Comprensión del modelo de confianza de CodeCatalyst
El modelo de confianza de Amazon CodeCatalyst permite a CodeCatalyst asumir el rol de servicio en la Cuenta de AWS conectada. El modelo conecta el rol de IAM, las entidades principales de servicio de CodeCatalyst y el espacio de CodeCatalyst. La política de confianza utiliza la clave de condición aws:SourceArn para conceder permisos al espacio de CodeCatalyst especificado en la clave de condición. Para obtener más información sobre esta clave de condición, consulte aws:SourceArn en la Guía del usuario de IAM.
Una política de confianza es un documento de política JSON en el que define las entidades principales en las que confía para asumir el rol. Una política de confianza de rol es una política basada en recursos requerida que se adjunta a un rol en IAM. Para obtener más información, consulte los Términos y conceptos en la Guía del usuario de IAM. Para obtener más información sobre las entidades principales de servicio de CodeCatalyst, consulte Entidades principales de servicio para CodeCatalyst.
En la siguiente política de confianza, las entidades principales de servicio que figuran en el elemento Principal reciben permisos desde la política basada en recursos, y el bloque Condition se utiliza para limitar el acceso al recurso limitado.
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
En la política de confianza, las entidades principales de servicio de CodeCatalyst reciben acceso a través de la clave de condición aws:SourceArn, que contiene el nombre de recurso de Amazon (ARN) para el ID de espacio de CodeCatalyst. El ARN utiliza el siguiente formato:
arn:aws:codecatalyst:::space/spaceId/project/*
importante
Utilice el ID del espacio únicamente en las claves de condición, como aws:SourceArn. No utilice el ID del espacio en las instrucciones de política de IAM como ARN de recurso.
Como práctica recomendada, limite el ámbito de los permisos tanto como sea posible en la política.
-
Puede utilizar el comodín (*) en la clave de condición
aws:SourceArnpara especificar todos los proyectos del espacio conproject/*. -
Puede especificar los permisos en el nivel del recurso en la clave de condición
aws:SourceArnpara un proyecto específico en el espacio conproject/.projectId
Entidades principales de servicio para CodeCatalyst
Utilice el elemento Principal en una política de JSON basada en recursos para especificar la entidad principal que tiene acceso permitido o denegado a un recurso. Las entidades principales que puede especificar en la política de confianza incluyen usuarios, roles, cuentas y servicios. No puede utilizar el elemento Principal en una política basada en identidades; del mismo modo, no es posible identificar un grupo de usuarios como una entidad principal en una política (como una política basada en recursos) porque los grupos están relacionados con los permisos, no con la autenticación, y las entidades principales son entidades de IAM autenticadas.
En la política de confianza, puede especificar Servicios de AWS en el elemento Principal de una política basada en recursos o en claves de condición que admitan entidades principales. El servicio define las entidades principales de servicio. A continuación constan las entidades principales de servicio definidas para CodeCatalyst:
-
codecatalyst.amazonaws.com: esta entidad principal de servicio se utiliza para un rol que concederá a CodeCatalyst acceso a AWS.
-
codecatalyst-runner.amazonaws.com: esta entidad principal de servicio se utiliza para un rol que concederá a CodeCatalyst acceso a los recursos de AWS en implementaciones de flujos de trabajo de CodeCatalyst.
Para obtener más información, consulte Elementos de la política de JSON de AWS: entidad principal en la Guía del usuario de IAM.
