Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité pour les fonctions de la console Outils pour développeurs
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent aux AWS CodeStar notifications AWS CodeConnections, consultez la section [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation AWS CodeStar des notifications et AWS CodeConnections. Les rubriques suivantes expliquent comment configurer les AWS CodeStar notifications et comment AWS CodeConnections atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos AWS CodeStar notifications et vos AWS CodeConnections ressources.
Pour plus d'informations sur la sécurité des services de la console Outils pour développeurs, consultez ce qui suit :
+ [CodeBuild Sécurité](https://docs.aws.amazon.com/codebuild/latest/userguide/security.html)
+ [CodeCommit Sécurité](https://docs.aws.amazon.com/codecommit/latest/userguide/security.html)
+ [CodeDeploy Sécurité](https://docs.aws.amazon.com/codedeploy/latest/userguide/security.html)
+ [CodePipeline Sécurité](https://docs.aws.amazon.com/codepipeline/latest/userguide/security.html)
## Présentation du contenu des notifications et de la sécurité
Les notifications fournissent des informations sur les ressources aux utilisateurs abonnés aux cibles de règle de notification que vous configurez. Cela peut inclure des informations sur les ressources de vos outils de développement, notamment le contenu de référentiel, les statuts de génération et de déploiement, et les exécutions de pipeline.
Par exemple, vous pouvez configurer une règle de notification pour un référentiel CodeCommit afin d'inclure des commentaires sur les validations ou les pull requests. Dans ce cas, les notifications envoyées en réponse à cette règle peuvent contenir la ou les lignes de code référencées dans ces commentaires. De même, vous pouvez configurer une règle de notification pour un projet de construction CodeBuild afin d'inclure les réussites ou les échecs pour les états et les phases de construction. Les notifications envoyées en réponse à cette règle contiendront ces informations.
Vous pouvez configurer une règle de notification pour un pipeline CodePipeline afin d'inclure des informations sur les approbations manuelles, et les notifications envoyées en réponse à cette règle peuvent contenir le nom de la personne fournissant cette approbation. Vous pouvez configurer une règle de notification pour une application CodeDeploy afin d'indiquer le succès du déploiement, et les notifications envoyées en réponse à cette règle peuvent contenir des informations sur la cible de déploiement.
Les notifications peuvent inclurent des informations spécifiques au projet, telles que les statuts de génération et de déploiement, les lignes de code contenant des commentaires et les approbations de pipeline. Afin de garantir la sécurité de votre projet, veillez à vérifier régulièrement les cibles des règles de notification, ainsi que la liste des abonnés des rubriques Amazon SNS spécifiées comme cibles. De plus, le contenu des notifications envoyées en réponse aux événements peut changer au fur et à mesure que des fonctionnalités supplémentaires sont ajoutées aux services sous-jacents. Cette modification peut être appliquée sans préavis aux règles de notification déjà existantes. Pensez à vérifier régulièrement le contenu des messages de notification pour vous assurer que vous comprenez ce qui est envoyé, ainsi qu'à qui ce contenu est envoyé.
Pour plus d'informations sur les types d'événements disponibles pour les règles de notification, consultez [Concepts de notification](concepts.md).
Vous pouvez choisir de limiter les détails inclus dans les notifications à ce qui est inclus dans un événement. C'est ce que l'on appelle le type de détail **Basic (Élémentaire)**. Ces événements contiennent exactement les mêmes informations que celles envoyées à Amazon EventBridge et Amazon CloudWatch Events.
Les services de console Developer Tools, tels que CodeCommit, peuvent choisir d'ajouter des informations sur certains ou tous leurs types d'événements dans les messages de notification, au-delà de ce qui est disponible lors d'un événement. Ces renseignements supplémentaires pourraient être ajoutés à tout moment afin d'améliorer les types d'événements actuels ou de compléter les types d'événements futurs. Vous pouvez choisir d'inclure des informations supplémentaires sur l'événement, le cas échéant, dans la notification en choisissant le type de détail **Full (Complet)**. Pour de plus amples informations, veuillez consulter [Types de détails](concepts.md#detail-type).
# Protection des données dans AWS CodeStar les notifications et AWS CodeConnections
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans AWS CodeStar les notifications et AWS CodeConnections. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec AWS CodeStar des notifications AWS CodeConnections et/ou d'autres moyens Services AWS à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
# Gestion des identités et des accès pour AWS CodeStar les notifications et AWS CodeConnections
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les AWS CodeStar notifications et AWS CodeConnections les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Note**
Les actions pour les ressources créées sous le nouveau préfixe de service `codeconnections` sont disponibles. La création d'une ressource sous le nouveau préfixe de service sera utilisée `codeconnections` dans l'ARN de la ressource. Les actions et les ressources relatives au préfixe de `codestar-connections` service restent disponibles. Lorsque vous spécifiez une ressource dans la politique IAM, le préfixe de service doit correspondre à celui de la ressource.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Fonctionnement des fonctions de la console des outils pour développeurs avec IAM](security_iam_service-with-iam.md)
+ [AWS CodeConnections référence aux autorisations](#permissions-reference-connections)
+ [Exemples de politiques basées sur l’identité](security_iam_id-based-policy-examples.md)
+ [Utilisation de balises pour contrôler l'accès aux AWS CodeConnections ressources](connections-tag-based-access-control.md)
+ [Utilisation de notifications et de connexions dans la console](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [AWS CodeStar Notifications de résolution des problèmes, AWS CodeConnections identité et accès](security_iam_troubleshoot.md)
+ [Utilisation de rôles liés à un service pour les notifications AWS CodeStar](using-service-linked-roles.md)
+ [Utilisation de rôles liés à un service pour AWS CodeConnections](service-linked-role-connections.md)
+ [AWS politiques gérées pour AWS CodeConnections](security-iam-awsmanpol.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [AWS CodeStar Notifications de résolution des problèmes, AWS CodeConnections identité et accès](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Fonctionnement des fonctions de la console des outils pour développeurs avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l’identité](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Utilisateur racine d'un compte AWS
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
# Fonctionnement des fonctions de la console des outils pour développeurs avec IAM
Avant d'utiliser IAM pour gérer l'accès aux fonctions de la console Outils pour développeurs, vous devez comprendre quelles sont les fonctions IAM disponibles. Pour obtenir une vue d'ensemble du fonctionnement des notifications et des autres AWS services avec IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur d'*IAM*.
**Topics**
+ [Stratégies basées sur l'identité dans la console Outils pour développeurs](#security_iam_service-with-iam-id-based-policies)
+ [AWS CodeStar Notifications et politiques AWS CodeConnections basées sur les ressources](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les balises](#security_iam_service-with-iam-tags)
+ [Rôles IAM](#security_iam_service-with-iam-roles)
## Stratégies basées sur l'identité dans la console Outils pour développeurs
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. AWS CodeStar Notifications et AWS CodeConnections support pour des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l'utilisateur IAM*.
### Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de stratégie pour les notifications dans la console Outils pour développeurs utilisent le préfixe suivant avant l'action : `codestar-notifications and codeconnections`. Par exemple, pour accorder à une personne l'autorisation d'afficher toutes les règles de notification de son compte, vous incluez l'action `codestar-notifications:ListNotificationRules` dans sa stratégie. Les déclarations de politique doivent inclure un `NotAction` élément `Action` ou. AWS CodeStar AWS CodeConnections Notifie et définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions de AWS CodeStar notification dans une seule instruction, séparez-les par des virgules comme suit.
```
"Action": [
"codestar-notifications:action1",
"codestar-notifications:action2"
```
Pour spécifier plusieurs AWS CodeConnections actions dans une seule instruction, séparez-les par des virgules comme suit.
```
"Action": [
"codeconnections:action1",
"codeconnections:action2"
```
Vous pouvez aussi préciser plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `List`, incluez l’action suivante.
