Amazon n' CodeCatalyst est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [Comment effectuer une migration depuis CodeCatalyst](migration.md).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Identity and Access Management et Amazon CodeCatalyst
Dans Amazon CodeCatalyst, vous créez et utilisez un AWS Builder ID pour vous connecter et accéder à vos espaces et projets. Un AWS Builder ID n'est pas une identité dans Gestion des identités et des accès AWS (IAM) et n'existe pas dans un Compte AWS. Cependant, il CodeCatalyst s'intègre à IAM lors de la vérification d'un espace à des fins de facturation et lorsqu'il est connecté Compte AWS à un espace pour y créer et utiliser des Compte AWS ressources.
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Des administrateurs IAM contrôlent les personnes qui *s'authentifient* (sont connectées) et *sont autorisées* (disposent d'autorisations) à utiliser des ressources . IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
Lorsque vous créez un espace sur Amazon CodeCatalyst, vous devez en connecter un Compte AWS comme compte de facturation pour votre espace. Vous devez disposer des autorisations d'administrateur Compte AWS pour vérifier l' CodeCatalyst espace, ou vous devez avoir l'autorisation. Vous avez également la possibilité d'ajouter un rôle IAM à votre espace, qui CodeCatalyst peut être utilisé pour créer et accéder aux ressources de l'espace connecté Compte AWS. C'est ce qu'on appelle un [rôle de service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Vous pouvez choisir de créer des connexions avec plusieurs comptes Compte AWS et de créer des rôles de service pour CodeCatalyst chacun de ces comptes.
**Note**
La facturation CodeCatalyst a lieu sur le compte Compte AWS désigné comme étant le compte de facturation. Toutefois, si vous créez un rôle de CodeCatalyst service dans ce rôle Compte AWS ou dans tout autre service connecté Compte AWS, les ressources créées et utilisées par le rôle de CodeCatalyst service seront facturées dans ce rôle connecté Compte AWS. Pour plus d'informations, consultez [la section Gestion de la facturation](https://docs.aws.amazon.com/codecatalyst/latest/adminguide/managing-billing.html) dans le manuel Amazon CodeCatalyst Administrator Guide.
**Topics**
+ [Politiques basées sur l'identité dans IAM](#id-based-policies)
+ [Actions politiques dans IAM](#id-based-policies-actions)
+ [Ressources relatives aux politiques dans IAM](#id-based-policies-resources)
+ [Clés de conditions de politique dans IAM](#id-based-policies-conditionkeys)
+ [Exemples de politiques basées sur l'identité pour les connexions CodeCatalyst](#id-based-policy-examples)
+ [Utilisation de balises pour contrôler l'accès aux ressources de connexion au compte](id-based-policy-examples-tags.md)
+ [CodeCatalyst référence aux autorisations](#permissions-reference)
+ [Utilisation de rôles liés à un service pour CodeCatalyst](using-service-linked-roles.md)
+ [AWS politiques gérées pour Amazon CodeCatalyst](security-iam-awsmanpol.md)
+ [Accorder l'accès aux AWS ressources du projet avec des rôles IAM](ipa-iam-roles.md)
## Politiques basées sur l'identité dans IAM
Les politiques basées sur l'identité sont des documents de politique d'autorisation JSON que vous pouvez joindre à une identité. Cette identité peut être un utilisateur, un groupe d'utilisateurs ou un rôle. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Vous ne pouvez pas spécifier le principal dans une politique basée sur une identité, car celle-ci s’applique à l’utilisateur ou au rôle auquel elle est attachée. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l'identité pour CodeCatalyst
Pour consulter des exemples de politiques CodeCatalyst basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour les connexions CodeCatalyst](#id-based-policy-examples)
## Actions politiques dans IAM
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C'est-à-dire quel **principal** peut effectuer quelles **actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Les actions de stratégie portent généralement le même nom que l'opération AWS d'API associée. Il existe quelques exceptions, telles que les *actions avec autorisations uniquement* qui n’ont pas d’opération API correspondante. Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées *actions dépendantes*.
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"prefix:action1",
"prefix:action2"
]
```
## Ressources relatives aux politiques dans IAM
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C'est-à-dire quel **principal** peut effectuer quelles **actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Les instructions doivent inclure un élément `Resource` ou `NotResource`. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination *autorisations de niveau ressource*.
Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
## Clés de conditions de politique dans IAM
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C'est-à-dire quel **principal** peut effectuer quelles **actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` (ou le *bloc* `Condition`) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément `Condition` est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.
Si vous spécifiez plusieurs éléments `Condition` dans une instruction, ou plusieurs clés dans un seul élément `Condition`, AWS les évalue à l’aide d’une opération `AND` logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l’aide d’une opération `OR` logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Pour plus d’informations, consultez [Éléments d’une politique IAM : variables et identifications](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dans le *Guide de l’utilisateur IAM*.
AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour afficher toutes les clés de condition globales AWS , consultez [Clés de contexte de condition globales AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *Guide de l’utilisateur IAM*.
## Exemples de politiques basées sur l'identité pour les connexions CodeCatalyst
Dans CodeCatalyst, Comptes AWS sont nécessaires pour gérer la facturation d'un espace et pour accéder aux ressources dans les flux de travail du projet. Une connexion au compte est utilisée pour autoriser l'ajout Comptes AWS à un espace. Des politiques basées sur l'identité sont utilisées dans le connecté. Comptes AWS
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources CodeCatalyst. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l'API AWS Management Console, AWS Command Line Interface (AWS CLI) ou de AWS l'API. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des actions sur les ressources dont ils ont besoin. L'administrateur doit ensuite attacher ces stratégies aux utilisateurs qui en ont besoin.
Les exemples de politiques IAM suivants accordent des autorisations pour les actions liées aux connexions aux comptes. Utilisez-les pour limiter l'accès à des comptes connectés à CodeCatalyst.
