Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad para las características de la consola de herramientas para desarrolladores
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores independientes prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de cumplimiento que se aplican a AWS CodeStar las notificaciones AWS CodeConnections, consulte [AWS los servicios incluidos en el ámbito de aplicación por programa de cumplimiento](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida al utilizar AWS CodeStar las notificaciones y AWS CodeConnections. En los temas siguientes, se muestra cómo configurar AWS CodeStar las notificaciones y AWS CodeConnections cómo cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS CodeStar notificaciones y AWS CodeConnections recursos.
Para obtener más información acerca de la seguridad de los servicios de la consola de herramientas para desarrolladores, consulte lo siguiente:
+ [CodeBuild Seguridad](https://docs.aws.amazon.com/codebuild/latest/userguide/security.html)
+ [CodeCommit Seguridad](https://docs.aws.amazon.com/codecommit/latest/userguide/security.html)
+ [CodeDeploy Seguridad](https://docs.aws.amazon.com/codedeploy/latest/userguide/security.html)
+ [CodePipeline Seguridad](https://docs.aws.amazon.com/codepipeline/latest/userguide/security.html)
## Descripción del contenido y la seguridad de las notificaciones
Las notificaciones proporcionan información acerca de los recursos a los usuarios que están suscritos a los destinos de las reglas de notificación que configure. Esta información puede incluir detalles sobre los recursos de las herramientas para desarrolladores, como, por ejemplo, el contenido de los repositorios, los estados de compilación, los estados de implementación y las ejecuciones de canalizaciones.
Por ejemplo, puedes configurar una regla de notificación para un repositorio que incluya comentarios en CodeCommit las confirmaciones o solicitudes de incorporación de cambios. En caso afirmativo, las notificaciones enviadas en respuesta a dicha regla podrían incluir la línea o líneas de código a las que se hace referencia en dicho comentario. Del mismo modo, puedes configurar una regla de notificación para un proyecto de compilación CodeBuild que incluya los éxitos o los fracasos en los estados y fases de compilación. Las notificaciones enviadas en respuesta a dicha regla incluirán dicha información.
Puedes configurar una regla de notificación para una canalización CodePipeline que incluya información sobre las aprobaciones manuales, y las notificaciones que se envíen en respuesta a esa regla pueden incluir el nombre de la persona que proporciona la aprobación. Puede configurar una regla de notificación para una aplicación que indique CodeDeploy que la implementación se ha realizado correctamente, y las notificaciones enviadas en respuesta a esa regla pueden contener información sobre el objetivo de la implementación.
Las notificaciones pueden contener información específica del proyecto, como, por ejemplo, estados de compilación, líneas de código que tienen comentarios, estado de implementación y aprobaciones de canalizaciones. Por lo tanto, para ayudar a garantizar la seguridad de su proyecto, asegúrese de revisar periódicamente tanto los destinos de las reglas de notificación como la lista de suscriptores de los temas de Amazon SNS especificados como destinos. Además, el contenido de las notificaciones enviadas en respuesta a eventos podría cambiar a medida que se añadan características adicionales a los servicios subyacentes. Este cambio puede producirse sin previo aviso a las reglas de notificación ya existentes. Considere la posibilidad de revisar el contenido de los mensajes de notificación periódicamente para ayudar a garantizar que entiende lo que se envía y a quién se envía.
Para obtener más información acerca de los tipos de eventos disponibles para las reglas de notificación, consulte [Conceptos de notificación](concepts.md).
Puede elegir limitar los detalles incluidos en las notificaciones solo a lo que se incluye en un evento. A esto se lo denomina tipo de detalle **Básico**. Estos eventos contienen exactamente la misma información que se envía a Amazon EventBridge y Amazon CloudWatch Events.
Los servicios de consola de Developer Tools CodeCommit, por ejemplo, pueden optar por añadir información sobre algunos o todos sus tipos de eventos en los mensajes de notificación más allá de lo que está disponible en un evento. Esta información complementaria podría agregarse en cualquier momento para mejorar los tipos de eventos actuales o complementar los tipos de eventos futuros. Puede elegir incluir cualquier información adicional sobre el evento, si está disponible, en la notificación seleccionando el tipo de detalle **Full (completo)**. Para obtener más información, consulte [Tipos de detalles](concepts.md#detail-type).
# Protección de datos en AWS CodeStar notificaciones y AWS CodeConnections
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS CodeStar las notificaciones y AWS CodeConnections. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utilice SSL/TLS para comunicarse con los recursos. AWS Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con AWS CodeStar notificaciones AWS CodeConnections u otros usos de la Servicios de AWS consola, la API o. AWS CLI AWS SDKs Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
# Gestión de identidad y acceso para AWS CodeStar notificaciones y AWS CodeConnections
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar AWS CodeStar las notificaciones y los recursos. AWS CodeConnections La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
**nota**
Están disponibles las acciones para los recursos que se crean con el nuevo prefijo `codeconnections` de servicio. La creación de un recurso con el nuevo prefijo de servicio se utilizará `codeconnections` en el ARN del recurso. Las acciones y los recursos del prefijo `codestar-connections` de servicio permanecen disponibles. Al especificar un recurso en la política de IAM, el prefijo del servicio debe coincidir con el del recurso.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo funcionan las características de la consola de herramientas para desarrolladores con IAM](security_iam_service-with-iam.md)
+ [AWS CodeConnections referencia de permisos](#permissions-reference-connections)
+ [Ejemplos de políticas basadas en identidades](security_iam_id-based-policy-examples.md)
+ [Uso de etiquetas para controlar el acceso a los recursos AWS CodeConnections](connections-tag-based-access-control.md)
+ [Uso de notificaciones y conexiones en la consola](#security_iam_id-based-policy-examples-console)
+ [Permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Solución de problemas: AWS CodeStar notificaciones, AWS CodeConnections identidad y acceso](security_iam_troubleshoot.md)
+ [Uso de funciones vinculadas a servicios para las notificaciones AWS CodeStar](using-service-linked-roles.md)
+ [Uso de roles vinculados a servicios para AWS CodeConnections](service-linked-role-connections.md)
+ [AWS políticas gestionadas para AWS CodeConnections](security-iam-awsmanpol.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas: AWS CodeStar notificaciones, AWS CodeConnections identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funcionan las características de la consola de herramientas para desarrolladores con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en identidades](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Usuario raíz de la cuenta de AWS
Al crear una Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz*, que tiene acceso completo a todos los Servicios de AWS recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
# Cómo funcionan las características de la consola de herramientas para desarrolladores con IAM
Antes de utilizar IAM para administrar el acceso a características de la consola de herramientas para desarrolladores, debe saber qué características de IAM están disponibles para utilizarse con la consola. Para obtener una visión general de cómo funcionan las notificaciones y otros AWS servicios con IAM, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
**Topics**
+ [Políticas basadas en identidad de la consola de herramientas para desarrolladores](#security_iam_service-with-iam-id-based-policies)
+ [AWS CodeStar Notificaciones y políticas basadas en recursos AWS CodeConnections](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas](#security_iam_service-with-iam-tags)
+ [Roles de IAM](#security_iam_service-with-iam-roles)
## Políticas basadas en identidad de la consola de herramientas para desarrolladores
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. AWS CodeStar Notificaciones y AWS CodeConnections claves de condición específicas, recursos y acciones de soporte. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de política para las notificaciones de la consola de herramientas para desarrolladores utilizan los siguientes prefijos antes de la acción: `codestar-notifications and codeconnections`. Por ejemplo, para conceder a alguien permiso para ver todas las reglas de notificación de su cuenta, incluya la acción `codestar-notifications:ListNotificationRules` en su política. Las declaraciones de política deben incluir un `NotAction` elemento `Action` o. AWS CodeStar Notifica y AWS CodeConnections define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones de AWS CodeStar notificación en una sola instrucción, sepárelas con comas de la siguiente manera.
```
"Action": [
"codestar-notifications:action1",
"codestar-notifications:action2"
```
Para especificar varias AWS CodeConnections acciones en una sola sentencia, sepárelas con comas de la siguiente manera.
```
"Action": [
"codeconnections:action1",
"codeconnections:action2"
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `List`, incluya la siguiente acción.