```
"Action": "codestar-notifications:List*"
```
AWS CodeStar Les actions de l'API de notifications incluent :
+ `CreateNotificationRule`
+ `DeleteNotificationRule`
+ `DeleteTarget`
+ `DescribeNotificationRule`
+ `ListEventTypes`
+ `ListNotificationRules`
+ `ListTagsForResource`
+ `ListTargets`
+ `Subscribe`
+ `TagResource`
+ `Unsubscribe`
+ `UntagResource`
+ `UpdateNotificationRule`
AWS CodeConnections Les actions de l'API sont les suivantes :
+ `CreateConnection`
+ `DeleteConnection`
+ `GetConnection`
+ `ListConnections`
+ `ListTagsForResource`
+ `TagResource`
+ `UntagResource`
Les actions suivantes, basées uniquement sur les autorisations, sont requises AWS CodeConnections pour terminer la poignée de main d'authentification :
+ `GetIndividualAccessToken`
+ `GetInstallationUrl`
+ `ListInstallationTargets`
+ `StartOAuthHandshake`
+ `UpdateConnectionInstallation`
L'action suivante, basée uniquement sur les autorisations, est requise AWS CodeConnections pour utiliser une connexion :
+ `UseConnection`
L'action suivante, basée uniquement sur les autorisations, est requise AWS CodeConnections pour transmettre une connexion à un service :
+ `PassConnection`
Pour consulter la liste des AWS CodeStar notifications et des AWS CodeConnections actions, consultez les sections [Actions définies par AWS CodeStar des notifications](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_codestarnotifications.html#codestarnotifications-actions-as-permissions) et [Actions définies par AWS CodeConnections](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_codestarconnections.html#codestarconnections-actions-as-permissions) dans le *guide de l'utilisateur IAM*.
### Ressources
AWS CodeStar Notifications et AWS CodeConnections ne prennent pas en charge la spécification de ressources ARNs dans une politique.
### Clés de condition
AWS CodeStar Les notifications AWS CodeConnections définissent leurs propres ensembles de clés de condition et prennent également en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Toutes les actions de AWS CodeStar notification prennent en charge la clé de `codestar-notifications:NotificationsForResource` condition. Pour de plus amples informations, veuillez consulter [Exemples de politiques basées sur l’identité](security_iam_id-based-policy-examples.md).
AWS CodeConnections définissez les clés de condition suivantes qui peuvent être utilisées dans l'`Condition`élément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour de plus amples informations, veuillez consulter [AWS CodeConnections référence aux autorisations](security-iam.md#permissions-reference-connections).
| Clés de condition | Description |
| --- | --- |
| `codeconnections:BranchName` | Filtre l'accès en fonction du nom de la branche du référentiel tiers. |
| `codeconnections:FullRepositoryId` | Filtre l'accès en fonction du référentiel transmis dans la demande. S'applique uniquement aux demandes UseConnection pour l'accès à un référentiel spécifique |
| codeconnections:InstallationId | Filtre l'accès en fonction de l'ID tiers (tel que l'ID d'installation de l'application Bitbucket) qui est utilisé pour mettre à jour une connexion. Permet de restreindre les installations d'applications tierces qui peuvent être utilisées pour établir une connexion |
| codeconnections:OwnerId | Filtre l'accès en fonction du propriétaire ou de l'ID de compte du fournisseur tiers |
| `codeconnections:PassedToService` | Filtre l'accès en fonction du service auquel le principal est autorisé à transmettre une connexion |
| `codeconnections:ProviderAction` | Filtre l'accès en fonction de l'action du fournisseur dans une demande UseConnection telle que ListRepositories. |
| codeconnections:ProviderPermissionsRequired | Filtre l'accès en fonction du type d'autorisations de fournisseur tiers |
| `codeconnections:ProviderType` | Filtre l'accès en fonction du type de fournisseur tiers transmis dans la demande |
| codeconnections:ProviderTypeFilter | Filtre l'accès en fonction du type de fournisseur tiers utilisé pour filtrer les résultats |
| codeconnections:RepositoryName | Filtre l'accès en fonction du nom du référentiel tiers |
### Exemples
Pour consulter des exemples de AWS CodeStar notifications et de politiques AWS CodeConnections basées sur l'identité, consultez. [Exemples de politiques basées sur l’identité](security_iam_id-based-policy-examples.md)
## AWS CodeStar Notifications et politiques AWS CodeConnections basées sur les ressources
AWS CodeStar Notifications et AWS CodeConnections ne prennent pas en charge les politiques basées sur les ressources.
## Autorisation basée sur les balises
Vous pouvez associer des balises aux AWS CodeStar notifications et aux AWS CodeConnections ressources ou transmettre des balises dans une demande. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `codestar-notifications and codeconnections:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d'informations sur les stratégies de balisage, consultez la section Ressources de [balisage. AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) Pour plus d'informations sur le balisage AWS CodeStar des notifications et AWS CodeConnections des ressources, consultez[Balisage des ressources de connexions](connections-tag.md).
Pour visualiser un exemple de stratégie basée sur l'identité permettant de limiter l'accès à une ressource en fonction des balises de cette ressource, veuillez consulter [Utilisation de balises pour contrôler l'accès aux AWS CodeConnections ressources](connections-tag-based-access-control.md).
## Rôles IAM
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité de votre AWS compte qui possède des autorisations spécifiques.
### Utilisation d'informations d'identification temporaires
Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à la fédération ou endosser un rôle IAM ou un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS CodeStar Notifie et AWS CodeConnections soutient l'utilisation d'informations d'identification temporaires.
### Rôles liés à un service
Les [rôles liés aux](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
AWS CodeStar Les notifications prennent en charge les rôles liés aux services. Pour plus de détails sur la création ou la gestion AWS CodeStar des notifications et des rôles AWS CodeConnections liés aux services, consultez. [Utilisation de rôles liés à un service pour les notifications AWS CodeStar](using-service-linked-roles.md)
CodeConnections ne prend pas en charge les rôles liés à un service.
## AWS CodeConnections référence aux autorisations
Les tableaux suivants répertorient chaque opération d' AWS CodeConnections API, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations et le format de l'ARN de la ressource à utiliser pour accorder des autorisations. Ils AWS CodeConnections APIs sont regroupés dans des tableaux en fonction de l'étendue des actions autorisées par cette API. Utilisez-le comme référence lorsque vous écrivez des stratégies d'autorisation que vous pouvez attacher à une identité IAM (stratégies basées sur une identité).
Lorsque vous créez une stratégie d'autorisation, vous spécifiez les actions dans le champ `Action` de la stratégie. Vous spécifiez un ARN, avec ou sans caractère générique (\$1), comme valeur de ressource dans le champ `Resource` de la stratégie.
Pour exprimer des conditions dans les stratégies de connexion, vous pouvez utiliser les clés de condition décrites ici et répertoriées dans [Clés de condition](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys). Vous pouvez également utiliser des AWS clés de condition larges. Pour obtenir la liste complète des touches AWS-wide, consultez la section [Clés disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
Pour spécifier une action, utilisez le préfixe `codeconnections` suivi du nom de l'opération d'API (par exemple, `codeconnections:ListConnections` ou `codeconnections:CreateConnection`).
**Utilisation de caractères génériques **
Pour spécifier plusieurs actions ou ressources, vous pouvez utiliser un caractère générique (\$1) dans votre ARN. Par exemple, `codeconnections:*` spécifie toutes les AWS CodeConnections actions et `codeconnections:Get*` indique toutes les AWS CodeConnections actions qui commencent par le mot`Get`. L'exemple suivant accorde l'accès à toutes les ressources dont le nom commence par `MyConnection`.
```
arn:aws:codeconnections:us-west-2:account-ID:connection/*
```
Vous ne pouvez utiliser des caractères génériques qu'avec les *connection* ressources répertoriées dans le tableau suivant. Vous ne pouvez pas utiliser de caractères génériques avec *region* nos *account-id* ressources. Pour plus d'informations sur les caractères génériques, consultez la section [Identifiants IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) dans le *guide de l'utilisateur IAM*.