### Exemple 1 : Autoriser un utilisateur à accepter des demandes de connexion en une seule fois Région AWS
La politique d'autorisation suivante permet uniquement aux utilisateurs de consulter et d'accepter les demandes de connexion entre CodeCatalyst et Comptes AWS. En outre, la politique utilise une condition pour autoriser uniquement les actions dans la région us-west-2 et non depuis une autre région. Régions AWS Pour consulter et approuver la demande, l'utilisateur se connecte AWS Management Console avec le même compte que celui spécifié dans la demande.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:GetPendingConnection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
}
]
}
```
------
### Exemple 2 : Autoriser la gestion des connexions dans la console pour un Région AWS
La politique d'autorisation suivante permet aux utilisateurs de gérer les connexions entre CodeCatalyst et Comptes AWS dans une même région. La politique utilise une condition pour autoriser uniquement les actions dans la région us-west-2 et non depuis une autre région. Régions AWS Après avoir créé une connexion, vous pouvez créer le **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle en choisissant l'option dans le AWS Management Console. Dans l'exemple de politique, la condition de l'`iam:PassRole`action inclut les principes de service pour CodeCatalyst. Seuls les rôles dotés de cet accès seront créés dans le AWS Management Console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
### Exemple 3 : Refuser la gestion des connexions
La politique d'autorisation suivante refuse aux utilisateurs toute possibilité de gérer les connexions entre CodeCatalyst et Comptes AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codecatalyst:*"
],
"Resource": "*"
}
]
}
```
------
# Utilisation de balises pour contrôler l'accès aux ressources de connexion au compte
Les balises peuvent être attachées à la ressource ou transmises dans la demande aux services qui prennent en charge le balisage. Les ressources des politiques peuvent comporter des balises, et certaines actions des politiques peuvent inclure des balises. Les clés de condition de balisage incluent les clés `aws:RequestTag` de `aws:ResourceTag` condition et. Lorsque vous créez une stratégie IAM, vous pouvez utiliser des clés de condition de balise pour contrôler les éléments suivants :
+ Quels utilisateurs peuvent effectuer des actions sur une ressource de connexion, en fonction des balises qu'elle possède déjà.
+ quelles balises peuvent être transmises dans une demande d’action ;
+ si des clés de balise spécifiques peuvent être utilisées dans une demande.
Les exemples suivants montrent comment spécifier des conditions de balise dans les politiques relatives aux connexions de CodeCatalyst compte pour les utilisateurs. Pour plus d’informations sur les clés de condition, consultez [Clés de conditions de politique dans IAM](security-iam.md#id-based-policies-conditionkeys).
## Exemple 1 : Autoriser les actions en fonction des balises contenues dans la demande
La politique suivante autorise les utilisateurs à approuver les connexions aux comptes.
Pour ce faire, elle autorise les actions `AcceptConnection` et `TagResource` si la demande spécifie une balise nommée `Project` avec la valeur `ProjectA`. (La clé de condition `aws:RequestTag` est utilisée pour contrôler les balises qui peuvent être transmises dans une demande IAM.) La condition `aws:TagKeys` garantit que la clé de balise est sensible à la casse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
------
## Exemple 2 : Autoriser les actions en fonction des balises de ressources
La politique suivante autorise les utilisateurs à effectuer des actions sur les ressources de connexion au compte et à obtenir des informations sur celles-ci.
Pour ce faire, il autorise des actions spécifiques si la connexion possède une balise nommée `Project` avec la valeur`ProjectA`. (La clé de condition `aws:ResourceTag` est utilisée pour contrôler les balises qui peuvent être transmises dans une demande IAM.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:GetConnection",
"codecatalyst:DeleteConnection",
"codecatalyst:AssociateIamRoleToConnection",
"codecatalyst:DisassociateIamRoleFromConnection",
"codecatalyst:ListIamRolesForConnection",
"codecatalyst:PutBillingAuthorization"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "ProjectA"
}
}
}
]
}
```
------
## CodeCatalyst référence aux autorisations
Cette section fournit une référence d'autorisations pour les actions utilisées avec la ressource de connexion au compte à Comptes AWS laquelle vous êtes connecté CodeCatalyst. La section suivante décrit les actions relatives aux autorisations uniquement liées à la connexion de comptes.
### Autorisations requises pour les connexions aux comptes
Les autorisations suivantes sont requises pour utiliser les connexions aux comptes.
****
| CodeCatalyst autorisations pour les connexions aux comptes | Autorisations requises | Ressources |
| --- | --- | --- |
| AcceptConnection | Nécessaire pour accepter une demande de connexion de ce compte à un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | Prend en charge uniquement un caractère générique (\$1) dans l'élément `Resource` de stratégie. |
| AssociateIamRoleToConnection | Nécessaire pour associer un rôle IAM à une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DeleteConnection | Nécessaire pour supprimer une connexion au compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DisassociateIamRoleFromConnection | Nécessaire pour dissocier un rôle IAM d'une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetBillingAuthorization | Obligatoire pour décrire l'autorisation de facturation pour une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetConnection | Nécessaire pour établir une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetPendingConnection | Nécessaire pour obtenir une demande en attente pour connecter ce compte à un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | Prend en charge uniquement un caractère générique (\$1) dans l'élément `Resource` de stratégie. |
| ListConnections | Obligatoire pour répertorier les connexions aux comptes qui ne sont pas en attente. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | Prend en charge uniquement un caractère générique (\$1) dans l'élément `Resource` de stratégie. |
| ListIamRolesForConnection | Obligatoire pour répertorier les rôles IAM associés à une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| ListTagsForResource | Obligatoire pour répertorier les tags associés à une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| PutBillingAuthorization | Nécessaire pour créer ou mettre à jour l'autorisation de facturation pour une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| RejectConnection | Nécessaire pour rejeter une demande de connexion de ce compte à un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | Prend en charge uniquement un caractère générique (\$1) dans l'élément `Resource` de stratégie. |
| TagResource | Nécessaire pour créer ou modifier des balises associées à une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| UntagResource | Nécessaire pour supprimer les tags associés à une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
### Autorisations requises pour les applications IAM Identity Center
Les autorisations suivantes sont requises pour utiliser les applications IAM Identity Center.