```
"Action": "codestar-notifications:List*"
```
AWS CodeStar Las acciones de la API de notificaciones incluyen:
+ `CreateNotificationRule`
+ `DeleteNotificationRule`
+ `DeleteTarget`
+ `DescribeNotificationRule`
+ `ListEventTypes`
+ `ListNotificationRules`
+ `ListTagsForResource`
+ `ListTargets`
+ `Subscribe`
+ `TagResource`
+ `Unsubscribe`
+ `UntagResource`
+ `UpdateNotificationRule`
AWS CodeConnections Las acciones de la API incluyen las siguientes:
+ `CreateConnection`
+ `DeleteConnection`
+ `GetConnection`
+ `ListConnections`
+ `ListTagsForResource`
+ `TagResource`
+ `UntagResource`
AWS CodeConnections Para completar el protocolo de autenticación, se requieren las siguientes acciones que solo requieren permisos:
+ `GetIndividualAccessToken`
+ `GetInstallationUrl`
+ `ListInstallationTargets`
+ `StartOAuthHandshake`
+ `UpdateConnectionInstallation`
Para usar una conexión, se requiere la siguiente acción, que solo requiere permisos: AWS CodeConnections
+ `UseConnection`
AWS CodeConnections Para transferir una conexión a un servicio se requiere la siguiente acción, que solo requiere permisos:
+ `PassConnection`
Para ver una lista de AWS CodeStar notificaciones y AWS CodeConnections acciones, consulte las acciones definidas por las [AWS CodeStar notificaciones y las [acciones definidas por AWS CodeConnections](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_codestarconnections.html#codestarconnections-actions-as-permissions)](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_codestarnotifications.html#codestarnotifications-actions-as-permissions) en la Guía del usuario de *IAM*.
### Recursos
AWS CodeStar Las notificaciones y AWS CodeConnections no permiten especificar un recurso ARNs en una política.
### Claves de condición
AWS CodeStar Las notificaciones AWS CodeConnections definen sus propios conjuntos de claves de condición y también admiten el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Todas las acciones de AWS CodeStar notificación admiten la clave de `codestar-notifications:NotificationsForResource` condición. Para obtener más información, consulte [Ejemplos de políticas basadas en identidades](security_iam_id-based-policy-examples.md).
AWS CodeConnections defina las siguientes claves de condición que se pueden utilizar en el `Condition` elemento de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener más información, consulte [AWS CodeConnections referencia de permisos](security-iam.md#permissions-reference-connections).
| Claves de condición | Description (Descripción) |
| --- | --- |
| `codeconnections:BranchName` | Filtra el acceso por el nombre de ramificación del repositorio de terceros. |
| `codeconnections:FullRepositoryId` | Filtra el acceso del repositorio que se incluye en la solicitud. Se aplica solo a las solicitudes UseConnection para acceder a un repositorio específico. |
| codeconnections:InstallationId | Filtra el acceso por el ID de terceros (como el ID de instalación de la aplicación de Bitbucket) que se utiliza para actualizar una conexión. Permite restringir las instalaciones de aplicaciones de terceros que se pueden utilizar para realizar una conexión. |
| codeconnections:OwnerId | Filtra el acceso por propietario o ID de cuenta del proveedor de terceros. |
| `codeconnections:PassedToService` | Filtra el acceso por el servicio al que la entidad principal puede pasar una conexión. |
| `codeconnections:ProviderAction` | Filtra el acceso por acción del proveedor en una solicitud UseConnection, como ListRepositories. |
| codeconnections:ProviderPermissionsRequired | Filtra el acceso por el tipo de permisos del proveedor de terceros. |
| `codeconnections:ProviderType` | Filtra el acceso por el tipo de proveedor externo incluido en la solicitud |
| codeconnections:ProviderTypeFilter | Filtra el acceso por el tipo de proveedor externo utilizado para filtrar resultados |
| codeconnections:RepositoryName | Filtra el acceso por el nombre del repositorio de terceros. |
### Ejemplos
Para ver ejemplos de AWS CodeStar notificaciones y políticas AWS CodeConnections basadas en la identidad, consulte. [Ejemplos de políticas basadas en identidades](security_iam_id-based-policy-examples.md)
## AWS CodeStar Notificaciones y políticas basadas en recursos AWS CodeConnections
AWS CodeStar Las notificaciones y AWS CodeConnections no son compatibles con las políticas basadas en recursos.
## Autorización basada en etiquetas
Puedes adjuntar etiquetas a AWS CodeStar las notificaciones y AWS CodeConnections los recursos o pasarlas a una solicitud. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `codestar-notifications and codeconnections:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información sobre las estrategias de etiquetado, consulta los recursos de [etiquetado. AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) Para obtener más información sobre el etiquetado de AWS CodeStar notificaciones y AWS CodeConnections recursos, consulte. [Etiquetado de recursos de conexiones](connections-tag.md)
Para ver ejemplos de políticas basadas en identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Uso de etiquetas para controlar el acceso a los recursos AWS CodeConnections](connections-tag-based-access-control.md).
## Roles de IAM
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de tu AWS cuenta que tiene permisos específicos.
### Uso de credenciales temporales
Puede utilizar credenciales temporales para iniciar sesión con federación y asumir un rol de IAM o un rol de acceso entre cuentas. Para obtener credenciales de seguridad temporales, puede llamar a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS CodeStar Notifica y AWS CodeConnections admite el uso de credenciales temporales.
### Roles vinculados a servicios
Las [funciones vinculadas al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
AWS CodeStar Las notificaciones admiten los roles vinculados al servicio. Para obtener más información sobre la creación o la administración de AWS CodeStar notificaciones y funciones AWS CodeConnections vinculadas al servicio, consulte. [Uso de funciones vinculadas a servicios para las notificaciones AWS CodeStar](using-service-linked-roles.md)
CodeConnections no admite funciones vinculadas al servicio.
## AWS CodeConnections referencia de permisos
En las tablas siguientes se enumeran cada operación de la AWS CodeConnections API, las acciones correspondientes para las que puedes conceder permisos y el formato del ARN del recurso que se va a utilizar para conceder los permisos. AWS CodeConnections APIs Se agrupan en tablas según el alcance de las acciones permitidas por esa API. Consulte esta tabla cuando escriba políticas de permisos que pueda adjuntar a una identidad de IAM (políticas basadas en identidad).
Al crear una política de permisos, debe especificar las acciones en el campo `Action`de la política. Debe especificar un valor del recurso en el campo `Resource` de la política como ARN, con o sin un carácter comodín (\$1).
Para expresar condiciones en las políticas de conexiones, utilice las claves de condición descritas aquí y enumeradas en [Claves de condición](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys). También puedes usar claves de condición que AWS abarquen todo el conjunto. Para obtener una lista completa de las claves AWS de ancho, consulte las [claves disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) en la Guía del usuario de *IAM*.
Para especificar una acción, use el prefijo `codeconnections` seguido del nombre de la operación API (por ejemplo, `codeconnections:ListConnections` o `codeconnections:CreateConnection`).
**Uso de comodines **
Para especificar varias acciones o recursos, utilice el carácter de comodín (\$1) en el ARN. Por ejemplo, `codeconnections:*` especifica todas AWS CodeConnections las acciones y `codeconnections:Get*` especifica todas AWS CodeConnections las acciones que comienzan por la palabra. `Get` El siguiente ejemplo concede acceso a todos los recursos con nombres que comienzan con `MyConnection`.
```
arn:aws:codeconnections:us-west-2:account-ID:connection/*
```
Solo puede utilizar caracteres comodín con los *connection* recursos que se muestran en la tabla siguiente. No puede usar caracteres comodín con nuestros recursos*region*. *account-id* Para obtener más información acerca de los comodines, consulte [identificadores de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) en la *Guía del usuario de IAM*.
**Topics**
+ [Permisos para administrar conexiones](#permissions-reference-connections-managing)
+ [Permisos para administrar alojamientos](#permissions-reference-connections-hosts)
+ [Permisos para completar conexiones](#permissions-reference-connections-handshake)
+ [Permisos para configurar alojamientos](#connections-permissions-actions-host-registration)
+ [Pasar una conexión a un servicio](#permissions-reference-connections-passconnection)
+ [Uso de una conexión](#permissions-reference-connections-use)
+ [Tipos de acceso admitidos para `ProviderAction`](#permissions-reference-connections-access)
+ [Permisos compatibles con el etiquetado de recursos de conexión](#permissions-reference-connections-tagging)
+ [Pasar una conexión a un enlace de repositorio](#permissions-reference-connections-passrepository)
+ [Clave de condición compatible para los enlaces de repositorios](#permissions-reference-connections-branch)
+ [Permisos compatibles para compartir la conexión](#permissions-reference-connections-sharing)
### Permisos para administrar conexiones
Un rol o usuario designado para usar el SDK AWS CLI o el SDK para ver, crear o eliminar conexiones debe tener los siguientes permisos limitados a lo siguiente.