**Topics**
+ [Autorisations pour la gestion des connexions](#permissions-reference-connections-managing)
+ [Autorisations pour la gestion des hôtes](#permissions-reference-connections-hosts)
+ [Autorisations pour établir des connexions](#permissions-reference-connections-handshake)
+ [Autorisations de configuration des hôtes](#connections-permissions-actions-host-registration)
+ [Transmission d'une connexion à un service](#permissions-reference-connections-passconnection)
+ [Utilisation d'une connexion](#permissions-reference-connections-use)
+ [Types d'accès pris en charge pour `ProviderAction`](#permissions-reference-connections-access)
+ [Autorisations prises en charge pour le balisage des ressources de connexion](#permissions-reference-connections-tagging)
+ [Transmission d'une connexion vers un lien de référentiel](#permissions-reference-connections-passrepository)
+ [Clé de condition prise en charge pour les liens de référentiel](#permissions-reference-connections-branch)
+ [Autorisations prises en charge pour le partage de connexion](#permissions-reference-connections-sharing)
### Autorisations pour la gestion des connexions
Un rôle ou un utilisateur désigné pour utiliser le AWS CLI SDK pour afficher, créer ou supprimer des connexions doit disposer d'autorisations limitées aux suivantes.
**Note**
Vous ne pouvez établir ou utiliser une connexion dans la console qu'avec les autorisations suivantes. Vous devez ajouter les autorisations dans [Autorisations pour établir des connexions](#permissions-reference-connections-handshake).
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour gérer les connexions**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| CreateConnection | `codeconnections:CreateConnection` Requis pour utiliser la CLI ou la console pour créer une connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| DeleteConnection | `codeconnections:DeleteConnection` Requis pour utiliser la CLI ou la console pour supprimer une connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| GetConnection | `codeconnections:GetConnection` Requis pour utiliser la CLI ou la console pour afficher les détails sur une connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| ListConnections | `codeconnections:ListConnections` Requis pour utiliser la CLI ou la console pour répertorier toutes les connexions dans le compte. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
Ces opérations prennent en charge les clés de condition suivantes :
| Action | Clés de condition |
| --- | --- |
| `codeconnections:CreateConnection` | `codeconnections:ProviderType` |
| codeconnections:DeleteConnection | N/A |
| codeconnections:GetConnection | N/A |
| codeconnections:ListConnections | codeconnections:ProviderTypeFilter |
### Autorisations pour la gestion des hôtes
Un rôle ou un utilisateur désigné pour utiliser le AWS CLI SDK pour afficher, créer ou supprimer des hôtes doit disposer d'autorisations limitées aux suivantes.
**Note**
Vous ne pouvez établir ou utiliser une connexion dans l'hôte qu'avec les autorisations suivantes. Vous devez ajouter les autorisations dans [Autorisations de configuration des hôtes](#connections-permissions-actions-host-registration).
```
codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour gérer les hôtes**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| CreateHost | `codeconnections:CreateHost` Requis pour utiliser la CLI ou la console pour créer un hôte. | arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
| DeleteHost | `codeconnections:DeleteHost` Requis pour utiliser la CLI ou la console pour supprimer un hôte. | codeconnections : ::host/ *region* *account-id* *host-id* |
| GetHost | `codeconnections:GetHost` Requis pour utiliser la CLI ou la console pour afficher les détails sur un hôte. | arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
| ListHosts | `codeconnections:ListHosts` Requis pour utiliser la CLI ou la console pour répertorier toutes les hôtes dans le compte. | arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
Ces opérations prennent en charge les clés de condition suivantes :
| Action | Clés de condition |
| --- | --- |
| `codeconnections:CreateHost` | `codeconnections:ProviderType` `codeconnections:VpcId` |
| codeconnections:DeleteHost | N/A |
| codeconnections:GetHost | N/A |
| codeconnections:ListHosts | codeconnections:ProviderTypeFilter |
Pour un exemple de politique utilisant la clé de **VpcId**condition, consultez[Exemple : Limiter les autorisations VPC de l'hôte à l'aide de la clé de contexte **VpcId**](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-vpc).
### Autorisations pour établir des connexions
Un rôle ou un utilisateur désigné pour gérer les connexions dans la console doit disposer des autorisations requises pour établir une connexion dans la console et créer une installation, ce qui inclut l'autorisation de négocier avec le fournisseur et de créer des installations pour l'utilisation des connexions. Utilisez les autorisations suivantes en plus des autorisations ci-dessus.
Les opérations IAM suivantes sont utilisées par la console lors de l'exécution d'un processus de négociation basé sur un navigateur. Les `ListInstallationTargets`, `GetInstallationUrl`, `StartOAuthHandshake`, `UpdateConnectionInstallation` et `GetIndividualAccessToken` sont des autorisations de stratégie IAM. Ce ne sont pas des actions d'API.
```
codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
```
Sur la base de ces informations, les autorisations suivantes sont nécessaires pour utiliser, créer, mettre à jour ou supprimer une connexion dans la console.
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour effectuer les connexions**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `GetIndividualAccessToken` | `codeconnections:GetIndividualAccessToken` Requise pour utiliser la console pour établir une connexion. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `GetInstallationUrl` | `codeconnections:GetInstallationUrl` Requise pour utiliser la console pour établir une connexion. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListInstallationTargets` | `codeconnections:ListInstallationTargets` Requise pour utiliser la console pour établir une connexion. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `StartOAuthHandshake` | `codeconnections:StartOAuthHandshake` Requise pour utiliser la console pour établir une connexion. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `UpdateConnectionInstallation` | `codeconnections:UpdateConnectionInstallation` Requise pour utiliser la console pour établir une connexion. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
Ces opérations prennent en charge les clés de condition suivantes.
| Action | Clés de condition |
| --- | --- |
| codeconnections:GetIndividualAccessToken | codeconnections:ProviderType |
| codeconnections:GetInstallationUrl | codeconnections:ProviderType |
| `codeconnections:ListInstallationTargets` | N/A |
| codeconnections:StartOAuthHandshake | codeconnections:ProviderType |
| codeconnections:UpdateConnectionInstallation | codeconnections:InstallationId |
### Autorisations de configuration des hôtes
Un rôle ou un utilisateur désigné pour gérer les connexions dans la console doit disposer des autorisations requises pour configurer un hôte dans la console, ce qui inclut l'autorisation de négocier avec le fournisseur et d'installer pour l'application de l'hôte. Utilisez les autorisations suivantes en plus des autorisations pour hôtes ci-dessus.
Les opérations IAM suivantes sont utilisées par la console lors de l'enregistrement d'hôte basé sur un navigateur. `RegisterAppCode` et `StartAppRegistrationHandshake` sont des autorisations de stratégie IAM. Ce ne sont pas des actions d'API.
```
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
Sur la base de ces informations, les autorisations suivantes sont nécessaires pour utiliser, créer, mettre à jour ou supprimer une connexion dans la console qui nécessite un hôte (comme les types de fournisseurs installés).
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour terminer la configuration de l'hôte**
| Actions liées aux connexions | Autorisations requises | Ressources |
| --- | --- | --- |
| `RegisterAppCode` | `codeconnections:RegisterAppCode` Requis pour utiliser la console pour finaliser la configuration de l'hôte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
| `StartAppRegistrationHandshake` | `codeconnections:StartAppRegistrationHandshake` Requis pour utiliser la console pour finaliser la configuration de l'hôte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
Ces opérations prennent en charge les clés de condition suivantes.
### Transmission d'une connexion à un service
Lorsqu'une connexion est transmise à un service (par exemple, lorsqu'un ARN de connexion est fourni dans une définition de pipeline pour créer ou mettre à jour un pipeline), l'utilisateur doit disposer de l'autorisation `codeconnections:PassConnection`.
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour passer une connexion**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `PassConnection` | `codeconnections:PassConnection` Requis pour transférer une connexion à un service. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
Cette opération prend également en charge la clé de condition suivante :
+ `codeconnections:PassedToService`
**Valeurs prises en charge pour les clés de condition**
| Clé | Fournisseurs d'actions valides |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/dtconsole/latest/userguide/security-iam.html) |
### Utilisation d'une connexion
Lorsqu'un service tel que celui-ci CodePipeline utilise une connexion, le rôle de service doit disposer de l'`codeconnections:UseConnection`autorisation pour une connexion donnée.