****
| CodeCatalyst autorisations pour les applications IAM Identity Center | Autorisations requises | Ressources |
| --- | --- | --- |
| AssociateIdentityCenterApplicationToSpace | Nécessaire pour associer une application IAM Identity Center à un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| AssociateIdentityToIdentityCenterApplication | Nécessaire pour associer une identité à une application IAM Identity Center pour un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchAssociateIdentitiesToIdentityCenterApplication | Nécessaire pour associer plusieurs identités à une application IAM Identity Center pour un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchDisassociateIdentitiesFromIdentityCenterApplication | Nécessaire pour dissocier plusieurs identités d'une application IAM Identity Center pour un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateIdentityCenterApplication | Nécessaire pour créer une application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateSpaceAdminRoleAssignment | Nécessaire pour créer une attribution de rôle d'administrateur pour un CodeCatalyst espace donné et une application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DeleteIdentityCenterApplication | Nécessaire pour supprimer une application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityCenterApplicationFromSpace | Nécessaire pour dissocier une application IAM Identity Center d'un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityFromIdentityCenterApplication | Nécessaire pour dissocier une identité d'une application IAM Identity Center pour un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| GetIdentityCenterApplication | Nécessaire pour obtenir des informations sur une application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListIdentityCenterApplications | Nécessaire pour consulter la liste de toutes les applications IAM Identity Center du compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | Prend en charge uniquement un caractère générique (\$1) dans l'élément `Resource` de stratégie. |
| ListIdentityCenterApplicationsForSpace | Nécessaire pour afficher la liste des applications IAM Identity Center par CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListSpacesForIdentityCenterApplication | Nécessaire pour afficher la liste des CodeCatalyst espaces par application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| SynchronizeIdentityCenterApplication | Nécessaire pour synchroniser une application IAM Identity Center avec le magasin d'identités sous-jacent. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| UpdateIdentityCenterApplication | Nécessaire pour mettre à jour une application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
# Utilisation de rôles liés à un service pour CodeCatalyst
Amazon CodeCatalyst utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. CodeCatalyst Les rôles liés au service sont prédéfinis par CodeCatalyst et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration CodeCatalyst car vous n'avez pas à ajouter manuellement les autorisations nécessaires. CodeCatalyst définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul CodeCatalyst peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos CodeCatalyst ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
## Autorisations de rôle liées à un service pour CodeCatalyst
CodeCatalyst utilise le rôle lié au service nommé **AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**— Autorise Amazon à accéder en CodeCatalyst lecture seule aux profils d'instance d'application et aux utilisateurs et groupes de l'annuaire associés en votre nom.
Le rôle lié à un service AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization approuve les services suivants pour endosser le rôle :
+ `codecatalyst.amazonaws.com`
La politique d'autorisations de rôle nommée AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy CodeCatalyst permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `View application instance profiles and associated directory users and groups` pour `CodeCatalyst spaces that support identity federation and SSO users and groups`
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour CodeCatalyst
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un espace dans le AWS Management Console, le ou l' AWS API AWS CLI, vous CodeCatalyst créez le rôle lié au service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. De plus, si vous utilisiez le CodeCatalyst service avant le 17 novembre 2023, date à laquelle il a commencé à prendre en charge les rôles liés au service, vous avez CodeCatalyst créé le AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization rôle dans votre compte. Pour en savoir plus, voir [Un nouveau rôle est apparu dans mon Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un espace, il CodeCatalyst crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le cas d'utilisation des **profils d'instance d'application View et des utilisateurs et groupes d'annuaires associés**. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `codecatalyst.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Modification d'un rôle lié à un service pour CodeCatalyst
CodeCatalyst ne vous permet pas de modifier le rôle AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour CodeCatalyst
Vous n’avez pas besoin de supprimer manuellement le rôle AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization. Lorsque vous supprimez un espace dans l'API AWS Management Console, le AWS CLI ou l' AWS API, les ressources CodeCatalyst sont nettoyées et le rôle lié au service est supprimé pour vous.
Vous pouvez également utiliser la console IAM AWS CLI ou l' AWS API pour supprimer manuellement le rôle lié à un service. Pour ce faire, vous devez commencer par nettoyer les ressources de votre rôle lié à un service. Vous pouvez ensuite supprimer ce rôle manuellement.
**Note**
Si le CodeCatalyst service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer CodeCatalyst les ressources utilisées par AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**
+ [Supprimez l'espace](https://docs.aws.amazon.com/codecatalyst/latest/userguide/spaces-delete.htm).
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles CodeCatalyst liés à un service
CodeCatalyst prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html).
CodeCatalyst ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le rôle AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization dans les régions suivantes :
****
| Nom de la région | Identité de la région | Support dans CodeCatalyst |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Non |
| USA Est (Ohio) | us-east-2 | Non |
| USA Ouest (Californie du Nord) | us-west-1 | Non |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Afrique (Le Cap) | af-south-1 | Non |
| Asie-Pacifique (Hong Kong) | ap-east-1 | Non |
| Asie-Pacifique (Jakarta) | ap-southeast-3 | Non |
| Asie-Pacifique (Mumbai) | ap-south-1 | Non |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Non |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Non |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Non |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Non |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Non |
| Canada (Centre) | ca-central-1 | Non |
| Europe (Francfort) | eu-central-1 | Non |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Non |
| Europe (Milan) | eu-south-1 | Non |
| Europe (Paris) | eu-west-3 | Non |
| Europe (Stockholm) | eu-north-1 | Non |
| Moyen-Orient (Bahreïn) | me-south-1 | Non |
| Moyen-Orient (EAU) | me-central-1 | Non |
| Amérique du Sud (São Paulo) | sa-east-1 | Non |
| AWS GovCloud (USA Est) | us-gov-east-1 | Non |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | Non |
# AWS politiques gérées pour Amazon CodeCatalyst
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AmazonCodeCatalystSupportAccess
Il s'agit d'une politique qui autorise tous les administrateurs de l'espace et les membres de l'espace à utiliser le plan de support Premium Business ou Enterprise associé au compte de facturation de l'espace. Ces autorisations permettent aux administrateurs de l'espace et aux membres d'utiliser le plan d'assistance premium pour les ressources auxquelles ils sont autorisés dans le cadre des politiques d' CodeCatalyst autorisation.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `support`— Accorde des autorisations permettant aux utilisateurs de rechercher, de créer et de résoudre des demandes de AWS support. Accorde également des autorisations pour décrire les communications, les niveaux de gravité, les pièces jointes et les détails du dossier d'assistance associés.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeAttachment",
"support:DescribeCaseAttributes",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeIssueTypes",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:DescribeSupportLevel",
"support:SearchForCases",
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:InitiateCallForCase",
"support:InitiateChatForCase",
"support:PutCaseAttributes",
"support:RateCaseCommunication",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonCodeCatalystFullAccess
Il s'agit d'une politique qui accorde des autorisations pour gérer votre CodeCatalyst espace et les comptes connectés sur la page Amazon CodeCatalyst Spaces du AWS Management Console. Cette application est utilisée pour configurer Comptes AWS ceux qui sont connectés à votre espace dans CodeCatalyst.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `codecatalyst`— Accorde des autorisations complètes à la page Amazon CodeCatalyst Spaces dans le AWS Management Console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeCatalystResourceAccess",
"Effect": "Allow",
"Action": [
"codecatalyst:*",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "CodeCatalystAssociateIAMRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politique gérée : AmazonCodeCatalystReadOnlyAccess
Il s'agit d'une politique qui accorde l'autorisation de consulter et de répertorier les informations relatives aux espaces et aux comptes connectés sur la page Amazon CodeCatalyst Spaces du AWS Management Console. Cette application est utilisée pour configurer Comptes AWS ceux qui sont connectés à votre espace dans CodeCatalyst.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `codecatalyst`— Accorde des autorisations en lecture seule à la page Amazon CodeCatalyst Spaces dans le. AWS Management Console
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:Get*",
"codecatalyst:List*"
],
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy
Vous ne pouvez pas attacher AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy ; à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet d' CodeCatalyst effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour CodeCatalyst](using-service-linked-roles.md).