**nota**
No puede completar ni usar una conexión en la consola solo con los permisos siguientes. Debe agregar los permisos en [Permisos para completar conexiones](#permissions-reference-connections-handshake).
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
```
Utilice las barras de desplazamiento para ver el resto de la tabla.
**AWS CodeConnections permisos necesarios para administrar las conexiones**
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
| --- | --- | --- |
| CreateConnection | `codeconnections:CreateConnection` Se necesita para utilizar la CLI o la consola para crear una conexión. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
| DeleteConnection | `codeconnections:DeleteConnection` Se necesita para utilizar la CLI o la consola para eliminar una conexión. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| GetConnection | `codeconnections:GetConnection` Se necesita para utilizar la CLI o la consola para ver los detalles de una conexión. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| ListConnections | `codeconnections:ListConnections` Se necesita para utilizar la CLI o la consola para enumerar todas las conexiones de la cuenta. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
Estas operaciones admiten las siguientes claves de condición:
| Action | Claves de condición |
| --- | --- |
| `codeconnections:CreateConnection` | `codeconnections:ProviderType` |
| codeconnections:DeleteConnection | N/A |
| codeconnections:GetConnection | N/A |
| codeconnections:ListConnections | codeconnections:ProviderTypeFilter |
### Permisos para administrar alojamientos
Un rol o usuario designado para usar el SDK AWS CLI o el SDK para ver, crear o eliminar hosts debe tener permisos limitados a lo siguiente.
**nota**
No puede completar ni utilizar una conexión en el alojamiento solo con los siguientes permisos. Debe agregar los permisos en [Permisos para configurar alojamientos](#connections-permissions-actions-host-registration).
```
codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts
```
Utilice las barras de desplazamiento para ver el resto de la tabla.
**AWS CodeConnections permisos necesarios para administrar los hosts**
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
| --- | --- | --- |
| CreateHost | `codeconnections:CreateHost` Se necesita para utilizar la CLI o la consola para crear un alojamiento. | arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
| DeleteHost | `codeconnections:DeleteHost` Se necesita para utilizar la CLI o la consola para eliminar un alojamiento. | conexiones de código: ::host/ *region* *account-id* *host-id* |
| GetHost | `codeconnections:GetHost` Se necesita para utilizar la CLI o la consola para ver los detalles de un alojamiento. | *region*arn:aws:codeconnections: ::host/ *account-id* *host-id* |
| ListHosts | `codeconnections:ListHosts` Se necesita para utilizar la CLI o la consola para enumerar todos los alojamientos de la cuenta. | arn:aws:codeconnections: *region* ::host/ *account-id* *host-id* |
Estas operaciones admiten las siguientes claves de condición:
| Action | Claves de condición |
| --- | --- |
| `codeconnections:CreateHost` | `codeconnections:ProviderType` `codeconnections:VpcId` |
| codeconnections:DeleteHost | N/A |
| codeconnections:GetHost | N/A |
| codeconnections:ListHosts | codeconnections:ProviderTypeFilter |
Para ver un ejemplo de política que usa la clave de **VpcId**condición, consulte[Ejemplo: limitar los permisos de la VPC del host mediante la clave de contexto **VpcId**](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-vpc).
### Permisos para completar conexiones
Un rol o un usuario designado para administrar conexiones en la consola debe tener los permisos necesarios para completar una conexión en la consola y crear una instalación, lo que incluye autorizar el protocolo de enlace al proveedor y crear instalaciones para que se utilicen las conexiones. Utilice los siguientes permisos además de los anteriores.
La consola utiliza las siguientes operaciones de IAM al realizar el protocolo de conexión basado en navegador. `ListInstallationTargets`, `GetInstallationUrl`, `StartOAuthHandshake`, `UpdateConnectionInstallation` y `GetIndividualAccessToken` son permisos de política de IAM. No son acciones de API.
```
codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
```
En función de esto, se necesitan los siguientes permisos para utilizar, crear, actualizar o eliminar una conexión en la consola.
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
```
Utilice las barras de desplazamiento para ver el resto de la tabla.
**AWS CodeConnections permisos necesarios para completar las conexiones**
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
| --- | --- | --- |
| `GetIndividualAccessToken` | `codeconnections:GetIndividualAccessToken` Se necesita para utilizar la consola para completar una conexión. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
| `GetInstallationUrl` | `codeconnections:GetInstallationUrl` Se necesita para utilizar la consola para completar una conexión. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListInstallationTargets` | `codeconnections:ListInstallationTargets` Se necesita para utilizar la consola para completar una conexión. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `StartOAuthHandshake` | `codeconnections:StartOAuthHandshake` Se necesita para utilizar la consola para completar una conexión. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `UpdateConnectionInstallation` | `codeconnections:UpdateConnectionInstallation` Se necesita para utilizar la consola para completar una conexión. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
Estas operaciones admiten las siguientes claves de condición.
| Action | Claves de condición |
| --- | --- |
| codeconnections:GetIndividualAccessToken | codeconnections:ProviderType |
| codeconnections:GetInstallationUrl | codeconnections:ProviderType |
| `codeconnections:ListInstallationTargets` | N/A |
| codeconnections:StartOAuthHandshake | codeconnections:ProviderType |
| codeconnections:UpdateConnectionInstallation | codeconnections:InstallationId |
### Permisos para configurar alojamientos
Un rol o un usuario designado para administrar conexiones en la consola debe tener los permisos necesarios para configurar un alojamiento en la consola, lo que incluye la autorización del protocolo de enlace al proveedor y la instalación de la aplicación del alojamiento. Utilice los siguientes permisos además de los permisos para alojamientos anteriores.
La consola utiliza las siguientes operaciones de IAM cuando realiza el registro de alojamiento basado en navegador. `RegisterAppCode` y `StartAppRegistrationHandshake` son permisos de política de IAM. No son acciones de API.
```
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
En función de esto, se necesitan los siguientes permisos para utilizar, crear, actualizar o eliminar una conexión en la consola que requiere un alojamiento (como, por ejemplo, tipos de proveedor instalados).
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
Utilice las barras de desplazamiento para ver el resto de la tabla.
**AWS CodeConnections permisos necesarios para completar la configuración del host**
| Acciones de conexiones | Permisos necesarios | Recursos |
| --- | --- | --- |
| `RegisterAppCode` | `codeconnections:RegisterAppCode` Se necesita para utilizar la consola para completar la configuración del alojamiento. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
| `StartAppRegistrationHandshake` | `codeconnections:StartAppRegistrationHandshake` Se necesita para utilizar la consola para completar la configuración del alojamiento. Se trata únicamente de un permiso de política de IAM, no de una acción de API. | arn:aws:codeconnections: *region* ::host/ *account-id* *host-id* |
Estas operaciones admiten las siguientes claves de condición.
### Pasar una conexión a un servicio
Cuando se pasa una conexión a un servicio (por ejemplo, cuando se proporciona un ARN de conexión en una definición de canalización para crear o actualizar una canalización), el usuario debe tener el permiso `codeconnections:PassConnection`.
Utilice las barras de desplazamiento para ver el resto de la tabla.
**AWS CodeConnections permisos necesarios para transferir una conexión**
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
| --- | --- | --- |
| `PassConnection` | `codeconnections:PassConnection` Se necesita para pasar una conexión a un servicio. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
Esta operación también admite la siguiente clave de condición:
+ `codeconnections:PassedToService`
**Valores admitidos para claves de condición**
| Key | Proveedores válidos de la acción |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/dtconsole/latest/userguide/security-iam.html) |
### Uso de una conexión
Cuando un servicio como este CodePipeline usa una conexión, el rol del servicio debe tener el `codeconnections:UseConnection` permiso para una conexión determinada.
Para administrar las conexiones en la consola, la política de usuario debe tener el permiso `codeconnections:UseConnection`.
Utilice las barras de desplazamiento para ver el resto de la tabla.