Pour gérer les connexions de la console, la stratégie utilisateur doit avoir l'autorisation `codeconnections:UseConnection`.
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections action requise pour utiliser les connexions**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `UseConnection` | `codeconnections:UseConnection` Requis pour utiliser une connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
Cette opération prend également en charge les clés de condition suivantes :
+ `codeconnections:BranchName`
+ `codeconnections:FullRepositoryId`
+ `codeconnections:OwnerId`
+ `codeconnections:ProviderAction`
+ `codeconnections:ProviderPermissionsRequired`
+ `codeconnections:RepositoryName`
**Valeurs prises en charge pour les clés de condition**
| Clé | Fournisseurs d'actions valides |
| --- | --- |
| `codeconnections:FullRepositoryId` | Nom de l'utilisateur et nom d'un référentiel, par exemple `my-owner/my-repository`. Prise en charge uniquement lorsque la connexion est utilisée pour accéder à un référentiel spécifique. |
| `codeconnections:ProviderPermissionsRequired` | read\$1only ou read\$1write |
| `codeconnections:ProviderAction` | `GetBranch`, `ListRepositories`, `ListOwners`, `ListBranches`, `StartUploadArchiveToS3`, `GitPush`, `GitPull`, `GetUploadArchiveToS3Status`, `CreatePullRequestDiffComment`, `GetPullRequest`, `ListBranchCommits`, `ListCommitFiles`, `ListPullRequestComments`, `ListPullRequestCommits`. Pour plus d'informations, consultez la section suivante. |
Les clés de condition requises pour certaines fonctionnalités peuvent changer au fil du temps. Nous vous recommandons d'utiliser `codeconnections:UseConnection` pour contrôler l'accès à une connexion, sauf si vos exigences de contrôle d'accès requièrent des autorisations différentes.
### Types d'accès pris en charge pour `ProviderAction`
Lorsqu'une connexion est utilisée par un AWS service, des appels d'API sont effectués vers votre fournisseur de code source. Par exemple, un service peut répertorier les référentiels pour une connexion Bitbucket en appelant l'API `https://api.bitbucket.org/2.0/repositories/username`.
La clé de `ProviderAction` condition vous permet de restreindre APIs le fournisseur qui peut être appelé. Comme le chemin de l'API peut être généré dynamiquement et que le chemin varie d'un fournisseur à l'autre, la valeur `ProviderAction` est mappée à un nom d'action abstrait plutôt qu'à l'URL de l'API. Cela vous permet d'écrire des stratégies qui ont le même effet quel que soit le type de fournisseur de la connexion.
Voici les types d'accès qui sont accordés pour chacune des valeurs `ProviderAction` prises en charge. Voici des autorisations de stratégie IAM. Ce ne sont pas des actions d'API.
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections types d'accès pris en charge pour `ProviderAction`**
| AWS CodeConnections autorisation | Autorisations requises | Ressources |
| --- | --- | --- |
| `GetBranch` | ` codeconnections:GetBranch` Requis pour accéder aux informations d'une branche, telles que la dernière validation de cette branche. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListRepositories` | ` codeconnections:ListRepositories` Requis pour accéder à une liste de référentiels publics et privés qui appartiennent à un propriétaire, ainsi qu'aux détails sur ces référentiels. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListOwners` | `codeconnections:ListOwners` Requis pour accéder à la liste des propriétaires auxquels la connexion a accès. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListBranches` | ` codeconnections:ListBranches` Requis pour accéder à la liste des branches qui existent sur un référentiel donné. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `StartUploadArchiveToS3` | ` codeconnections:StartUploadArchiveToS3` Requis pour lire le code source et le télécharger sur Amazon S3. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `GitPush` | ` codeconnections:GitPush` Requis pour écrire dans un référentiel à l'aide de Git. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `GitPull` | ` codeconnections:GitPull` Requis pour lire les données d'un référentiel à l'aide de Git. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| GetUploadArchiveToS3Status | ` codeconnections:GetUploadArchiveToS3Status` Requis pour accéder à l'état d'un chargement, y compris aux messages d'erreur par `StartUploadArchiveToS3`. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| CreatePullRequestDiffComment | ` codeconnections:CreatePullRequestDiffComment` Requis pour accéder aux commentaires sur une demande d'extraction. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| GetPullRequest | ` codeconnections:GetPullRequest` Requis pour afficher les demandes d'extraction d'un référentiel. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListBranchCommits` | ` codeconnections:ListBranchCommits` Requis pour afficher une liste de validations pour une branche du référentiel. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListCommitFiles` | ` codeconnections:ListCommitFiles` Requis pour afficher une liste de fichiers pour une validation. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListPullRequestComments` | ` codeconnections:ListPullRequestComments` Requis pour afficher une liste de commentaires pour une demande d'extraction. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListPullRequestCommits` | ` codeconnections:ListPullRequestCommits` Requis pour afficher une liste de validations pour une requête d'extraction. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
### Autorisations prises en charge pour le balisage des ressources de connexion
Les opérations IAM suivantes sont utilisées lors du balisage des ressources de connexion.
```
codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections actions requises pour le balisage des ressources de connexion**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `ListTagsForResource` | `codeconnections:ListTagsForResource` Requis pour afficher une liste des balises associées à la ressource de connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id*,arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
| `TagResource` | `codeconnections:TagResource` Requis pour baliser une ressource de connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id*,arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
| `UntagResource` | `codeconnections:UntagResource` Autorisation requise pour supprimer des balises d'une ressource de connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id*,arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
### Transmission d'une connexion vers un lien de référentiel
Lorsqu'un lien de référentiel est fourni dans une configuration de synchronisation, l'utilisateur doit avoir l'autorisation `codeconnections:PassRepository` pour l'ARN/la ressource du lien de référentiel.
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour passer une connexion**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `PassRepository` | `codeconnections:PassRepository` Nécessaire pour transmettre un lien de référentiel à une configuration de synchronisation. | arn:aws:codeconnections : ::repository-link/ *region* *account-id* *repository-link-id* |
Cette opération prend également en charge la clé de condition suivante :
+ `codeconnections:PassedToService`
**Valeurs prises en charge pour les clés de condition**
| Clé | Fournisseurs d'actions valides |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/dtconsole/latest/userguide/security-iam.html) |
### Clé de condition prise en charge pour les liens de référentiel
Les opérations relatives aux liens de référentiel et aux ressources de configuration de synchronisation sont prises en charge par la clé de condition suivante :
+ `codeconnections:Branch`
Filtre l'accès en fonction du nom de la branche transmis dans la demande.
**Actions prises en charge pour la clé de condition**
| Clé | Valeurs valides |
| --- | --- |
| `codeconnections:Branch` | Les actions suivantes sont prises en charge pour cette clé de condition :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/dtconsole/latest/userguide/security-iam.html) |
### Autorisations prises en charge pour le partage de connexion
Les opérations IAM suivantes sont utilisées lors du partage de connexions.
```
codeconnections:GetResourcePolicy
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections actions requises pour le partage de connexions**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `GetResourcePolicy` | `codeconnections:GetResourcePolicy` Nécessaire pour accéder aux informations relatives à la politique de ressources. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
Pour plus d'informations sur le partage de connexion, consultez[Partagez des connexions avec Comptes AWS](connections-share.md).
# Exemples de politiques basées sur l’identité
Par défaut, les utilisateurs et les rôles IAM dotés de l'une des politiques gérées pour AWS CodeCommit AWS CodeBuild AWS CodeDeploy, ou AWS CodePipeline appliquées disposent d'autorisations relatives aux connexions, aux notifications et aux règles de notification conformes à l'intention de ces politiques. Par exemple, les utilisateurs ou rôles IAM auxquels l'une des politiques d'accès complet (**AWSCodeCommitFullAccess**, **AWSCodeBuildAdminAccess**AWSCodeDeployFullAccess****, ou **AWSCodePipeline\$1FullAccess**) leur est appliquée ont également un accès complet aux notifications et aux règles de notification créées pour les ressources de ces services.