Cette politique permet aux clients de consulter les profils des instances d'application ainsi que les utilisateurs et groupes de répertoires associés lors de la gestion des espaces dans CodeCatalyst. Les clients consulteront ces ressources lorsqu'ils géreront des espaces prenant en charge la fédération d'identités et les utilisateurs et groupes SSO.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `sso`— Accorde des autorisations permettant aux utilisateurs de consulter les profils d'instances d'applications gérés dans IAM Identity Center pour les espaces associés dans CodeCatalyst.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:ListApplications",
"sso:ListApplicationAssignments",
"sso:DescribeInstance",
"sso:DescribeApplication"
],
"Resource": "*"
}
]
}
```
------
## CodeCatalyst mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées CodeCatalyst depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page [Historique du CodeCatalyst document](doc-history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| [AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy](#security-iam-awsmanpol-AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy) : nouvelle politique | CodeCatalyst a ajouté la politique. Accorde des autorisations permettant aux CodeCatalyst utilisateurs de consulter les profils des instances d'applications ainsi que les utilisateurs et groupes d'annuaires associés. | 17 novembre 2023 |
| [AmazonCodeCatalystSupportAccess](#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess) : nouvelle politique | CodeCatalyst a ajouté la politique. Accorde des autorisations permettant aux CodeCatalyst utilisateurs de rechercher, de créer et de résoudre des demandes d'assistance, ainsi que de consulter les communications et les détails connexes. | 20 avril 2023 |
| [AmazonCodeCatalystFullAccess](#security-iam-awsmanpol-AmazonCodeCatalystFullAccess) : nouvelle politique | CodeCatalyst a ajouté la politique. Accorde un accès complet à CodeCatalyst. | 20 avril 2023 |
| [AmazonCodeCatalystReadOnlyAccess](#security-iam-awsmanpol-AmazonCodeCatalystReadOnlyAccess) : nouvelle politique | CodeCatalyst a ajouté la politique. Accorde un accès en lecture seule à. CodeCatalyst | 20 avril 2023 |
| CodeCatalyst a commencé à suivre les modifications | CodeCatalyst a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 20 avril 2023 |
# Accorder l'accès aux AWS ressources du projet avec des rôles IAM
CodeCatalyst pouvez accéder aux AWS ressources en vous connectant Compte AWS à un CodeCatalyst espace. Vous pouvez ensuite créer les rôles de service suivants et les associer lorsque vous connectez votre compte.
Pour plus d'informations sur les éléments que vous utilisez dans une politique JSON, consultez la [référence des éléments de stratégie JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le guide de l'*utilisateur IAM*.
+ Pour accéder aux ressources dans et Compte AWS pour vos CodeCatalyst projets et flux de travail, vous devez d'abord autoriser l'accès CodeCatalyst à ces ressources en votre nom. Pour ce faire, vous devez créer un rôle de service dans un connecté Compte AWS qui CodeCatalyst peut assumer la responsabilité des utilisateurs et des projets de l'espace. Vous pouvez soit choisir de créer et d'utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service, soit créer des rôles de service personnalisés et configurer ces politiques et rôles IAM manuellement. Il est recommandé d'attribuer à ces rôles le moins d'autorisations nécessaires.
**Note**
Pour les rôles de service personnalisés, le principal CodeCatalyst de service est requis. Pour plus d'informations sur le principal CodeCatalyst de service et le modèle de confiance, consultez[Comprendre le modèle de CodeCatalyst confiance](trust-model.md).
+ Pour gérer le support d'un espace via le connected Compte AWS, vous pouvez choisir de créer et d'utiliser le rôle de **AWSRoleForCodeCatalystSupport**service qui permet aux CodeCatalyst utilisateurs d'accéder au support. Pour plus d'informations sur la prise en charge d'un CodeCatalyst espace, consultez[Support pour Amazon CodeCatalyst](support.md).
## Comprendre le rôle **CodeCatalystWorkflowDevelopmentRole-*spaceName***du service
Vous pouvez ajouter un rôle IAM à votre espace qui CodeCatalyst peut être utilisé pour créer des ressources et y accéder dans un espace connecté Compte AWS. C'est ce qu'on appelle un [rôle de service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Le moyen le plus simple de créer un rôle de service consiste à en ajouter un lorsque vous créez l'espace et à choisir l'**CodeCatalystWorkflowDevelopmentRole-*spaceName***option correspondant à ce rôle. Cela crée non seulement le rôle de service avec les `AdministratorAccess` éléments attachés, mais également la politique de confiance qui permet CodeCatalyst d'assumer le rôle au nom des utilisateurs dans les projets de l'espace. Le rôle de service est limité à l'espace, et non à des projets individuels. Pour créer ce rôle, consultez [Création du **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle pour votre compte et votre espace](#ipa-iam-roles-service-create). Vous ne pouvez créer qu'un seul rôle pour chaque espace de chaque compte.
**Note**
Ce rôle est uniquement recommandé pour les comptes de développement et utilise la politique `AdministratorAccess` AWS gérée, ce qui lui donne un accès complet pour créer de nouvelles politiques et ressources dans ce cadre Compte AWS.
La politique associée au **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle est conçue pour fonctionner avec des projets créés avec des plans dans l'espace. Il permet aux utilisateurs de ces projets de développer, de créer, de tester et de déployer du code en utilisant les ressources du Connected Compte AWS. Pour plus d'informations, consultez [la section Création d'un rôle pour un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
La politique attachée au **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle est la stratégie `AdministratorAccess` gérée dans AWS. Il s'agit d'une politique qui accorde un accès complet à toutes les AWS actions et ressources. Pour consulter le document de politique JSON dans la console IAM, consultez [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess).
La politique de confiance suivante permet CodeCatalyst d'assumer le **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle. Pour plus d'informations sur le modèle de CodeCatalyst confiance, consultez[Comprendre le modèle de CodeCatalyst confiance](trust-model.md).