**AWS CodeConnections acción necesaria para utilizar las conexiones**
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
| --- | --- | --- |
| `UseConnection` | `codeconnections:UseConnection` Se necesita para utilizar una conexión. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
Esta operación también admite las siguientes claves de condición:
+ `codeconnections:BranchName`
+ `codeconnections:FullRepositoryId`
+ `codeconnections:OwnerId`
+ `codeconnections:ProviderAction`
+ `codeconnections:ProviderPermissionsRequired`
+ `codeconnections:RepositoryName`
**Valores admitidos para claves de condición**
| Key | Proveedores válidos de la acción |
| --- | --- |
| `codeconnections:FullRepositoryId` | Nombre de usuario y nombre de repositorio de un repositorio, como `my-owner/my-repository`. Se admite solo cuando la conexión se utiliza para obtener acceso a un repositorio específico. |
| `codeconnections:ProviderPermissionsRequired` | read\$1only o read\$1write |
| `codeconnections:ProviderAction` | `GetBranch`, `ListRepositories`, `ListOwners`, `ListBranches`, `StartUploadArchiveToS3`, `GitPush`, `GitPull`, `GetUploadArchiveToS3Status`, `CreatePullRequestDiffComment`, `GetPullRequest`, `ListBranchCommits`, `ListCommitFiles`, `ListPullRequestComments`, `ListPullRequestCommits`. Para obtener información, consulte la siguiente sección. |
Las claves de condición necesarias para algunas funciones pueden cambiar con el tiempo. Es recomendable que utilice `codeconnections:UseConnection` para controlar el acceso a una conexión, a menos que sus requisitos de control de acceso requieran permisos diferentes.
### Tipos de acceso admitidos para `ProviderAction`
Cuando un AWS servicio utiliza una conexión, se realizan llamadas a la API a su proveedor de código fuente. Por ejemplo, un servicio puede mostrar los repositorios para una conexión de Bitbucket llamando a la API `https://api.bitbucket.org/2.0/repositories/username`.
La clave de `ProviderAction` condición te permite restringir APIs a qué proveedor se puede llamar. Como la ruta de la API se puede generar de forma dinámica y varía de un proveedor a otro, el valor `ProviderAction` se mapea a un nombre de acción abstracto en lugar de a la URL de la API. Esto le permite escribir políticas que tengan el mismo efecto independientemente del tipo de proveedor de la conexión.
A continuación, se encuentran los tipos de acceso que se conceden para cada uno de los valores `ProviderAction` admitidos. A continuación, se presentan permisos de política de IAM. No son acciones de API.
Utilice las barras de desplazamiento para ver el resto de la tabla.
**AWS CodeConnections tipos de acceso compatibles para `ProviderAction`**
| AWS CodeConnections permiso | Permisos necesarios | Recursos |
| --- | --- | --- |
| `GetBranch` | ` codeconnections:GetBranch` Se necesita para acceder a la información sobre una ramificación, como, por ejemplo, la última confirmación de esa ramificación. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
| `ListRepositories` | ` codeconnections:ListRepositories` Se necesita para acceder a una lista de repositorios públicos y privados, incluidos los detalles de esos repositorios, que pertenecen a un propietario. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListOwners` | `codeconnections:ListOwners` Se necesita para acceder a una lista de propietarios a los que la conexión tiene acceso. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListBranches` | ` codeconnections:ListBranches` Se necesita para acceder a la lista de ramificaciones que existen en un repositorio determinado. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `StartUploadArchiveToS3` | ` codeconnections:StartUploadArchiveToS3` Se necesita para leer el código fuente y cargarlo en Amazon S3. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `GitPush` | ` codeconnections:GitPush` Se necesita para escribir en un repositorio con Git. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `GitPull` | ` codeconnections:GitPull` Se necesita para leer desde un repositorio con Git. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| GetUploadArchiveToS3Status | ` codeconnections:GetUploadArchiveToS3Status` Se necesita para acceder al estado de una carga, incluidos los mensajes de error, iniciada por `StartUploadArchiveToS3`. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| CreatePullRequestDiffComment | ` codeconnections:CreatePullRequestDiffComment` Se necesita para acceder a los comentarios de una solicitud de extracción. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| GetPullRequest | ` codeconnections:GetPullRequest` Se necesita para ver las solicitudes de extracción de un repositorio. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListBranchCommits` | ` codeconnections:ListBranchCommits` Se necesita para ver una lista de confirmaciones de una ramificación de repositorio. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListCommitFiles` | ` codeconnections:ListCommitFiles` Se necesita para ver una lista de archivos de una confirmación. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListPullRequestComments` | ` codeconnections:ListPullRequestComments` Se necesita para ver una lista de comentarios de una solicitud de extracción. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
| `ListPullRequestCommits` | ` codeconnections:ListPullRequestCommits` Se necesita para ver una lista de confirmaciones de una solicitud de extracción. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id* |
### Permisos compatibles con el etiquetado de recursos de conexión
Las siguientes operaciones de IAM se utilizan al etiquetar los recursos de conexión.
```
codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource
```
Utilice las barras de desplazamiento para ver el resto de la tabla.
**AWS CodeConnections acciones necesarias para etiquetar los recursos de conexión**
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
| --- | --- | --- |
| `ListTagsForResource` | `codeconnections:ListTagsForResource` Se necesita para ver una lista de etiquetas asociadas al recurso de conexión. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id*,arn:aws:codeconnections: *region* ::host/ *account-id* *host-id* |
| `TagResource` | `codeconnections:TagResource` Se necesita para etiquetar un recurso de conexión. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id*,arn:aws:codeconnections: *region* ::host/ *account-id* *host-id* |
| `UntagResource` | `codeconnections:UntagResource` Se necesita para eliminar etiquetas de un recurso de conexión. | arn:aws:codeconnections: *region* ::connection/ *account-id* *connection-id*,arn:aws:codeconnections: *region* ::host/ *account-id* *host-id* |
### Pasar una conexión a un enlace de repositorio
Cuando se proporciona un enlace al repositorio en una configuración de sincronización, el usuario debe tener el permiso `codeconnections:PassRepository` para el ARN o recurso del enlace al repositorio.
Utilice las barras de desplazamiento para ver el resto de la tabla.
**AWS CodeConnections permisos necesarios para transferir una conexión**
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
| --- | --- | --- |
| `PassRepository` | `codeconnections:PassRepository` Necesario para pasar un enlace de repositorio a una configuración de sincronización. | arn:aws:codeconnections: :repository-link/ *region* *account-id* *repository-link-id* |
Esta operación también admite la siguiente clave de condición:
+ `codeconnections:PassedToService`
**Valores admitidos para claves de condición**
| Key | Proveedores válidos de la acción |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/dtconsole/latest/userguide/security-iam.html) |
### Clave de condición compatible para los enlaces de repositorios
La siguiente clave de condición admite las operaciones de los enlaces de repositorio y los recursos de configuración de sincronización:
+ `codeconnections:Branch`
Filtra el acceso por el nombre de ramificación que se incluye en la solicitud.
**Acciones compatibles con la clave de condición**
| Key | Valores válidos |
| --- | --- |
| `codeconnections:Branch` | Esta clave de condición admite las siguientes acciones:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/dtconsole/latest/userguide/security-iam.html) |
### Permisos compatibles para compartir la conexión
Las siguientes operaciones de IAM se utilizan al compartir conexiones.
```
codeconnections:GetResourcePolicy
```
Utilice las barras de desplazamiento para ver el resto de la tabla.
**AWS CodeConnections acciones necesarias para compartir conexiones**
| AWS CodeConnections acciones | Permisos necesarios | Recursos |
| --- | --- | --- |
| `GetResourcePolicy` | `codeconnections:GetResourcePolicy` Necesario para acceder a la información sobre la política de recursos. | arn:aws:codeconnections: ::connection/ *region* *account-id* *connection-id* |
Para obtener más información sobre la conexión compartida, consulte[Comparta conexiones con Cuentas de AWS](connections-share.md).
# Ejemplos de políticas basadas en identidades
De forma predeterminada, los usuarios y roles de IAM que tienen una de las políticas administradas para AWS CodeCommit, AWS CodeBuild AWS CodeDeploy, o AWS CodePipeline aplicada tienen permisos para las conexiones, las notificaciones y las reglas de notificación que se ajustan a la intención de esas políticas. Por ejemplo, los usuarios o roles de IAM a los que se les haya aplicado una de las políticas de acceso total (**AWSCodeCommitFullAccess**AWSCodeBuildAdminAccess**AWSCodeDeployFullAccess******,, o **AWSCodePipeline\$1FullAccess**) también tienen acceso total a las notificaciones y a las reglas de notificación creadas para los recursos de esos servicios.