Les autres utilisateurs et rôles IAM ne sont pas autorisés à créer ou à modifier des AWS CodeStar notifications et des AWS CodeConnections ressources. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur IAM doit créer des stratégies IAM autorisant les utilisateurs et les rôles à exécuter des opérations d'API sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.
# Autorisations et exemples pour les AWS CodeStar notifications
Les déclarations de politique et les exemples suivants peuvent vous aider à gérer les AWS CodeStar notifications.
## Autorisations liées aux notifications dans les stratégies gérées d'accès complet
Les politiques **AWSCodeCommitFullAccess**AWSCodeBuildAdminAccess****, **AWSCodeDeployFullAccess**, et **AWSCodePipeline\$1FullAccess**gérées incluent les instructions suivantes pour permettre un accès complet aux notifications dans la console Developer Tools. Les utilisateurs auxquels l'une de ces stratégies gérées est appliquée peuvent également créer et gérer des rubriques Amazon SNS pour les notifications, abonner et désabonner les utilisateurs à des rubriques et répertorier les rubriques à choisir comme cibles pour les règles de notification.
**Note**
Dans la stratégie gérée, la clé de condition `codestar-notifications:NotificationsForResource` a une valeur spécifique au type de ressource du service. Par exemple, dans la politique d'accès complet pour CodeCommit, la valeur est`arn:aws:codecommit:*`.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:DeleteNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsSNSTopicCreateAccess",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:SetTopicAttributes"
],
"Resource": "arn:aws:sns:*:*:codestar-notifications*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
## Autorisations liées aux notifications dans les stratégies gérées en lecture seule
Les politiques **AWSCodeCommitReadOnlyAccess**AWSCodeBuildReadOnlyAccess****, **AWSCodeDeployReadOnlyAccess**, et **AWSCodePipeline\$1ReadOnlyAccess**gérées incluent les instructions suivantes pour autoriser l'accès en lecture seule aux notifications. Par exemple, elles peuvent afficher des notifications pour les ressources dans la console Outils pour développeurs, mais ne peuvent pas les créer, les gérer ou s'y abonner.
**Note**
Dans la stratégie gérée, la clé de condition `codestar-notifications:NotificationsForResource` a une valeur spécifique au type de ressource du service. Par exemple, dans la politique d'accès complet pour CodeCommit, la valeur est`arn:aws:codecommit:*`.
```
{
"Sid": "CodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListEventTypes",
"codestar-notifications:ListTargets"
],
"Resource": "*"
}
```
## Autorisations liées aux notifications dans d'autres stratégies gérées
Les politiques **AWSCodeCommitPowerUser**AWSCodeBuildDeveloperAccess****, et **AWSCodeBuildDeveloperAccess**gérées incluent les instructions suivantes pour permettre aux développeurs appliquant l'une de ces politiques gérées de créer, de modifier et de s'abonner à des notifications. Ils ne peuvent pas supprimer les règles de notification ni gérer les balises pour les ressources.
**Note**
Dans la stratégie gérée, la clé de condition `codestar-notifications:NotificationsForResource` a une valeur spécifique au type de ressource du service. Par exemple, dans la politique d'accès complet pour CodeCommit, la valeur est`arn:aws:codecommit:*`.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
## Exemple : politique de gestion des notifications au niveau de l'administrateur AWS CodeStar
Dans cet exemple, vous souhaitez accorder à un utilisateur IAM de votre AWS compte un accès complet aux AWS CodeStar notifications afin qu'il puisse consulter les détails des règles de notification et répertorier les règles de notification, les cibles et les types d'événements. Vous souhaitez également autoriser l'utilisateur à ajouter, mettre à jour et supprimer des règles de notification. Il s'agit d'une politique d'accès complet, équivalente aux autorisations de notification incluses dans les politiques **AWSCodeBuildAdminAccess**AWSCodeCommitFullAccess**AWSCodeDeployFullAccess******,, et **AWSCodePipeline\$1FullAccess**gérées. À l'instar de ces politiques gérées, vous ne devez associer ce type de déclaration de politique qu'aux utilisateurs, groupes ou rôles IAM qui nécessitent un accès administratif complet aux notifications et aux règles de notification de votre AWS compte.
**Note**
Cette stratégie contient les autorisations `CreateNotificationRule`. Tout utilisateur dont cette politique est appliquée à son utilisateur ou à son rôle IAM pourra créer des règles de notification pour tous les types de ressources pris en charge par les AWS CodeStar notifications dans le AWS compte, même s'il n'a pas accès à ces ressources lui-même. Par exemple, un utilisateur appliquant cette politique peut créer une règle de notification pour un CodeCommit référentiel sans être autorisé à y CodeCommit accéder.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCodeStarNotificationsFullAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DeleteNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe",
"codestar-notifications:DeleteTarget",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:TagResource",
"codestar-notifications:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## Exemple : politique au niveau du contributeur pour l'utilisation des notifications AWS CodeStar
Dans cet exemple, vous souhaitez autoriser l'accès à l' day-to-dayutilisation des AWS CodeStar notifications, telles que la création de notifications et l'abonnement à celles-ci, mais pas à des actions plus destructrices, telles que la suppression de règles ou de cibles de notification. C'est l'équivalent de l'accès fourni dans les politiques **AWSCodeBuildDeveloperAccess**AWSCodeDeployDeveloperAccess****, et **AWSCodeCommitPowerUser**gérées.
**Note**
Cette stratégie contient les autorisations `CreateNotificationRule`. Tout utilisateur dont cette politique est appliquée à son utilisateur ou à son rôle IAM pourra créer des règles de notification pour tous les types de ressources pris en charge par les AWS CodeStar notifications dans le AWS compte, même s'il n'a pas accès à ces ressources lui-même. Par exemple, un utilisateur appliquant cette politique peut créer une règle de notification pour un CodeCommit référentiel sans être autorisé à y CodeCommit accéder.
```
{
"Version": "2012-10-17",
"Sid": "AWSCodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource"
],
"Resource": "*"
}
]
}
```
## Exemple : read-only-level politique d'utilisation AWS CodeStar des notifications
Dans cet exemple, vous souhaitez accorder à un utilisateur IAM de votre compte l'accès en lecture seule aux règles de notification, aux cibles et aux types d'événements de votre compte AWS . Cet exemple montre comment créer une stratégie qui permet d'afficher ces éléments. C'est l'équivalent des autorisations incluses dans le cadre des **AWSCodeBuildReadOnlyAccess**politiques **AWSCodePipeline\$1ReadOnlyAccess**gérées et des politiques. **AWSCodeCommitReadOnly**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "CodeNotificationforReadOnly",
"Statement": [
{
"Sid": "ReadsAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
}
]
}
```
------
# Autorisations et exemples pour AWS CodeConnections
Les déclarations et exemples de politique suivants peuvent vous aider à gérer AWS CodeConnections.
Pour plus d'informations sur la création d'une stratégie basée sur l'identité IAM à l'aide de ces exemples de documents de stratégie JSON, consultez [Création de stratégies dans l'onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *guide de l'utilisateur IAM*.
## Exemple : politique de création à l' AWS CodeConnections aide de la CLI et d'affichage à l'aide de la console
Un rôle ou un utilisateur désigné pour utiliser le AWS CLI SDK pour afficher, créer, étiqueter ou supprimer des connexions doit disposer d'autorisations limitées aux suivantes.
**Note**
Vous ne pouvez établir une connexion dans la console qu'avec les autorisations suivantes. Vous devez ajouter les autorisations de la section suivante.