```
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst-runner.amazonaws.com",
"codecatalyst.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
}
}
}
]
```
## Création du **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle pour votre compte et votre espace
Suivez ces étapes pour créer le `CodeCatalystWorkflowDevelopmentRole-spaceName` rôle qui sera utilisé pour les flux de travail de votre espace. Pour chaque compte pour lequel vous souhaitez attribuer des rôles IAM à utiliser dans des projets, vous devez ajouter à votre espace un rôle tel que le rôle de développeur.
Avant de commencer, vous devez disposer de privilèges administratifs pour votre administrateur Compte AWS ou être en mesure de travailler avec celui-ci. Pour plus d'informations sur la manière dont Comptes AWS les rôles IAM et IAM sont utilisés dans CodeCatalyst, consultez[Permettre l'accès aux AWS ressources avec Connected Comptes AWS](ipa-connect-account.md).
**Pour créer et ajouter CodeCatalyst **CodeCatalystWorkflowDevelopmentRole-*spaceName*****
1. Avant de commencer dans la CodeCatalyst console, ouvrez le AWS Management Console, puis assurez-vous que vous êtes connecté avec le même identifiant Compte AWS pour votre espace.
1. Ouvrez la CodeCatalyst console à l'[adresse https://codecatalyst.aws/](https://codecatalyst.aws/).
1. Accédez à votre CodeCatalyst espace. Choisissez **Settings (Paramètres)**, puis **Comptes AWS**.
1. Choisissez le lien correspondant à l' Compte AWS endroit où vous souhaitez créer le rôle. La page **Compte AWS de détails** s'affiche.
1. Choisissez **Gérer les rôles à partir de AWS Management Console**.
La page **Ajouter un rôle IAM à Amazon CodeCatalyst Space** s'ouvre dans le AWS Management Console. Voici la page **Amazon CodeCatalyst Spaces**. Il se peut que vous deviez vous connecter pour accéder à la page.
1. Choisissez **Créer un rôle d'administrateur de CodeCatalyst développement dans IAM**. Cette option crée un rôle de service qui contient la politique d'autorisation et la politique de confiance pour le rôle de développement. Le rôle aura un nom`CodeCatalystWorkflowDevelopmentRole-spaceName`. Pour plus d'informations sur le rôle et la politique de rôle, consultez[Comprendre le rôle **CodeCatalystWorkflowDevelopmentRole-*spaceName***du service](#ipa-iam-roles-service-role).
**Note**
Ce rôle est uniquement recommandé pour les comptes de développeur et utilise la politique `AdministratorAccess` AWS gérée, ce qui lui donne un accès complet pour créer de nouvelles politiques et ressources dans ce cadre Compte AWS.
1. Choisissez **Créer un rôle de développement**.
1. Sur la page des connexions, sous **Rôles IAM disponibles pour CodeCatalyst**, consultez le `CodeCatalystWorkflowDevelopmentRole-spaceName` rôle dans la liste des rôles IAM ajoutés à votre compte.
1. Pour retourner dans votre espace, choisissez **Go to Amazon CodeCatalyst**.
## Comprendre le rôle **AWSRoleForCodeCatalystSupport**du service
Vous pouvez ajouter un rôle IAM à votre espace que CodeCatalyst les utilisateurs d'un espace peuvent utiliser pour créer des dossiers d'assistance et y accéder. C'est ce qu'on appelle un [rôle de service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) pour le support. Le moyen le plus simple de créer un rôle de service pour le support est d'en ajouter un lorsque vous créez l'espace et de choisir l'`AWSRoleForCodeCatalystSupport`option pour ce rôle. Cela crée non seulement la politique et le rôle, mais également la politique de confiance qui permet d' CodeCatalyst assumer le rôle au nom des utilisateurs dans les projets de l'espace. Le rôle de service est limité à l'espace, et non à des projets individuels. Pour créer ce rôle, consultez [Création du **AWSRoleForCodeCatalystSupport**rôle pour votre compte et votre espace](#ipa-iam-roles-support-create).
La politique attachée au `AWSRoleForCodeCatalystSupport` rôle est une politique gérée qui donne accès aux autorisations de support. Pour de plus amples informations, veuillez consulter [AWS politique gérée : AmazonCodeCatalystSupportAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess).
Le rôle de confiance de la politique permet CodeCatalyst d'assumer le rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Création du **AWSRoleForCodeCatalystSupport**rôle pour votre compte et votre espace
Suivez ces étapes pour créer le `AWSRoleForCodeCatalystSupport` rôle qui sera utilisé pour les demandes d'assistance dans votre espace. Le rôle doit être ajouté au compte de facturation désigné pour l'espace.
Avant de commencer, vous devez disposer de privilèges administratifs pour votre administrateur Compte AWS ou être en mesure de travailler avec celui-ci. Pour plus d'informations sur la manière dont Comptes AWS les rôles IAM et IAM sont utilisés dans CodeCatalyst, consultez[Permettre l'accès aux AWS ressources avec Connected Comptes AWS](ipa-connect-account.md).
**Pour créer et ajouter CodeCatalyst **AWSRoleForCodeCatalystSupport****
1. Avant de commencer dans la CodeCatalyst console, ouvrez le AWS Management Console, puis assurez-vous que vous êtes connecté avec le même identifiant Compte AWS pour votre espace.
1. Accédez à votre CodeCatalyst espace. Choisissez **Settings (Paramètres)**, puis **Comptes AWS**.
1. Choisissez le lien correspondant à l' Compte AWS endroit où vous souhaitez créer le rôle. La page **Compte AWS de détails** s'affiche.
1. Choisissez **Gérer les rôles à partir de AWS Management Console**.
La page **Ajouter un rôle IAM à Amazon CodeCatalyst Space** s'ouvre dans le AWS Management Console. Voici la page **Amazon CodeCatalyst Spaces**. Il se peut que vous deviez vous connecter pour accéder à la page.
1. Sous **Détails de CodeCatalyst l'espace**, choisissez **Ajouter un rôle de CodeCatalyst support**. Cette option crée un rôle de service qui contient la politique d'autorisation et la politique de confiance pour le rôle de développement préliminaire. Le rôle portera un nom **AWSRoleForCodeCatalystSupport**avec un identifiant unique ajouté. Pour plus d'informations sur le rôle et la politique de rôle, consultez[Comprendre le rôle **AWSRoleForCodeCatalystSupport**du service](#ipa-iam-roles-support-role).
1. Sur la page **Ajouter un rôle pour le CodeCatalyst support**, laissez la valeur par défaut sélectionnée, puis choisissez **Créer un rôle**.
1. Sous **Rôles IAM disponibles pour CodeCatalyst**, consultez le `CodeCatalystWorkflowDevelopmentRole-spaceName` rôle dans la liste des rôles IAM ajoutés à votre compte.