Otros usuarios y roles de IAM no tienen permiso para crear o modificar AWS CodeStar notificaciones y AWS CodeConnections recursos. Tampoco pueden realizar tareas mediante la AWS API Consola de administración de AWS AWS CLI, o. Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API en los recursos específicos que necesiten. El administrador debe asociar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
# Permisos y ejemplos de AWS CodeStar notificaciones
Las siguientes declaraciones y ejemplos de políticas pueden ayudarte a gestionar AWS CodeStar las notificaciones.
## Permisos relacionados con las notificaciones en políticas administradas de acceso total
Las políticas administradas **AWSCodeCommitFullAccess**AWSCodeBuildAdminAccess**AWSCodeDeployFullAccess******, y las políticas **AWSCodePipeline\$1FullAccess**administradas incluyen las siguientes declaraciones para permitir el acceso total a las notificaciones en la consola de herramientas para desarrolladores. Los usuarios con una de estas políticas administradas aplicadas también pueden crear y administrar temas de Amazon SNS para notificaciones, suscribirse y cancelar la suscripción a los temas, y enumerar temas para elegir como destinos para las reglas de notificación.
**nota**
En la política administrada, la clave de condición `codestar-notifications:NotificationsForResource` tendrá un valor específico para el tipo de recurso del servicio. Por ejemplo, en la política de acceso total de CodeCommit, el valor es`arn:aws:codecommit:*`.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:DeleteNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsSNSTopicCreateAccess",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:SetTopicAttributes"
],
"Resource": "arn:aws:sns:*:*:codestar-notifications*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
## Permisos relacionados con las notificaciones en políticas administradas de solo lectura
Las políticas **AWSCodeCommitReadOnlyAccess**, **AWSCodeBuildReadOnlyAccess**AWSCodeDeployReadOnlyAccess****, y **AWSCodePipeline\$1ReadOnlyAccess**gestionadas incluyen las siguientes instrucciones para permitir el acceso de solo lectura a las notificaciones. Por ejemplo, pueden ver notificaciones de recursos en la consola de herramientas para desarrolladores, pero no pueden crearlas, administrarlas ni suscribirse a ellas.
**nota**
En la política administrada, la clave de condición `codestar-notifications:NotificationsForResource` tendrá un valor específico para el tipo de recurso del servicio. Por ejemplo, en la política de acceso total de CodeCommit, el valor es. `arn:aws:codecommit:*`
```
{
"Sid": "CodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListEventTypes",
"codestar-notifications:ListTargets"
],
"Resource": "*"
}
```
## Permisos relacionados con las notificaciones en otras políticas administradas
Las políticas **AWSCodeBuildDeveloperAccess**administradas **AWSCodeCommitPowerUser**AWSCodeBuildDeveloperAccess****, y las administradas incluyen las siguientes declaraciones para permitir a los desarrolladores que tengan aplicada una de estas políticas administradas crear, editar y suscribirse a las notificaciones. No pueden eliminar reglas de notificación ni administrar etiquetas para recursos.
**nota**
En la política administrada, la clave de condición `codestar-notifications:NotificationsForResource` tendrá un valor específico para el tipo de recurso del servicio. Por ejemplo, en la política de acceso total de CodeCommit, el valor es`arn:aws:codecommit:*`.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
## Ejemplo: una política a nivel de administrador para gestionar las notificaciones AWS CodeStar
En este ejemplo, desea conceder a un usuario de IAM de su AWS cuenta acceso completo a AWS CodeStar las notificaciones para que pueda revisar los detalles de las reglas de notificación y enumerar las reglas de notificación, los objetivos y los tipos de eventos. También desea permitir al usuario añadir, actualizar y eliminar reglas de notificación. Se trata de una política de acceso total, equivalente a los permisos de notificación incluidos como parte de las políticas **AWSCodeBuildAdminAccess**AWSCodeCommitFullAccess****, **AWSCodeDeployFullAccess**, y **AWSCodePipeline\$1FullAccess**gestionadas. Al igual que esas políticas gestionadas, solo debes adjuntar este tipo de declaración de política a los usuarios, grupos o funciones de IAM que requieran un acceso administrativo total a las notificaciones y a las reglas de notificación de tu AWS cuenta.
**nota**
Esta política incluye permisos para `CreateNotificationRule`. Cualquier usuario que aplique esta política a su usuario o rol de IAM podrá crear reglas de notificación para todos los tipos de recursos compatibles con las AWS CodeStar notificaciones de la AWS cuenta, incluso si ese usuario no tiene acceso a esos recursos por sí mismo. Por ejemplo, un usuario con esta política podría crear una regla de notificación para un CodeCommit repositorio sin tener permisos de acceso a CodeCommit sí mismo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCodeStarNotificationsFullAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DeleteNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe",
"codestar-notifications:DeleteTarget",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:TagResource",
"codestar-notifications:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## Ejemplo: una política a nivel de colaborador para usar las notificaciones AWS CodeStar
En este ejemplo, quieres conceder acceso al day-to-day uso de AWS CodeStar las notificaciones, como la creación de notificaciones y la suscripción a ellas, pero no a acciones más destructivas, como eliminar las reglas o los objetivos de las notificaciones. Esto equivale al acceso proporcionado en las políticas **AWSCodeCommitPowerUser**administradas y **AWSCodeBuildDeveloperAccess**AWSCodeDeployDeveloperAccess****, y.
**nota**
Esta política incluye permisos para `CreateNotificationRule`. Cualquier usuario que tenga esta política aplicada a su usuario o rol de IAM podrá crear reglas de notificación para todos y cada uno de los tipos de recursos compatibles con AWS CodeStar las notificaciones de la AWS cuenta, incluso si ese usuario no tiene acceso a esos recursos por sí mismo. Por ejemplo, un usuario con esta política podría crear una regla de notificación para un CodeCommit repositorio sin tener permisos de acceso a CodeCommit sí mismo.
```
{
"Version": "2012-10-17",
"Sid": "AWSCodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource"
],
"Resource": "*"
}
]
}
```
## Ejemplo: una read-only-level política para usar AWS CodeStar las notificaciones
En este ejemplo, desea conceder a un usuario de IAM de su cuenta acceso de solo lectura a las reglas de notificación, los destinos y los tipos de eventos de su cuenta de AWS . En este ejemplo se muestra cómo crear una política que permita visualizar estos elementos. Esto equivale a los permisos incluidos como parte de las **AWSCodeBuildReadOnlyAccess**políticas **AWSCodePipeline\$1ReadOnlyAccess**administradas y las políticas administradas. **AWSCodeCommitReadOnly**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "CodeNotificationforReadOnly",
"Statement": [
{
"Sid": "ReadsAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
}
]
}
```
------
# Permisos y ejemplos de AWS CodeConnections
Los siguientes ejemplos e instrucciones de política pueden ayudarlo a administrar AWS CodeConnections.
Para obtener más información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas de JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
## Ejemplo: una política para crear AWS CodeConnections con la CLI y ver con la consola
Un rol o usuario designado para usar el SDK AWS CLI o el SDK para ver, crear, etiquetar o eliminar conexiones debe tener permisos limitados a lo siguiente.
**nota**
No puede completar una conexión en la consola solo con los permisos siguientes. Debe agregar los permisos en la siguiente sección.
Para utilizar la consola para ver una lista de las conexiones disponibles, ver etiquetas y usar una conexión, utilice la política siguiente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionsFullAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:TagResource",
"codeconnections:ListTagsForResource",
"codeconnections:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## Ejemplo: una política para crear AWS CodeConnections con la consola
Un rol o un usuario designado para administrar conexiones en la consola debe tener los permisos necesarios para completar una conexión en la consola y crear una instalación, lo que incluye autorizar el protocolo de enlace al proveedor y crear instalaciones para que se utilicen las conexiones. `UseConnection` también se debe agregar para usar la conexión en la consola. Utilice la siguiente política para ver, utilizar, crear, etiquetar o eliminar una conexión en la consola.
**nota**
A partir del 1 de julio de 2024, la consola crea conexiones con `codeconnections` el ARN del recurso. Los recursos con ambos prefijos de servicio seguirán mostrándose en la consola.
