Amazon ya no CodeCatalyst está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cómo migrar desde CodeCatalyst](migration.md).

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Entender el modelo de CodeCatalyst confianza
<a name="trust-model"></a>

El modelo de CodeCatalyst confianza de Amazon CodeCatalyst permite asumir el rol de servicio en lo conectado Cuenta de AWS. El modelo conecta la función de IAM, los principios del CodeCatalyst servicio y el CodeCatalyst espacio. La política de confianza utiliza la clave de `aws:SourceArn` condición para conceder permisos al CodeCatalyst espacio especificado en la clave de condición. Para obtener más información sobre esta clave de condición, consulte [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) en la *Guía del usuario de IAM*.

Una política de confianza es un documento de política JSON en el que define las entidades principales en las que confía para asumir el rol. Una política de confianza de rol es una política basada en recursos requerida que se adjunta a un rol en IAM. Para obtener más información, consulte los [Términos y conceptos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) en la *Guía del usuario de IAM*. Para obtener más información sobre los principios de servicio de CodeCatalyst, consulte. [Principios de servicio para CodeCatalyst](#service-principals)

En la siguiente política de confianza, las entidades principales de servicio que figuran en el elemento `Principal` reciben permisos desde la política basada en recursos, y el bloque `Condition` se utiliza para limitar el acceso al recurso limitado.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
             "Principal": { 
                "Service": [ 
                    "codecatalyst-runner.amazonaws.com",
                    "codecatalyst.amazonaws.com" 
                ] 
            }, 
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
                }
            }
        }
    ]
}
```

------

En la política de confianza, los directores del CodeCatalyst servicio tienen acceso a través de la clave de `aws:SourceArn` condición, que contiene el nombre de recurso de Amazon (ARN) del ID CodeCatalyst del espacio. El ARN utiliza el siguiente formato:

```
arn:aws:codecatalyst:::space/spaceId/project/*
```

**importante**  
Utilice el ID del espacio únicamente en las claves de condición, como `aws:SourceArn`. No utilice el ID del espacio en las instrucciones de política de IAM como ARN de recurso.

Como práctica recomendada, limite el ámbito de los permisos tanto como sea posible en la política.
+ Puede utilizar el comodín (\$1) en la clave de condición `aws:SourceArn` para especificar todos los proyectos del espacio con `project/*`.
+ Puede especificar los permisos en el nivel del recurso en la clave de condición `aws:SourceArn` para un proyecto específico en el espacio con `project/projectId`.

## Principios de servicio para CodeCatalyst
<a name="service-principals"></a>

Utilice el elemento `Principal` en una política de JSON basada en recursos para especificar la entidad principal que tiene acceso permitido o denegado a un recurso. Las entidades principales que puede especificar en la política de confianza incluyen usuarios, roles, cuentas y servicios. No puede utilizar el elemento `Principal` en una política basada en identidades; del mismo modo, no es posible identificar un grupo de usuarios como una entidad principal en una política (como una política basada en recursos) porque los grupos están relacionados con los permisos, no con la autenticación, y las entidades principales son entidades de IAM autenticadas.

En la política de confianza, puede especificar Servicios de AWS en el `Principal` elemento de una política basada en recursos o en condiciones las claves que respalden a los principales. El servicio define las entidades principales de servicio. Los principios de servicio definidos para: CodeCatalyst
+ **codecatalyst.amazonaws.com**: este principio de servicio se utiliza para un rol al que se concederá el acceso. CodeCatalyst AWS
+ **codecatalyst-runner.amazonaws.com**: este principio de servicio se utiliza para un rol que permitirá el acceso a los recursos en las implementaciones de los flujos de trabajo. CodeCatalyst AWS CodeCatalyst 

Para obtener más información, consulte [Elementos de la política de JSON de AWS : entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en la *Guía del usuario de IAM*.