1. Pour retourner dans votre espace, choisissez **Go to Amazon CodeCatalyst**.
## Configuration des rôles IAM pour les actions de flux de travail dans CodeCatalyst
Cette section décrit les rôles et les politiques IAM que vous pouvez créer pour les utiliser avec votre CodeCatalyst compte. Pour obtenir des instructions sur la création d'exemples de rôles, consultez[Création manuelle de rôles pour les actions de flux de travail](#ipa-iam-roles-actions). Après avoir créé votre rôle IAM, copiez l'ARN du rôle pour ajouter le rôle IAM à la connexion de votre compte et associez-le à l'environnement de votre projet. Pour en savoir plus, veuillez consulter la section [Ajout de rôles IAM à des connexions de compte](ipa-connect-account-addroles.md).
### CodeCatalyst rôle de construction pour l'accès à Amazon S3
Pour les actions de création de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM nommé **CodeCatalystBuildRoleforS3Access**. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les CloudFormation ressources de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Écrivez dans des compartiments Amazon S3.
+ Support à la création de ressources avec CloudFormation. Cela nécessite un accès à Amazon S3.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst créer un rôle pour CloudFormation
Pour les actions de création de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les CloudFormation ressources de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Support à la création de ressources avec CloudFormation. Cela est requis, de même que le rôle de CodeCatalyst création pour l'accès à Amazon S3 et le rôle de CodeCatalyst déploiement pour CloudFormation.
Les politiques AWS gérées suivantes doivent être associées à ce rôle :
+ **AWSCloudFormationFullAccess**
+ **IAMFullAccès**
+ **Amazon S3 FullAccess**
+ **APIGatewayAdministrateur Amazon**
+ **AWSLambdaFullAccess**
### CodeCatalyst rôle de construction pour CDK
Pour les CodeCatalyst flux de travail qui exécutent des actions de génération du CDK, tels que les applications Web modernes à trois niveaux, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit démarrer et exécuter les commandes de génération du CDK pour les CloudFormation ressources de votre. Compte AWS
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Écrivez dans des compartiments Amazon S3.
+ Support à la création de structures CDK et de piles de CloudFormation ressources. Cela nécessite l'accès à Amazon S3 pour le stockage des artefacts, à Amazon ECR pour le support des référentiels d'images et à SSM pour la gouvernance et la surveillance du système pour les instances virtuelles.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour CloudFormation
Pour les actions de déploiement de CodeCatalyst flux de travail qui utilisent CloudFormation, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou vous pouvez utiliser une politique avec des autorisations étendues qui CodeCatalyst doit exécuter des tâches sur les CloudFormation ressources de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Permet CodeCatalyst d'invoquer une fonction λ pour effectuer blue/green le déploiement CloudFormation.
+ Permet de CodeCatalyst créer et de mettre à jour des piles et des ensembles de modifications dans. CloudFormation
Ce rôle utilise la politique suivante :
```
{"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:Describe*",
"cloudformation:UpdateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:SetStackPolicy",
"cloudformation:ValidateTemplate",
"cloudformation:List*",
"iam:PassRole"
],
"Resource": "resource_ARN",
"Effect": "Allow"
}
```
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour Amazon EC2
CodeCatalyst les actions de déploiement du flux de travail utilisent un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon EC2 de votre. Compte AWS La politique par défaut pour le **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle n'inclut pas les autorisations pour Amazon EC2 ou Amazon EC2 Auto Scaling.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Créez des déploiements Amazon EC2.
+ Lisez les balises d'une instance ou identifiez une instance Amazon EC2 à l'aide des noms de groupes Auto Scaling.
+ Lisez, créez, mettez à jour et supprimez les groupes Amazon EC2 Auto Scaling, les hooks de cycle de vie et les politiques de dimensionnement.
+ Publiez des informations dans les rubriques Amazon SNS.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Lisez et mettez à jour Elastic Load Balancing.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour Amazon ECS
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM pour les actions de déploiement à utiliser pour les CodeCatalyst déploiements Lambda. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon ECS de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lancez le déploiement progressif d'Amazon ECS pour le compte d'un CodeCatalyst utilisateur, sur un compte spécifié dans la CodeCatalyst connexion.
+ Lisez, mettez à jour et supprimez des ensembles de tâches Amazon ECS.
+ Mettez à jour les groupes cibles, les auditeurs et les règles d'Elastic Load Balancing.
+ Appelez les fonctions Lambda.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Publiez des informations dans les rubriques Amazon SNS.
Ce rôle utilise la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action":[
"ecs:DescribeServices",
"ecs:CreateTaskSet",
"ecs:DeleteTaskSet",
"ecs:ListClusters",
"ecs:RegisterTaskDefinition",
"ecs:UpdateServicePrimaryTaskSet",
"ecs:UpdateService",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:ModifyRule",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"cloudwatch:DescribeAlarms",
"sns:Publish",
"sns:ListTopics",
"s3:GetObject",
"s3:GetObjectVersion",
"codedeploy:CreateApplication",
"codedeploy:CreateDeployment",
"codedeploy:CreateDeploymentGroup",
"codedeploy:GetApplication",
"codedeploy:GetDeployment",
"codedeploy:GetDeploymentGroup",
"codedeploy:ListApplications",
"codedeploy:ListDeploymentGroups",
"codedeploy:ListDeployments",
"codedeploy:StopDeployment",
"codedeploy:GetDeploymentTarget",
"codedeploy:ListDeploymentTargets",
"codedeploy:GetDeploymentConfig",
"codedeploy:GetApplicationRevision",
"codedeploy:RegisterApplicationRevision",
"codedeploy:BatchGetApplicationRevisions",
"codedeploy:BatchGetDeploymentGroups",
"codedeploy:BatchGetDeployments",
"codedeploy:BatchGetApplications",
"codedeploy:ListApplicationRevisions",
"codedeploy:ListDeploymentConfigs",
"codedeploy:ContinueDeployment"
],
"Resource":"*",
"Effect":"Allow"
},{"Action":[
"iam:PassRole"
],
"Effect":"Allow",
"Resource":"*",
"Condition":{"StringLike":{"iam:PassedToService":[
"ecs-tasks.amazonaws.com",
"codedeploy.amazonaws.com"
]
}
}
}]
}
```
------
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour Lambda
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM pour les actions de déploiement à utiliser pour les CodeCatalyst déploiements Lambda. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lisez, mettez à jour et invoquez des fonctions et des alias Lambda.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les alarmes liées CloudWatch aux événements.