**nota**
En el caso de los recursos creados con la consola, las acciones de la declaración de política deben incluirse `codestar-connections` como prefijo de servicio, como se muestra en el siguiente ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codestar-connections:CreateConnection",
"codestar-connections:DeleteConnection",
"codestar-connections:GetConnection",
"codestar-connections:ListConnections",
"codestar-connections:GetInstallationUrl",
"codestar-connections:GetIndividualAccessToken",
"codestar-connections:ListInstallationTargets",
"codestar-connections:StartOAuthHandshake",
"codestar-connections:UpdateConnectionInstallation",
"codestar-connections:UseConnection",
"codestar-connections:TagResource",
"codestar-connections:ListTagsForResource",
"codestar-connections:UntagResource"
],
"Resource": [
"*"
]
}
]
}
```
------
## Ejemplo: una política de administración a nivel de administrador AWS CodeConnections
En este ejemplo, desea conceder a un usuario de IAM de su AWS cuenta acceso completo para que CodeConnections pueda añadir, actualizar y eliminar conexiones. Se trata de una política de acceso total, equivalente a la política **AWSCodePipeline\$1FullAccess**gestionada. Al igual que esa política gestionada, solo debes adjuntar este tipo de declaración de política a los usuarios, grupos o funciones de IAM que requieran un acceso administrativo total a las conexiones de tu AWS cuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionsFullAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:StartOAuthHandshake",
"codeconnections:UpdateConnectionInstallation",
"codeconnections:GetIndividualAccessToken",
"codeconnections:TagResource",
"codeconnections:ListTagsForResource",
"codeconnections:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## Ejemplo: una política de uso a nivel de colaborador AWS CodeConnections
En este ejemplo, desea conceder acceso al day-to-day uso de, por ejemplo CodeConnections, la creación y la visualización de los detalles de las conexiones, pero no a acciones más destructivas, como la eliminación de conexiones.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCodeConnectionsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:GetIndividualAccessToken",
"codeconnections:StartOAuthHandshake",
"codeconnections:UpdateConnectionInstallation",
"codeconnections:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Ejemplo: una read-only-level política de uso AWS CodeConnections
En este ejemplo, desea conceder a un usuario de IAM de su cuenta acceso de solo lectura a las conexiones de su cuenta. AWS En este ejemplo se muestra cómo crear una política que permita visualizar estos elementos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ConnectionsforReadOnly",
"Statement": [
{
"Sid": "ReadsAPIAccess",
"Effect": "Allow",
"Action": [
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Ejemplo: limitar los permisos de la VPC del host mediante la clave de contexto **VpcId**
En el siguiente ejemplo, el cliente puede usar la clave de **VpcId**contexto para limitar la creación o la administración de hosts a los hosts con una VPC específica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"codeconnections:CreateHost",
"codeconnections:UpdateHost"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"codeconnections:VpcId": "vpc-EXAMPLE"
}
}
}
]
}
```
------
# Uso de etiquetas para controlar el acceso a los recursos AWS CodeConnections
Las etiquetas se pueden asociar al recurso o pasarse dentro de la solicitud a los servicios que admiten etiquetado. En AWS CodeConnections, los recursos pueden tener etiquetas y algunas acciones pueden incluirlas. Cuando crea una política de IAM, puede utilizar claves de condición de etiqueta para controlar lo siguiente:
+ Qué usuarios pueden realizar acciones en un recurso de canalización, basándose en las etiquetas que ya tiene.
+ Qué etiquetas se pueden pasar en la solicitud de una acción.
+ Si se pueden utilizar claves de etiqueta específicas en una solicitud.
Los siguientes ejemplos muestran cómo especificar las condiciones de las etiquetas en las políticas para AWS CodeConnections los usuarios.
**Example 1: permitir acciones en función de las etiquetas en la solicitud**
La siguiente política concede a los usuarios permiso para crear conexiones en AWS CodeConnections.
Para ello, permite las acciones `CreateConnection` y `TagResource` si la solicitud especifica una etiqueta denominada `Project` con el valor `ProjectA`. (La clave de condición `aws:RequestTag` se utiliza para controlar qué etiquetas se pueden pasar en una solicitud de IAM). La condición `aws:TagKeys` garantiza la distinción entre mayúsculas y minúsculas de las claves de etiqueta.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
**Example 2: permitir acciones en función de las etiquetas de recursos**
La siguiente política concede a los usuarios permiso para realizar acciones en los recursos de AWS CodeConnections y obtener información sobre ellos.
Para ello, permite realizar determinadas acciones si la canalización tiene una etiqueta denominada `Project` con el valor `ProjectA`. (La clave de condición `aws:RequestTag` se utiliza para controlar qué etiquetas se pueden pasar en una solicitud de IAM). La condición `aws:TagKeys` garantiza la distinción entre mayúsculas y minúsculas de las claves de etiqueta.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:ListConnections"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
## Uso de notificaciones y conexiones en la consola
La experiencia de notificaciones está integrada en las CodePipeline consolas CodeBuild CodeCommit, CodeDeploy, y, además, en la consola Developer Tools, situada en la propia barra de navegación de **configuración**. Para tener acceso a las notificaciones de las consolas, debe tener aplicada una de las políticas administradas para esos servicios o tener un conjunto mínimo de permisos. Estos permisos deben permitirte enumerar y ver detalles sobre las AWS CodeStar notificaciones y AWS CodeConnections los recursos de tu AWS cuenta. Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política. Para obtener más información sobre la concesión de acceso a AWS CodeBuild AWS CodeCommit AWS CodeDeploy,, y AWS CodePipeline, incluido el acceso a esas consolas, consulta los siguientes temas:
+ CodeBuild: [Uso de políticas basadas en la identidad](https://docs.aws.amazon.com/codebuild/latest/userguide/security_iam_id-based-policy-examples.html#managed-policies) para CodeBuild
+ CodeCommit: [Utilizar políticas basadas en la identidad para CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/auth-and-access-control-iam-identity-based-access-control.html)
+ AWS CodeDeploy: Gestión [de identidad y acceso para AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/security-iam.html)
+ CodePipeline: [Control de acceso con políticas de IAM](https://docs.aws.amazon.com/codepipeline/latest/userguide/access-control.html)
AWS CodeStar Las notificaciones no tienen ninguna política AWS gestionada. Para proporcionar acceso a la funcionalidad de notificación, debe aplicar una de las políticas administradas para uno de los servicios enumerados anteriormente o debe crear políticas con el nivel de permiso que desea conceder a los usuarios o entidades y, luego, adjuntar esas políticas a los usuarios, los grupos o los roles que necesitan esos permisos. Para obtener más información y ejemplos, consulte lo siguiente:
+ [Ejemplo: una política a nivel de administrador para gestionar las notificaciones AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-full-access)
+ [Ejemplo: una política a nivel de colaborador para usar las notificaciones AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-contributor)
+ [Ejemplo: una read-only-level política para usar AWS CodeStar las notificaciones](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-read-only).
AWS CodeConnections no tiene ninguna política AWS gestionada. Utilice los permisos y las combinaciones de permisos de acceso, como los permisos detallados en [Permisos para completar conexiones](#permissions-reference-connections-handshake).
Para obtener más información, consulte los siguientes temas:
+ [Ejemplo: una política de administración a nivel de administrador AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-fullaccess)
+ [Ejemplo: una política de uso a nivel de colaborador AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-contributor)
+ [Ejemplo: una read-only-level política de uso AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-readonly)
No es necesario que concedas permisos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
## Permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Solución de problemas: AWS CodeStar notificaciones, AWS CodeConnections identidad y acceso
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con notificaciones e IAM.
**Topics**
+ [Soy administrador y quiero permitir que otros obtengan acceso a las notificaciones](#security_iam_troubleshoot-admin-delegate)
+ [Creé un tema de Amazon SNS y lo agregué como destino de regla de notificación, pero no recibo emails sobre eventos](#security_iam_troubleshoot-sns)
+ [Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis AWS CodeStar notificaciones y AWS CodeConnections recursos](#security_iam_troubleshoot-cross-account-access)
## Soy administrador y quiero permitir que otros obtengan acceso a las notificaciones
Para permitir que otras personas accedan a AWS CodeStar las notificaciones AWS CodeConnections, debes conceder permiso a las personas o aplicaciones que necesiten acceder. Si usa AWS IAM Identity Center para administrar las personas y las aplicaciones, debe asignar conjuntos de permisos a los usuarios o grupos para definir su nivel de acceso. Los conjuntos de permisos crean políticas de IAM y las asignan a los roles de IAM asociados a la persona o aplicación de forma automática. Para obtener más información, consulte la sección [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center *.