Pour utiliser la console dans e but d'afficher une liste des connexions disponibles, d'afficher les balises et d'utiliser une connexion, utilisez la stratégie suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionsFullAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:TagResource",
"codeconnections:ListTagsForResource",
"codeconnections:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## Exemple : politique de création à l' AWS CodeConnections aide de la console
Un rôle ou un utilisateur désigné pour gérer les connexions dans la console doit disposer des autorisations requises pour établir une connexion dans la console et créer une installation, ce qui inclut l'autorisation de négocier avec le fournisseur et de créer des installations pour l'utilisation des connexions.`UseConnection` doit également être ajouté pour utiliser la connexion dans la console. Utilisez la stratégie suivante pour afficher, utiliser, créer, étiqueter ou supprimer une connexion dans la console.
**Note**
À compter du 1er juillet 2024, la console crée des connexions avec `codeconnections` l'ARN de la ressource. Les ressources associées aux deux préfixes de service continueront de s'afficher dans la console.
**Note**
Pour les ressources créées à l'aide de la console, les actions de déclaration de politique doivent être incluses `codestar-connections` comme préfixe de service, comme indiqué dans l'exemple suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codestar-connections:CreateConnection",
"codestar-connections:DeleteConnection",
"codestar-connections:GetConnection",
"codestar-connections:ListConnections",
"codestar-connections:GetInstallationUrl",
"codestar-connections:GetIndividualAccessToken",
"codestar-connections:ListInstallationTargets",
"codestar-connections:StartOAuthHandshake",
"codestar-connections:UpdateConnectionInstallation",
"codestar-connections:UseConnection",
"codestar-connections:TagResource",
"codestar-connections:ListTagsForResource",
"codestar-connections:UntagResource"
],
"Resource": [
"*"
]
}
]
}
```
------
## Exemple : politique de gestion au niveau de l'administrateur AWS CodeConnections
Dans cet exemple, vous souhaitez accorder un accès complet à un utilisateur IAM de votre AWS compte CodeConnections afin qu'il puisse ajouter, mettre à jour et supprimer des connexions. Il s'agit d'une politique d'accès complet, équivalente à la politique **AWSCodePipeline\$1FullAccess**gérée. À l'instar de cette politique gérée, vous ne devez associer ce type de déclaration de politique qu'aux utilisateurs, groupes ou rôles IAM qui nécessitent un accès administratif complet aux connexions de votre AWS compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionsFullAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:StartOAuthHandshake",
"codeconnections:UpdateConnectionInstallation",
"codeconnections:GetIndividualAccessToken",
"codeconnections:TagResource",
"codeconnections:ListTagsForResource",
"codeconnections:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## Exemple : politique d'utilisation au niveau du contributeur AWS CodeConnections
Dans cet exemple, vous souhaitez autoriser l'accès à l' day-to-dayutilisation de CodeConnections, telles que la création et l'affichage des détails des connexions, mais pas à des actions plus destructrices, telles que la suppression de connexions.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCodeConnectionsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:GetIndividualAccessToken",
"codeconnections:StartOAuthHandshake",
"codeconnections:UpdateConnectionInstallation",
"codeconnections:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Exemple : read-only-level politique d'utilisation AWS CodeConnections
Dans cet exemple, vous souhaitez accorder à un utilisateur IAM de votre compte un accès en lecture seule aux connexions de votre compte. AWS Cet exemple montre comment créer une stratégie qui permet d'afficher ces éléments.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ConnectionsforReadOnly",
"Statement": [
{
"Sid": "ReadsAPIAccess",
"Effect": "Allow",
"Action": [
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Exemple : Limiter les autorisations VPC de l'hôte à l'aide de la clé de contexte **VpcId**
Dans l'exemple suivant, le client peut utiliser la clé de **VpcId**contexte pour limiter la création ou la gestion d'hôtes aux hôtes dotés d'un VPC spécifié.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"codeconnections:CreateHost",
"codeconnections:UpdateHost"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"codeconnections:VpcId": "vpc-EXAMPLE"
}
}
}
]
}
```
------
# Utilisation de balises pour contrôler l'accès aux AWS CodeConnections ressources
Les balises peuvent être attachées à la ressource ou transmises dans la demande aux services qui prennent en charge le balisage. Dans AWS CodeConnections, les ressources peuvent avoir des balises, et certaines actions peuvent inclure des balises. Lorsque vous créez une stratégie IAM, vous pouvez utiliser des clés de condition de balise pour contrôler les éléments suivants :
+ quels utilisateurs peuvent effectuer des actions sur une ressource de pipeline, en fonction des balises que la ressource possède déjà ;
+ quelles balises peuvent être transmises dans une demande d’action ;
+ si des clés de balise spécifiques peuvent être utilisées dans une demande.
Les exemples suivants montrent comment spécifier les conditions des balises dans les politiques destinées AWS CodeConnections aux utilisateurs.
**Example 1 : Autoriser des actions en fonction des balises dans la demande**
La politique suivante autorise les utilisateurs à créer des connexions dans AWS CodeConnections.
Pour ce faire, elle autorise les actions `CreateConnection` et `TagResource` si la demande spécifie une balise nommée `Project` avec la valeur `ProjectA`. (La clé de condition `aws:RequestTag` est utilisée pour contrôler les balises qui peuvent être transmises dans une demande IAM.) La condition `aws:TagKeys` garantit que la clé de balise est sensible à la casse.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
**Example 2 : Autoriser des actions en fonction des balises de ressource**
La politique suivante accorde aux utilisateurs l'autorisation d'effectuer des actions et d'obtenir des informations sur les ressources dans AWS CodeConnections.
Pour ce faire, elle autorise des actions spécifiques si le pipeline a une balise nommée `Project` avec la valeur `ProjectA`. (La clé de condition `aws:RequestTag` est utilisée pour contrôler les balises qui peuvent être transmises dans une demande IAM.) La condition `aws:TagKeys` garantit que la clé de balise est sensible à la casse.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:ListConnections"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
## Utilisation de notifications et de connexions dans la console
L'expérience des notifications est intégrée aux CodePipeline consoles CodeBuild, CodeCommit, et CodeDeploy, ainsi que dans la console des outils de développement, dans la barre de navigation des **paramètres** elle-même. Pour accéder aux notifications dans les consoles, vous devez appliquer l'une des stratégies gérées pour ces services ou disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails relatifs aux AWS CodeStar notifications et AWS CodeConnections aux ressources de votre AWS compte. Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs et rôles IAM) tributaires de cette politique. Pour plus d'informations sur l'octroi de l'accès à AWS CodeBuild AWS CodeCommit AWS CodeDeploy, AWS CodePipeline, et notamment l'accès à ces consoles, consultez les rubriques suivantes :
+ CodeBuild: [Utilisation de politiques basées sur l'identité](https://docs.aws.amazon.com/codebuild/latest/userguide/security_iam_id-based-policy-examples.html#managed-policies) pour CodeBuild
+ CodeCommit: [Utilisation de politiques basées sur l'identité](https://docs.aws.amazon.com/codecommit/latest/userguide/auth-and-access-control-iam-identity-based-access-control.html) pour CodeCommit
+ AWS CodeDeploy: [Gestion des identités et des accès pour AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/security-iam.html)
+ CodePipeline: [Contrôle d'accès avec des politiques IAM](https://docs.aws.amazon.com/codepipeline/latest/userguide/access-control.html)
AWS CodeStar Les notifications ne disposent d'aucune politique AWS gérée. Pour permettre l'accès à la fonction de notification, vous devez soit appliquer l'une des stratégies gérées pour l'un des services répertoriés ci-dessus, soit créer des stratégies avec le niveau d'autorisation que vous souhaitez accorder aux utilisateurs ou aux entités, puis attacher ces stratégies aux utilisateurs, groupes ou rôles qui requièrent ces autorisations. Pour plus d'informations, consultez les exemples suivants :
+ [Exemple : politique de gestion des notifications au niveau de l'administrateur AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-full-access)
+ [Exemple : politique au niveau du contributeur pour l'utilisation des notifications AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-contributor)
+ [Exemple : read-only-level politique d'utilisation AWS CodeStar des notifications](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-read-only).
