Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Entender el modelo de CodeCatalyst confianza
El modelo de CodeCatalyst confianza de Amazon CodeCatalyst permite asumir el rol de servicio en lo conectado Cuenta de AWS. El modelo conecta la función de IAM, los principios del CodeCatalyst servicio y el CodeCatalyst espacio. La política de confianza utiliza la clave de aws:SourceArn condición para conceder permisos al CodeCatalyst espacio especificado en la clave de condición. Para obtener más información sobre esta clave de condición, consulte aws: SourceArn en la Guía del usuario de IAM.
Una política de confianza es un documento de política JSON en el que define las entidades principales en las que confía para asumir el rol. Una política de confianza de rol es una política basada en recursos requerida que se adjunta a un rol en IAM. Para obtener más información, consulte los términos y conceptos en la Guía del usuario de IAM. Para obtener más información sobre los principios de servicio de CodeCatalyst, consulte. Principios de servicio para CodeCatalyst
En la siguiente política de confianza, los principales de servicio que figuran en el Principal elemento reciben permisos de la política basada en recursos y el Condition bloqueo se utiliza para limitar el acceso al recurso limitado.
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
En la política de confianza, los directores del CodeCatalyst servicio tienen acceso a través de la clave de aws:SourceArn condición, que contiene el nombre de recurso de Amazon (ARN) del ID CodeCatalyst del espacio. El ARN utiliza el siguiente formato:
arn:aws:codecatalyst:::space/spaceId/project/*
importante
Utilice el ID de espacio solo en las claves de condición, comoaws:SourceArn. No utilice el ID de espacio en las declaraciones de política de IAM como un ARN de recurso.
Como práctica recomendada, limite los permisos en la medida de lo posible en la política.
-
Puede usar el comodín (*) en la clave de
aws:SourceArncondición para especificar todos los proyectos del espacio conproject/*. -
Puede especificar los permisos a nivel de recursos en la clave de
aws:SourceArncondición para un proyecto específico en el espacio con.project/projectId
Principios de servicio para CodeCatalyst
El Principal elemento se utiliza en una política de JSON basada en recursos para especificar el principal al que se le permite o deniega el acceso a un recurso. Las entidades principales que puede especificar en la política de confianza incluyen usuarios, roles, cuentas y servicios. No se puede utilizar el Principal elemento en una política basada en la identidad; del mismo modo, no se puede identificar a un grupo de usuarios como principal en una política (por ejemplo, una política basada en recursos) porque los grupos están relacionados con los permisos, no con la autenticación, y los principales son entidades de IAM autenticadas.
En la política de confianza, puede especificar en el Principal elemento de una política basada servicios de AWS en recursos o en condiciones las claves que admitan a los principales. Los principios del servicio los define el servicio. Los siguientes son los principios de servicio definidos para: CodeCatalyst
-
codecatalyst.amazonaws.com: este principio de servicio se utiliza para un rol al que se concederá el acceso. CodeCatalyst AWS
-
codecatalyst-runner.amazonaws.com: este principio de servicio se utiliza para un rol que permitirá el acceso a los recursos en las implementaciones de los flujos de trabajo. CodeCatalyst AWS CodeCatalyst
Para obtener más información, consulte Elementos de la política de JSON de AWS : entidad principal en la Guía del usuario de IAM.