+ Publiez des informations dans les rubriques Amazon SNS.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour Lambda
Pour les actions de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lisez, mettez à jour et invoquez des fonctions et des alias Lambda.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Publiez des informations dans les rubriques Amazon SNS.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour AWS SAM
Pour les actions de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches AWS SAM et CloudFormation des ressources sur votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Permet CodeCatalyst d'invoquer une fonction Lambda pour effectuer le déploiement d'applications sans serveur et d'applications CLI AWS SAM .
+ Permet de CodeCatalyst créer et de mettre à jour des piles et des ensembles de modifications dans. CloudFormation
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle en lecture seule pour Amazon EC2
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon EC2 de votre. Compte AWS Le rôle **CodeCatalystWorkflowDevelopmentRole-*spaceName***de service n'inclut pas les autorisations pour Amazon EC2 ni les actions décrites pour Amazon. CloudWatch
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Obtenez le statut des instances Amazon EC2.
+ Obtenez CloudWatch des statistiques pour les instances Amazon EC2.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle en lecture seule pour Amazon ECS
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon ECS de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lisez les ensembles de tâches Amazon ECS.
+ Récupérez des informations sur les CloudWatch alarmes.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle en lecture seule pour Lambda
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS
Ce rôle donne des autorisations pour ce qui suit :
+ Lisez les fonctions Lambda et les alias.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.
Le rôle utilise la stratégie suivante.
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
## Création manuelle de rôles pour les actions de flux de travail
CodeCatalyst les actions de flux de travail utilisent les rôles IAM que vous créez, appelés **rôle de construction**, **rôle de déploiement** et **rôle de pile**.
Suivez ces étapes pour créer ces rôles dans IAM.
**Pour créer un rôle de déploiement**
1. Créez une politique pour le rôle, comme suit :
1. Connectez-vous à AWS.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Supprimez le code existant.
1. Collez le code suivant :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom**, entrez :
```
codecatalyst-deploy-policy
```
1. Choisissez **Create Policy** (Créer une politique).
Vous venez de créer une politique d'autorisation.
1. Créez le rôle de déploiement comme suit :
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée**.
1. Supprimez la politique de confiance personnalisée existante.
1. Ajoutez la politique de confiance personnalisée suivante :
1. Choisissez **Suivant**.
1. Dans **Politiques d'autorisations**, recherchez `codecatalyst-deploy-policy` et cochez la case correspondante.
1. Choisissez **Suivant**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-deploy-role
```
1. Pour la **description du rôle**, entrez :
```
CodeCatalyst deploy role
```
1. Choisissez **Créer un rôle**.
Vous venez de créer un rôle de déploiement avec une politique de confiance et une politique d'autorisations.
1. Obtenez l'ARN du rôle de déploiement, comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-deploy-role`).
1. Choisissez le rôle dans la liste.
La page **Résumé** du rôle apparaît.
1. En haut, copiez la valeur de l'**ARN**.
Vous avez maintenant créé le rôle de déploiement avec les autorisations appropriées et obtenu son ARN.
**Pour créer un rôle de build**
1. Créez une politique pour le rôle, comme suit :
1. Connectez-vous à AWS.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Supprimez le code existant.
1. Collez le code suivant :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom**, entrez :
```
codecatalyst-build-policy
```
1. Choisissez **Create Policy** (Créer une politique).
Vous venez de créer une politique d'autorisation.
1. Créez le rôle de build, comme suit :
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée**.
1. Supprimez la politique de confiance personnalisée existante.
1. Ajoutez la politique de confiance personnalisée suivante :
1. Choisissez **Suivant**.
1. Dans **Politiques d'autorisations**, recherchez `codecatalyst-build-policy` et cochez la case correspondante.
1. Choisissez **Suivant**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-build-role
```
1. Pour la **description du rôle**, entrez :
```
CodeCatalyst build role
```
1. Choisissez **Créer un rôle**.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
1. Obtenez l'ARN du rôle de build, comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-build-role`).
1. Choisissez le rôle dans la liste.
La page **Résumé** du rôle apparaît.
1. En haut, copiez la valeur de l'**ARN**.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.
**Pour créer un rôle de pile**
**Note**
Il n'est pas nécessaire de créer un rôle de pile, bien que cela soit recommandé pour des raisons de sécurité. Si vous ne créez pas le rôle de pile, vous devrez ajouter les politiques d'autorisation décrites plus loin dans cette procédure au rôle de déploiement.
1. Connectez-vous à AWS l'aide du compte sur lequel vous souhaitez déployer votre stack.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, sélectionnez **Rôles**, puis sélectionnez **Créer un rôle**.
1. En haut de la page, sélectionnez le **AWS service**.
1. Dans la liste des services, sélectionnez **CloudFormation**.
1. Choisissez **Suivant : Autorisations**.
1. Dans le champ de recherche, ajoutez les politiques nécessaires pour accéder aux ressources de votre pile. Par exemple, si votre pile inclut une AWS Lambda fonction, vous devez ajouter une politique qui accorde l'accès à Lambda.
**Astuce**
Si vous ne savez pas quelles politiques ajouter, vous pouvez les omettre pour le moment. Lorsque vous testez l'action, si vous ne disposez pas des autorisations appropriées CloudFormation , des erreurs indiquent les autorisations que vous devez ajouter.
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-stack-role
```
1. Choisissez **Créer un rôle**.
1. Pour obtenir l'ARN du rôle de pile, procédez comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-stack-role`).
1. Choisissez le rôle dans la liste.
1. Sur la page **Résumé**, copiez la valeur **ARN du rôle**.
## Utilisation AWS CloudFormation pour créer des politiques et des rôles dans IAM
Vous pouvez choisir de créer et d'utiliser des AWS CloudFormation modèles pour créer les politiques et les rôles dont vous avez besoin pour accéder aux ressources dans et Compte AWS pour vos CodeCatalyst projets et flux de travail. CloudFormation est un service qui vous aide à modéliser et à configurer vos AWS ressources afin que vous puissiez passer moins de temps à gérer ces ressources et plus de temps à vous concentrer sur les applications qui s'exécutent sur AWS. Si vous avez l'intention de créer plusieurs rôles Comptes AWS, la création d'un modèle peut vous aider à effectuer cette tâche plus rapidement.
L'exemple de modèle suivant crée un rôle et une politique d'action de déploiement.