AWS CodeConnections ne dispose d'aucune politique AWS gérée. Vous utilisez les autorisations et les combinaisons d'autorisations pour l'accès, telles que les autorisations détaillées dans [Autorisations pour établir des connexions](#permissions-reference-connections-handshake).
Pour plus d’informations, consultez les ressources suivantes :
+ [Exemple : politique de gestion au niveau de l'administrateur AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-fullaccess)
+ [Exemple : politique d'utilisation au niveau du contributeur AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-contributor)
+ [Exemple : read-only-level politique d'utilisation AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-readonly)
Il n'est pas nécessaire d'accorder des autorisations de console aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS CodeStar Notifications de résolution des problèmes, AWS CodeConnections identité et accès
Utilisez les informations suivantes pour identifier et résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec les notifications et IAM.
**Topics**
+ [Je suis un administrateur et je veux autoriser d'autres utilisateurs à accéder à des notifications](#security_iam_troubleshoot-admin-delegate)
+ [J'ai créé une rubrique Amazon SNS et l'ai ajoutée en tant que cible de règle de notification, mais je ne reçois pas d'e-mails à propos des événements](#security_iam_troubleshoot-sns)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes AWS CodeStar notifications et à mes AWS CodeConnections ressources](#security_iam_troubleshoot-cross-account-access)
## Je suis un administrateur et je veux autoriser d'autres utilisateurs à accéder à des notifications
Pour autoriser d'autres personnes à accéder aux AWS CodeStar notifications AWS CodeConnections, vous devez accorder l'autorisation aux personnes ou aux applications qui ont besoin d'y accéder. Si vous utilisez AWS IAM Identity Center pour gérer des personnes et des applications, vous attribuez des ensembles d'autorisations aux utilisateurs ou aux groupes afin de définir leur niveau d'accès. Les ensembles d'autorisations créent et attribuent automatiquement des politiques IAM aux rôles IAM associés à la personne ou à l'application. Pour plus d'informations, consultez la section [Ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dans le *guide de AWS IAM Identity Center l'utilisateur*.
Si vous n'utilisez pas IAM Identity Center, vous devez créer des entités IAM (utilisateurs ou rôles) pour les personnes ou les applications qui ont besoin d'un accès. Vous devez ensuite associer une politique à l'entité qui lui accorde les autorisations appropriées dans AWS CodeStar Notifications et AWS CodeConnections. Une fois les autorisations accordées, fournissez les informations d'identification à l'utilisateur ou au développeur de l'application. Ils utiliseront ces informations d'identification pour y accéder AWS. Pour en savoir plus sur la création d'utilisateurs, de groupes, de politiques et d'autorisations [IAM, consultez la section Identités](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html), [politiques et autorisations IAM dans le guide de l'utilisateur *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
Pour AWS CodeStar des informations spécifiques aux notifications, voir[Autorisations et exemples pour les AWS CodeStar notifications](security_iam_id-based-policy-examples-notifications.md).
## J'ai créé une rubrique Amazon SNS et l'ai ajoutée en tant que cible de règle de notification, mais je ne reçois pas d'e-mails à propos des événements
Pour recevoir des notifications sur les événements, vous devez disposer d'une rubrique Amazon SNS valide configurée comme cible de la règle de notification et votre adresse e-mail doit être abonnée à la rubrique Amazon SNS. Pour résoudre les problèmes liés à la rubrique Amazon SNS, vérifiez les points suivants :
+ Assurez-vous que la rubrique Amazon SNS se trouve dans la même AWS région que la règle de notification.
+ Vérifiez que votre alias de messagerie est abonné à la bonne rubrique et que vous avez confirmé l'abonnement. Pour plus d'informations, consultez [Abonnement d'un point de terminaison à une rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html).
+ Vérifiez que la politique du sujet a été modifiée pour autoriser AWS CodeStar les notifications à envoyer des notifications à ce sujet. La stratégie de rubrique doit inclure une instruction similaire à ce qui suit :
```
{
"Sid": "AWSCodeStarNotifications_publish",
"Effect": "Allow",
"Principal": {
"Service": [
"codestar-notifications.amazonaws.com"
]
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:123456789012:MyNotificationTopicName",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
```
Pour de plus amples informations, veuillez consulter [Configuration](setting-up.md).
## Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes AWS CodeStar notifications et à mes AWS CodeConnections ressources
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si AWS CodeStar Notifications est AWS CodeConnections compatible avec ces fonctionnalités, consultez[Fonctionnement des fonctions de la console des outils pour développeurs avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utilisation de rôles liés à un service pour les notifications AWS CodeStar
AWS CodeStar Les notifications utilisent des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié aux notifications. AWS CodeStar Les rôles liés au service sont prédéfinis par les AWS CodeStar notifications et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Ce rôle est créé automatiquement la première fois que vous créez une règle de notification. Vous n'avez donc pas à créer le rôle.
Un rôle lié à un service facilite la configuration AWS CodeStar des notifications, car il n'est pas nécessaire d'ajouter des autorisations manuellement. AWS CodeStar Les notifications définissent les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seules AWS CodeStar les notifications peuvent assumer ces rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Pour supprimer un rôle lié à un service, vous devez d'abord supprimer ses ressources associées. Cela protège vos ressources de AWS CodeStar notifications, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour obtenir des informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Autorisations de rôle liées au service pour les notifications AWS CodeStar
AWS CodeStar Les notifications utilisent le rôle AWSService RoleForCodeStarNotifications lié au service pour récupérer des informations sur les événements qui se produisent dans votre chaîne d'outils et envoyer des notifications aux cibles que vous spécifiez.
Le rôle AWSService RoleForCodeStarNotifications lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `codestar-notifications.amazonaws.com`
La politique d'autorisation des rôles permet aux AWS CodeStar notifications d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `PutRule` sur `CloudWatch Event rules that are named awscodestar-notifications-*`
+ Action : `DescribeRule` sur `CloudWatch Event rules that are named awscodestar-notifications-*`
+ Action : `PutTargets` sur `CloudWatch Event rules that are named awscodestar-notifications-*`
+ Action : `CreateTopic` sur `create Amazon SNS topics for use with AWS CodeStar Notifications with the prefix CodeStarNotifications-`
+ Action : `GetCommentsForPullRequests` sur `all comments on all pull requests in all CodeCommit repositories in the AWS account`
+ Action : `GetCommentsForComparedCommit` sur `all comments on all commits in all CodeCommit repositories in the AWS account`
+ Action : `GetDifferences` sur `all commits in all CodeCommit repositories in the AWS account`
+ Action : `GetCommentsForComparedCommit` sur `all comments on all commits in all CodeCommit repositories in the AWS account`
+ Action : `GetDifferences` sur `all commits in all CodeCommit repositories in the AWS account`
+ Action : `DescribeSlackChannelConfigurations` sur `all AWS Chatbot clients in the AWS account`
+ Action : `UpdateSlackChannelConfiguration` sur `all AWS Chatbot clients in the AWS account`
+ Action : `ListActionExecutions` sur `all actions in all pipelines in the AWS account`
+ Action : `GetFile` sur `all files in all CodeCommit repositories in the AWS account unless otherwise tagged`
Vous pouvez voir ces actions dans la déclaration de politique relative au rôle AWSService RoleForCodeStarNotifications lié à un service.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"events:PutTargets",
"events:PutRule",
"events:DescribeRule"
],
"Resource": "arn:aws:events:*:*:rule/awscodestarnotifications-*",
"Effect": "Allow"
},
{
"Action": [
"sns:CreateTopic"
],
"Resource": "arn:aws:sns:*:*:CodeStarNotifications-*",
"Effect": "Allow"
},
{
"Action": [
"codecommit:GetCommentsForPullRequest",
"codecommit:GetCommentsForComparedCommit",
"codecommit:GetDifferences",
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:UpdateSlackChannelConfiguration",
"codepipeline:ListActionExecutions"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"codecommit:GetFile"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceTag/ExcludeFileContentFromNotifications": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour en savoir plus, consultez [Service-Linked Role Permissions (autorisations du rôle lié à un service)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour les notifications AWS CodeStar
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Vous pouvez utiliser la console Developer Tools ou l' CreateNotificationRule API depuis le AWS CLI ou SDKs pour créer une règle de notification. Vous pouvez également appeler directement l'API. Quelle que soit la méthode que vous utilisez, le rôle lié au service est créé pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Vous pouvez utiliser la console Developer Tools ou l' CreateNotificationRule API depuis le AWS CLI ou SDKs pour créer une règle de notification. Vous pouvez également appeler directement l'API. Quelle que soit la méthode que vous utilisez, le rôle lié au service est créé pour vous.