Si no utiliza IAM Identity Center, debe crear entidades de IAM (usuarios o roles) para las personas o aplicaciones que necesitan acceso. A continuación, debes adjuntar a la entidad una política que les conceda los permisos correctos en AWS CodeStar Notificaciones y AWS CodeConnections. Una vez concedidos los permisos, proporcione las credenciales al usuario o al desarrollador de la aplicación. Utilizarán esas credenciales para acceder a AWS. Para obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulte [Identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
Para obtener información específica sobre AWS CodeStar las notificaciones, consulte[Permisos y ejemplos de AWS CodeStar notificaciones](security_iam_id-based-policy-examples-notifications.md).
## Creé un tema de Amazon SNS y lo agregué como destino de regla de notificación, pero no recibo emails sobre eventos
Para recibir notificaciones sobre eventos, debe tener un tema de Amazon SNS válido suscrito como destino para la regla de notificación y su dirección de email debe estar suscrita al tema de Amazon SNS. Para solucionar problemas con el tema de Amazon SNS, verifique lo siguiente:
+ Asegúrese de que el tema de Amazon SNS esté en la misma AWS región que la regla de notificación.
+ Asegúrese de que su alias de correo electrónico está suscrito al tema correcto y de que ha confirmado la suscripción. Para obtener más información, consulte [Suscripción de un punto de enlace a un tema de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html).
+ Compruebe que la política temática se haya modificado para permitir que AWS CodeStar Notifications envíe notificaciones a ese tema. La política de temas debe incluir una instrucción similar a la siguiente:
```
{
"Sid": "AWSCodeStarNotifications_publish",
"Effect": "Allow",
"Principal": {
"Service": [
"codestar-notifications.amazonaws.com"
]
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:123456789012:MyNotificationTopicName",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
```
Para obtener más información, consulte [Configuración](setting-up.md).
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis AWS CodeStar notificaciones y AWS CodeConnections recursos
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si AWS CodeStar Notifications y AWS CodeConnections admite estas funciones, consulte. [Cómo funcionan las características de la consola de herramientas para desarrolladores con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Uso de funciones vinculadas a servicios para las notificaciones AWS CodeStar
AWS CodeStar [Las notificaciones utilizan funciones AWS Identity and Access Management vinculadas al servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a las notificaciones. AWS CodeStar Las funciones vinculadas al servicio están predefinidas en las AWS CodeStar notificaciones e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre. Este rol se crea la primera vez que crea una regla de notificación. No es preciso crear el rol.
Un rol vinculado a un servicio facilita la configuración de AWS CodeStar las notificaciones, ya que no es necesario añadir permisos manualmente. AWS CodeStar Las notificaciones definen los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS CodeStar las notificaciones pueden asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para eliminar un rol vinculado a servicios, primero debe eliminar sus recursos relacionados. Esto protege tus recursos de AWS CodeStar notificaciones porque no puedes eliminar inadvertidamente el permiso de acceso a los recursos.
Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Permisos de rol vinculados al servicio para las notificaciones AWS CodeStar
AWS CodeStar Las notificaciones utilizan la función AWSService RoleForCodeStarNotifications vinculada al servicio para recuperar información sobre los eventos que se producen en su cadena de herramientas y enviar notificaciones a los destinos que especifique.
El rol AWSService RoleForCodeStarNotifications vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `codestar-notifications.amazonaws.com`
La política de permisos del rol permite a AWS CodeStar las notificaciones realizar las siguientes acciones en los recursos especificados:
+ Acción: `PutRule` en `CloudWatch Event rules that are named awscodestar-notifications-*`
+ Acción: `DescribeRule` en `CloudWatch Event rules that are named awscodestar-notifications-*`
+ Acción: `PutTargets` en `CloudWatch Event rules that are named awscodestar-notifications-*`
+ Acción: `CreateTopic` para `create Amazon SNS topics for use with AWS CodeStar Notifications with the prefix CodeStarNotifications-`
+ Acción: `GetCommentsForPullRequests` en `all comments on all pull requests in all CodeCommit repositories in the AWS account`
+ Acción: `GetCommentsForComparedCommit` en `all comments on all commits in all CodeCommit repositories in the AWS account`
+ Acción: `GetDifferences` en `all commits in all CodeCommit repositories in the AWS account`
+ Acción: `GetCommentsForComparedCommit` en `all comments on all commits in all CodeCommit repositories in the AWS account`
+ Acción: `GetDifferences` en `all commits in all CodeCommit repositories in the AWS account`
+ Acción: `DescribeSlackChannelConfigurations` en `all AWS Chatbot clients in the AWS account`
+ Acción: `UpdateSlackChannelConfiguration` en `all AWS Chatbot clients in the AWS account`
+ Acción: `ListActionExecutions` en `all actions in all pipelines in the AWS account`
+ Acción: `GetFile` en `all files in all CodeCommit repositories in the AWS account unless otherwise tagged`
Puedes ver estas acciones en la declaración de política del rol AWSService RoleForCodeStarNotifications vinculado al servicio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"events:PutTargets",
"events:PutRule",
"events:DescribeRule"
],
"Resource": "arn:aws:events:*:*:rule/awscodestarnotifications-*",
"Effect": "Allow"
},
{
"Action": [
"sns:CreateTopic"
],
"Resource": "arn:aws:sns:*:*:CodeStarNotifications-*",
"Effect": "Allow"
},
{
"Action": [
"codecommit:GetCommentsForPullRequest",
"codecommit:GetCommentsForComparedCommit",
"codecommit:GetDifferences",
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:UpdateSlackChannelConfiguration",
"codepipeline:ListActionExecutions"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"codecommit:GetFile"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceTag/ExcludeFileContentFromNotifications": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para las notificaciones AWS CodeStar
No necesita crear manualmente un rol vinculado a servicios. Puedes usar la consola de herramientas para desarrolladores o la CreateNotificationRule API desde AWS CLI o SDKs para crear una regla de notificación. También puede llamar de forma directa a la API. No importa el método utilizado, el rol vinculado a servicios se crea de forma automática.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Puedes usar la consola de Developer Tools o la CreateNotificationRule API desde AWS CLI o SDKs para crear una regla de notificación. También puede llamar de forma directa a la API. No importa el método utilizado, el rol vinculado a servicios se crea de forma automática.
## Edición de un rol vinculado a un servicio para las notificaciones AWS CodeStar
Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, puede utilizar IAM para editar la descripción del rol. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para las notificaciones AWS CodeStar
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Debe limpiar los recursos del rol vinculado a servicio antes de eliminarlo. En el AWS CodeStar caso de las notificaciones, esto significa eliminar todas las reglas de notificación que utilizan el rol de servicio en tu AWS cuenta.
**nota**
Si el servicio de AWS CodeStar notificaciones utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de AWS CodeStar notificaciones utilizados por AWSService RoleForCodeStarNotifications**
1. Abra la consola de herramientas para AWS desarrolladores en [https://console.aws.amazon.com/codesuite/configuración/notificaciones](https://console.aws.amazon.com/codesuite/settings/notifications/).
**nota**
Las reglas de notificación se aplican a la AWS región en la que se crean. Si tiene reglas de notificación en más de una AWS región, utilice el selector de regiones para cambiarlas Región de AWS.
1. Elija todas las reglas de notificación que aparecen en la lista y, a continuación, elija **Delete (Eliminar)**.
1. Repita estos pasos en todas AWS las regiones en las que creó las reglas de notificación.
**Para **utilizar IAM** para eliminar el rol vinculado a servicios **
Utilice la consola de IAM o la AWS Identity and Access Management API para eliminar el rol vinculado al AWSService RoleForCodeStarNotifications servicio. AWS CLI Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con las funciones vinculadas al servicio de notificaciones AWS CodeStar
AWS CodeStar Las notificaciones permiten el uso de funciones vinculadas al servicio en todas las AWS regiones en las que el servicio está disponible. [Para obtener más información, consulte [AWS Regiones y puntos finales y notificaciones](https://docs.aws.amazon.com/general/latest/gr/rande.html).AWS CodeStar ](https://docs.aws.amazon.com/general/latest/gr/codestar_notifications.html)
# Uso de roles vinculados a servicios para AWS CodeConnections
AWS CodeConnections [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS CodeConnections Los roles vinculados al servicio están predefinidos AWS CodeConnections e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. Este rol se crea la primera vez que crea una conexión. No es preciso crear el rol.