```
Parameters:
CodeCatalystAccountId:
Type: String
Description: Account ID from the connections page
ExternalId:
Type: String
Description: External ID from the connections page
Resources:
CrossAccountRole:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref CodeCatalystAccountId
Action:
- 'sts:AssumeRole'
Condition:
StringEquals:
sts:ExternalId: !Ref ExternalId
Path: /
Policies:
- PolicyName: CodeCatalyst-CloudFormation-action-policy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- 'cloudformation:CreateStack'
- 'cloudformation:DeleteStack'
- 'cloudformation:Describe*'
- 'cloudformation:UpdateStack'
- 'cloudformation:CreateChangeSet'
- 'cloudformation:DeleteChangeSet'
- 'cloudformation:ExecuteChangeSet'
- 'cloudformation:SetStackPolicy'
- 'cloudformation:ValidateTemplate'
- 'cloudformation:List*'
- 'iam:PassRole'
Resource: '*'
```
## Création manuelle du rôle pour le plan de l'application Web
**Le plan d'application CodeCatalyst Web utilise les rôles IAM que vous créez, appelés **rôle de construction pour CDK**, rôle de **déploiement et rôle** de pile.**
Procédez comme suit pour créer le rôle dans IAM.
**Pour créer un rôle de build**
1. Créez une politique pour le rôle, comme suit :
1. Connectez-vous à AWS.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Supprimez le code existant.
1. Collez le code suivant :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom**, entrez :
```
codecatalyst-webapp-build-policy
```
1. Choisissez **Create Policy** (Créer une politique).
Vous venez de créer une politique d'autorisation.
1. Créez le rôle de build, comme suit :
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée**.
1. Supprimez la politique de confiance personnalisée existante.
1. Ajoutez la politique de confiance personnalisée suivante :
1. Choisissez **Suivant**.
1. Associez la politique d'autorisations au rôle de build. Sur la page **Ajouter des autorisations**, dans la section **Politiques d'autorisations**, recherchez `codecatalyst-webapp-build-policy` et cochez la case correspondante.
1. Choisissez **Suivant**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-webapp-build-role
```
1. Pour la **description du rôle**, entrez :
```
CodeCatalyst Web app build role
```
1. Choisissez **Créer un rôle**.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
1. Associez la politique d'autorisations au rôle de build, comme suit :
1. Dans le volet de navigation, choisissez **Rôles**, puis recherchez`codecatalyst-webapp-build-role`. ``
1. Choisissez `codecatalyst-webapp-build-role` d'en afficher les détails. ``
1. Dans l'onglet **Autorisations**, choisissez **Ajouter des autorisations**, puis choisissez **Joindre des politiques**.
1. Recherchez`codecatalyst-webapp-build-policy`, cochez sa case, puis choisissez **Joindre des politiques**.
Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.
1. Obtenez l'ARN du rôle de build, comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-webapp-build-role`).
1. Choisissez le rôle dans la liste.
La page **Résumé** du rôle apparaît.
1. En haut, copiez la valeur de l'**ARN**.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.
## Création manuelle de rôles pour le plan SAM
Le plan CodeCatalyst SAM utilise les rôles IAM que vous créez, appelés rôle de création CloudFormation et **rôle** de **déploiement pour** SAM.
Suivez ces étapes pour créer les rôles dans IAM.
**Pour créer un rôle de build pour CloudFormation**
1. Créez une politique pour le rôle, comme suit :
1. Connectez-vous à AWS.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Supprimez le code existant.
1. Collez le code suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*",
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom**, entrez :
```
codecatalyst-SAM-build-policy
```
1. Choisissez **Create Policy** (Créer une politique).
Vous venez de créer une politique d'autorisation.
1. Créez le rôle de build, comme suit :
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée**.
1. Supprimez la politique de confiance personnalisée existante.
1. Ajoutez la politique de confiance personnalisée suivante :
1. Choisissez **Suivant**.
1. Associez la politique d'autorisations au rôle de build. Sur la page **Ajouter des autorisations**, dans la section **Politiques d'autorisations**, recherchez `codecatalyst-SAM-build-policy` et cochez la case correspondante.
1. Choisissez **Suivant**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-SAM-build-role
```
1. Pour la **description du rôle**, entrez :
```
CodeCatalyst SAM build role
```
1. Choisissez **Créer un rôle**.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
1. Associez la politique d'autorisations au rôle de build, comme suit :
1. Dans le volet de navigation, choisissez **Rôles**, puis recherchez`codecatalyst-SAM-build-role`. ``
1. Choisissez `codecatalyst-SAM-build-role` d'en afficher les détails. ``
1. Dans l'onglet **Autorisations**, choisissez **Ajouter des autorisations**, puis choisissez **Joindre des politiques**.
1. Recherchez`codecatalyst-SAM-build-policy`, cochez sa case, puis choisissez **Joindre des politiques**.
Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.
1. Obtenez l'ARN du rôle de build, comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-SAM-build-role`).
1. Choisissez le rôle dans la liste.
La page **Résumé** du rôle apparaît.
1. En haut, copiez la valeur de l'**ARN**.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.
**Pour créer un rôle de déploiement pour SAM**
1. Créez une politique pour le rôle, comme suit :
1. Connectez-vous à AWS.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Supprimez le code existant.
1. Collez le code suivant :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom**, entrez :
```
codecatalyst-SAM-deploy-policy
```
1. Choisissez **Create Policy** (Créer une politique).
Vous venez de créer une politique d'autorisation.
1. Créez le rôle de build, comme suit :
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée**.
1. Supprimez la politique de confiance personnalisée existante.
1. Ajoutez la politique de confiance personnalisée suivante :
1. Choisissez **Suivant**.
1. Associez la politique d'autorisations au rôle de build. Sur la page **Ajouter des autorisations**, dans la section **Politiques d'autorisations**, recherchez `codecatalyst-SAM-deploy-policy` et cochez la case correspondante.
1. Choisissez **Suivant**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-SAM-deploy-role
```
1. Pour la **description du rôle**, entrez :
```
CodeCatalyst SAM deploy role
```
1. Choisissez **Créer un rôle**.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
1. Associez la politique d'autorisations au rôle de build, comme suit :
1. Dans le volet de navigation, choisissez **Rôles**, puis recherchez`codecatalyst-SAM-deploy-role`. ``
1. Choisissez `codecatalyst-SAM-deploy-role` d'en afficher les détails. ``
1. Dans l'onglet **Autorisations**, choisissez **Ajouter des autorisations**, puis choisissez **Joindre des politiques**.
1. Recherchez`codecatalyst-SAM-deploy-policy`, cochez sa case, puis choisissez **Joindre des politiques**.
Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.
1. Obtenez l'ARN du rôle de build, comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-SAM-deploy-role`).
1. Choisissez le rôle dans la liste.
La page **Résumé** du rôle apparaît.
1. En haut, copiez la valeur de l'**ARN**.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.