role`.``
1. Seleccione `codecatalyst-webapp-build-role` para mostrar los detalles.``
1. En la pestaña **Permisos**, elija **Agregar permisos** y, a continuación, **Asociar políticas**.
1. Busque `codecatalyst-webapp-build-policy`, active su casilla de verificación y elija **Asociar políticas**.
Ya ha asociado la política de permisos al rol de compilación. Ahora, el rol de compilación tiene dos políticas: una política de permisos y una política de confianza.
1. Obtenga el ARN del rol de compilación de la siguiente manera:
1. Seleccione **Roles** en el panel de navegación.
1. En el cuadro de búsqueda, introduzca el nombre del rol que acaba de crear (`codecatalyst-webapp-build-role`).
1. Elija el rol de la lista.
Aparece la página **Resumen** del rol.
1. En la parte superior, copie el valor de **ARN**.
Ahora ha creado el rol de compilación con los permisos adecuados y ha obtenido su ARN.
## Creación manual de roles para el esquema de SAM
El blueprint de CodeCatalyst SAM utiliza las funciones de IAM que usted crea, denominadas **función de creación CloudFormation** y **función de implementación para** SAM.
Observe los siguientes pasos para crear los roles en IAM.
**Para crear un rol de creación para CloudFormation**
1. Cree una política para el rol del modo siguiente:
1. Inicie sesión en AWS.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. Seleccione **Crear política**.
1. Seleccione la pestaña **JSON**.
1. Elimine el código existente.
1. Pegue el siguiente código:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*",
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
1. Elija **Siguiente: Etiquetas**.
1. Elija **Siguiente: Revisar**.
1. En **Nombre**, escriba:
```
codecatalyst-SAM-build-policy
```
1. Elija **Crear política**.
Ahora ha creado una política de permisos.
1. Cree el rol de compilación de la siguiente manera:
1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.
1. Elija **Política de confianza personalizada**.
1. Elimine la política de confianza personalizada existente.
1. Añada la siguiente política de confianza personalizada:
1. Elija **Siguiente**.
1. Asocie la política de permisos al rol de compilación. En la página **Agregar permisos**, en la sección **Políticas de permisos**, busque `codecatalyst-SAM-build-policy` y active su casilla de verificación.
1. Elija **Siguiente**.
1. En **Nombre del rol**, escriba:
```
codecatalyst-SAM-build-role
```
1. En **Descripción del rol**, escriba:
```
CodeCatalyst SAM build role
```
1. Elija **Crear rol**.
Ahora ha creado un rol de compilación con una política de confianza y una política de permisos.
1. Para asociar la política de permisos al rol de compilación, haga lo siguiente:
1. En el panel de navegación, elija **Roles** y, a continuación, busque `codecatalyst-SAM-build-role`.``
1. Seleccione `codecatalyst-SAM-build-role` para mostrar los detalles.``
1. En la pestaña **Permisos**, elija **Agregar permisos** y, a continuación, **Asociar políticas**.
1. Busque `codecatalyst-SAM-build-policy`, active su casilla de verificación y elija **Asociar políticas**.
Ya ha asociado la política de permisos al rol de compilación. Ahora, el rol de compilación tiene dos políticas: una política de permisos y una política de confianza.
1. Obtenga el ARN del rol de compilación de la siguiente manera:
1. Seleccione **Roles** en el panel de navegación.
1. En el cuadro de búsqueda, introduzca el nombre del rol que acaba de crear (`codecatalyst-SAM-build-role`).
1. Elija el rol de la lista.
Aparece la página **Resumen** del rol.
1. En la parte superior, copie el valor de **ARN**.
Ahora ha creado el rol de compilación con los permisos adecuados y ha obtenido su ARN.
**Creación de un rol de implementación para SAM**
1. Cree una política para el rol del modo siguiente:
1. Inicie sesión en AWS.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. Seleccione **Crear política**.
1. Seleccione la pestaña **JSON**.
1. Elimine el código existente.
1. Pegue el siguiente código:
**nota**
La primera vez que utilice el rol para ejecutar acciones de flujo de trabajo, use el comodín en la instrucción de política de recursos y, a continuación, precise el ámbito de la política con el nombre del recurso cuando esté disponible.
```
"Resource": "*"
```
1. Elija **Siguiente: Etiquetas**.
1. Elija **Siguiente: Revisar**.
1. En **Nombre**, escriba:
```
codecatalyst-SAM-deploy-policy
```
1. Elija **Crear política**.
Ahora ha creado una política de permisos.
1. Cree el rol de compilación de la siguiente manera:
1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.
1. Elija **Política de confianza personalizada**.
1. Elimine la política de confianza personalizada existente.
1. Añada la siguiente política de confianza personalizada:
1. Elija **Siguiente**.
1. Asocie la política de permisos al rol de compilación. En la página **Agregar permisos**, en la sección **Políticas de permisos**, busque `codecatalyst-SAM-deploy-policy` y active su casilla de verificación.
1. Elija **Siguiente**.
1. En **Nombre del rol**, escriba:
```
codecatalyst-SAM-deploy-role
```
1. En **Descripción del rol**, escriba:
```
CodeCatalyst SAM deploy role
```
1. Elija **Crear rol**.
Ahora ha creado un rol de compilación con una política de confianza y una política de permisos.
1. Para asociar la política de permisos al rol de compilación, haga lo siguiente:
1. En el panel de navegación, elija **Roles** y, a continuación, busque `codecatalyst-SAM-deploy-role`.``
1. Seleccione `codecatalyst-SAM-deploy-role` para mostrar los detalles.``
1. En la pestaña **Permisos**, elija **Agregar permisos** y, a continuación, **Asociar políticas**.
1. Busque `codecatalyst-SAM-deploy-policy`, active su casilla de verificación y elija **Asociar políticas**.
Ya ha asociado la política de permisos al rol de compilación. Ahora, el rol de compilación tiene dos políticas: una política de permisos y una política de confianza.
1. Obtenga el ARN del rol de compilación de la siguiente manera:
1. Seleccione **Roles** en el panel de navegación.
1. En el cuadro de búsqueda, introduzca el nombre del rol que acaba de crear (`codecatalyst-SAM-deploy-role`).
1. Elija el rol de la lista.
Aparece la página **Resumen** del rol.
1. En la parte superior, copie el valor de **ARN**.
Ahora ha creado el rol de compilación con los permisos adecuados y ha obtenido su ARN.