Un rol vinculado a un servicio facilita la configuración AWS CodeConnections , ya que no es necesario añadir permisos manualmente. AWS CodeConnections define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS CodeConnections puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para eliminar un rol vinculado a servicios, primero debe eliminar sus recursos relacionados. Esto protege sus AWS CodeConnections recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**nota**
Están disponibles las acciones para los recursos que se crean con el nuevo prefijo `codeconnections` de servicio. Al crear un recurso con el nuevo prefijo de servicio, se utilizará `codeconnections` el ARN del recurso. Las acciones y los recursos del prefijo `codestar-connections` de servicio permanecen disponibles. Al especificar un recurso en la política de IAM, el prefijo del servicio debe coincidir con el del recurso.
## Permisos de rol vinculados al servicio para AWS CodeConnections
AWS CodeConnections usa el rol AWSService RoleForGitSync vinculado al servicio para usar la sincronización de Git con los repositorios conectados basados en Git.
El rol AWSService RoleForGitSync vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `repository.sync.codeconnections.amazonaws.com`
La política de permisos de roles denominada AWSGit SyncServiceRolePolicy permite AWS CodeConnections realizar las siguientes acciones en los recursos especificados:
+ Acción: Concede permisos para permitir a los usuarios crear conexiones a los repositorios basados en Git externos y usar la sincronización de Git con esos repositorios.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para AWS CodeConnections
No necesita crear manualmente un rol vinculado a servicios. El rol se crea al crear un recurso para tu proyecto sincronizado con Git con la API. CreateRepositoryLink
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta.
## Edición de un rol vinculado a un servicio para AWS CodeConnections
Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, puede utilizar IAM para editar la descripción del rol. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para AWS CodeConnections
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Debe limpiar los recursos del rol vinculado a servicio antes de eliminarlo. Esto significa eliminar todas las conexiones que utilizan el rol de servicio en tu AWS cuenta.
**nota**
Si el AWS CodeConnections servicio utiliza el rol cuando intentas eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar AWS CodeConnections los recursos utilizados por AWSService RoleForGitSync**
1. Abra la consola de herramientas para desarrolladores y, a continuación, elija **Configuración**.
1. Elija todas las conexiones que aparecen en la lista y, a continuación, elija **Eliminar**.
1. Repita estos pasos en todas AWS las regiones en las que creó las conexiones.
**Para **utilizar IAM** para eliminar el rol vinculado a servicios **
Utilice la consola de IAM o la AWS Identity and Access Management API para eliminar el rol vinculado al AWSService RoleForGitSync servicio. AWS CLI Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles para los roles vinculados al servicio AWS CodeConnections
AWS CodeConnections admite el uso de funciones vinculadas al servicio en todas las AWS regiones en las que el servicio está disponible. Para obtener más información, consulte [Regiones y puntos de conexión de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# AWS políticas gestionadas para AWS CodeConnections
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
**nota**
Están disponibles las acciones para los recursos que se crean con el nuevo prefijo `codeconnections` de servicio. La creación de un recurso con el nuevo prefijo de servicio se utilizará `codeconnections` en el ARN del recurso. Las acciones y los recursos del prefijo `codestar-connections` de servicio permanecen disponibles. Al especificar un recurso en la política de IAM, el prefijo del servicio debe coincidir con el del recurso.
## AWS política gestionada: AWSGit SyncServiceRolePolicy
No puede adjuntarse AWSGit SyncServiceRolePolicy a sus entidades de IAM. Esta política está asociada a un rol vinculado al servicio que te permite AWS CodeConnections realizar acciones en tu nombre. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS CodeConnections](service-linked-role-connections.md).
Esta política permite a los clientes acceder a los repositorios basados en Git para usarlos con las conexiones. Los clientes accederán a estos recursos después de usar la CreateRepositoryLink API.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `codeconnections`: concede permisos para permitir a los usuarios crear conexiones a repositorios externos basados en Git.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessGitRepos",
"Effect": "Allow",
"Action": [
"codestar-connections:UseConnection",
"codeconnections:UseConnection"
],
"Resource": [
"arn:aws:codestar-connections:*:*:connection/*",
"arn:aws:codeconnections:*:*:connection/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS CodeConnections actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS CodeConnections desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del [historial del AWS CodeConnections documento](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSGitSyncServiceRolePolicy](#security-iam-awsmanpol-AWSGitSyncServiceRolePolicy): política actualizada | El nombre del servicio AWS CodeStar Connections ha cambiado a AWS CodeConnections. Se actualizó la política de los recursos ARNs que contienen ambos prefijos de servicio. | 26 de abril de 2024 |
| [AWSGitSyncServiceRolePolicy](#security-iam-awsmanpol-AWSGitSyncServiceRolePolicy): política nueva | AWS CodeStar Connections agregó la política. Otorga permisos para permitir que los usuarios de conexiones usen la sincronización de Git con los repositorios conectados basados en Git. | 26 de noviembre de 2023 |
| AWS CodeConnections comenzó a rastrear los cambios | AWS CodeConnections comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 26 de noviembre de 2023 |
# Validación de conformidad para AWS CodeStar notificaciones y AWS CodeConnections
Para obtener una lista de AWS los servicios incluidos en el ámbito de los programas de cumplimiento específicos, consulte [AWS los servicios incluidos en el ámbito de aplicación por programa de cumplimiento](https://aws.amazon.com/compliance/services-in-scope/). Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulta [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Su responsabilidad de cumplimiento al utilizar AWS CodeStar las notificaciones AWS CodeConnections viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. AWS proporciona los siguientes recursos para ayudar con el cumplimiento:
+ [Guías de inicio rápido sobre seguridad y cumplimiento](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): estas guías de implementación analizan las consideraciones arquitectónicas y proporcionan los pasos para implementar entornos básicos centrados en la seguridad y el cumplimiento. AWS
+ [AWS recursos de conformidad](https://aws.amazon.com/compliance/resources/): esta colección de libros de trabajo y guías puede aplicarse a su sector y ubicación.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Este AWS servicio evalúa en qué medida las configuraciones de sus recursos cumplen con las prácticas internas, las directrices del sector y las normativas.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Este AWS servicio proporciona una visión integral del estado de su seguridad AWS que le ayuda a comprobar el cumplimiento de los estándares y las mejores prácticas del sector de la seguridad.
# Resiliencia en AWS CodeStar las notificaciones y AWS CodeConnections
La infraestructura AWS global se basa en AWS regiones y zonas de disponibilidad. AWS Las regiones proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puedes diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
[Para obtener más información sobre AWS las regiones y las zonas de disponibilidad, consulte la infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
+ Las reglas de notificación son específicas del Región de AWS lugar donde se crean. Si tiene reglas de notificación en más de una Región de AWS, utilice el selector de regiones para revisar las reglas de notificación de cada una de ellas Región de AWS.
+ AWS CodeStar Las notificaciones se basan en los temas del Amazon Simple Notification Service (Amazon SNS) como objetivos de las reglas de notificación. La información sobre los temas de Amazon SNS y los destinos de las reglas de notificación podrían almacenarse en una región de AWS distinta de aquella en la que ha configurado la regla de notificación.
# Seguridad de la infraestructura en AWS CodeStar notificaciones y AWS CodeConnections
Como funciones de un servicio gestionado, AWS CodeStar las notificaciones AWS CodeConnections están protegidas por los procedimientos de seguridad de la red AWS global que se describen en el documento técnico [Amazon Web Services: descripción general de los procesos de seguridad](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Las llamadas a la API AWS publicadas se utilizan para acceder a AWS CodeStar las notificaciones y a AWS CodeConnections través de la red. Los clientes deben ser compatibles con la seguridad de la capa de transporte (TLS) 1.0 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos admiten estos modos.
Las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puede utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
## Tráfico entre AWS CodeConnections recursos en todas las regiones
Si utiliza la función de conexiones para habilitar la conexión de sus recursos, acepta y nos indica que almacenemos y procesemos la información asociada a dichos recursos de conexión Regiones de AWS fuera del Regiones de AWS lugar donde esté utilizando el servicio subyacente, únicamente en relación con la conexión a dichos recursos y con el único propósito de proporcionar conexión a dichos recursos en regiones distintas de aquella en la que se creó el recurso.
Para obtener más información, consulte [Recursos globales en AWS CodeConnections](welcome-connections-how-it-works-global.md).
**nota**
Si utiliza la característica Connections para habilitar la conexión de sus recursos en regiones en las que no es necesario habilitarla primero, almacenaremos y procesaremos la información tal como se detalla en los temas anteriores.
En el caso de las conexiones establecidas en regiones en las que hay que habilitarla primero, como la región Europa (Milán), solo almacenaremos y procesaremos la información de esa conexión en esa región.