## Modification d'un rôle lié à un service pour les notifications AWS CodeStar
Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas modifier le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez utiliser IAM pour modifier la description du rôle. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour les notifications AWS CodeStar
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement. Pour AWS CodeStar les notifications, cela signifie supprimer toutes les règles de notification qui utilisent le rôle de service dans votre AWS compte.
**Note**
Si le service AWS CodeStar Notifications utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer AWS CodeStar les ressources de notifications utilisées par AWSService RoleForCodeStarNotifications**
1. Ouvrez la console AWS Developer Tools dans [https://console.aws.amazon.com/codesuite/Paramètres/notifications](https://console.aws.amazon.com/codesuite/settings/notifications/).
**Note**
Les règles de notification s'appliquent à la AWS région dans laquelle elles sont créées. Si vous avez des règles de notification dans plusieurs AWS régions, utilisez le sélecteur de région pour modifier les Région AWS.
1. Choisissez toutes les règles de notification qui apparaissent dans la liste, puis choisissez **Delete (Supprimer)**.
1. Répétez ces étapes dans toutes les AWS régions dans lesquelles vous avez créé des règles de notification.
**Pour **utiliser IAM** et supprimer le rôle lié à un service **
Utilisez la console IAM ou l' AWS CLI Gestion des identités et des accès AWS API pour supprimer le rôle lié au AWSService RoleForCodeStarNotifications service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles AWS CodeStar liés au service Notifications
AWS CodeStar Les notifications permettent d'utiliser des rôles liés au service dans toutes les AWS régions où le service est disponible. Pour plus d'informations, consultez [AWS Régions, points de terminaison et AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) [CodeStar notifications](https://docs.aws.amazon.com/general/latest/gr/codestar_notifications.html).
# Utilisation de rôles liés à un service pour AWS CodeConnections
AWS CodeConnections utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS CodeConnections Les rôles liés au service sont prédéfinis par AWS CodeConnections et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Ce rôle est créé pour vous la première fois que vous créez une connexion. Vous n'avez donc pas à créer le rôle.
Un rôle lié à un service facilite la configuration AWS CodeConnections car il n'est pas nécessaire d'ajouter des autorisations manuellement. AWS CodeConnections définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS CodeConnections peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Pour supprimer un rôle lié à un service, vous devez d'abord supprimer ses ressources associées. Cela protège vos AWS CodeConnections ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour obtenir des informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Note**
Les actions pour les ressources créées sous le nouveau préfixe de service `codeconnections` sont disponibles. La création d'une ressource sous le nouveau préfixe de service sera utilisée `codeconnections` dans l'ARN de la ressource. Les actions et les ressources relatives au préfixe de `codestar-connections` service restent disponibles. Lorsque vous spécifiez une ressource dans la politique IAM, le préfixe de service doit correspondre à celui de la ressource.
## Autorisations de rôle liées à un service pour AWS CodeConnections
AWS CodeConnections utilise le rôle AWSService RoleForGitSync lié au service pour utiliser Git sync avec les référentiels Git connectés.
Le rôle AWSService RoleForGitSync lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `repository.sync.codeconnections.amazonaws.com`
La politique d'autorisations de rôle nommée AWSGit SyncServiceRolePolicy AWS CodeConnections permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : accorde des autorisations permettant aux utilisateurs de créer des connexions vers des référentiels basés sur Git externes et d'utiliser la synchronisation Git avec ces référentiels.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour en savoir plus, consultez [Service-Linked Role Permissions (autorisations du rôle lié à un service)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour AWS CodeConnections
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Vous créez le rôle lorsque vous créez une ressource pour votre projet synchronisé avec Git avec l'API. CreateRepositoryLink
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte.
## Modification d'un rôle lié à un service pour AWS CodeConnections
Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas modifier le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez utiliser IAM pour modifier la description du rôle. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour AWS CodeConnections
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement. Cela implique de supprimer toutes les connexions utilisant le rôle de service dans votre AWS compte.
**Note**
Si le AWS CodeConnections service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les AWS CodeConnections ressources utilisées par AWSService RoleForGitSync**
1. Ouvrez la console Developer Tools, puis choisissez **Paramètres**.
1. Choisissez toutes connexions qui apparaissent dans la liste, puis **Supprimer**.
1. Répétez ces étapes dans toutes les AWS régions où vous avez créé des connexions.
**Pour **utiliser IAM** et supprimer le rôle lié à un service **
Utilisez la console IAM ou l' AWS CLI Gestion des identités et des accès AWS API pour supprimer le rôle lié au AWSService RoleForGitSync service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles AWS CodeConnections liés à un service
AWS CodeConnections prend en charge l'utilisation de rôles liés au service dans toutes les AWS régions où le service est disponible. Pour plus d’informations, consultez [Régions et Points de terminaison AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# AWS politiques gérées pour AWS CodeConnections
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
**Note**
Les actions pour les ressources créées sous le nouveau préfixe de service `codeconnections` sont disponibles. La création d'une ressource sous le nouveau préfixe de service sera utilisée `codeconnections` dans l'ARN de la ressource. Les actions et les ressources relatives au préfixe de `codestar-connections` service restent disponibles. Lorsque vous spécifiez une ressource dans la politique IAM, le préfixe de service doit correspondre à celui de la ressource.
## AWS politique gérée : AWSGit SyncServiceRolePolicy
Vous ne pouvez pas vous associer AWSGit SyncServiceRolePolicy à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet d' AWS CodeConnections effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour AWS CodeConnections](service-linked-role-connections.md).
Cette politique permet aux clients d'accéder à des référentiels basés sur Git à utiliser avec des connexions. Les clients auront accès à ces ressources après avoir utilisé l' CreateRepositoryLink API.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `codeconnections` : accorde des autorisations permettant aux utilisateurs de créer des connexions à des référentiels externes basés sur Git.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessGitRepos",
"Effect": "Allow",
"Action": [
"codestar-connections:UseConnection",
"codeconnections:UseConnection"
],
"Resource": [
"arn:aws:codestar-connections:*:*:connection/*",
"arn:aws:codeconnections:*:*:connection/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS CodeConnections mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées AWS CodeConnections depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page [Historique du AWS CodeConnections document](doc-history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSGitSyncServiceRolePolicy](#security-iam-awsmanpol-AWSGitSyncServiceRolePolicy)— Politique mise à jour | Le nom du service AWS CodeStar Connections a été remplacé par AWS CodeConnections. Mise à jour de la politique pour les ressources ARNs contenant les deux préfixes de service. | 26 avril 2024 |
| [AWSGitSyncServiceRolePolicy](#security-iam-awsmanpol-AWSGitSyncServiceRolePolicy) : nouvelle politique | AWS CodeStar Connections a ajouté cette politique. Accorde des autorisations permettant aux utilisateurs de connexions d'utiliser Git sync avec les référentiels connectés basés sur Git. | 26 novembre 2023 |
| AWS CodeConnections a commencé à suivre les modifications | AWS CodeConnections a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 26 novembre 2023 |
# Validation de conformité pour AWS CodeStar les notifications et AWS CodeConnections
Pour une liste des AWS services concernés par des programmes de conformité spécifiques, voir [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/). Pour obtenir des informations générales, veuillez consulter [Programmes de conformité d’AWS](https://aws.amazon.com/compliance/programs/).
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, consultez la section [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Votre responsabilité en matière de conformité lorsque vous utilisez AWS CodeStar les notifications AWS CodeConnections est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. AWS fournit les ressources suivantes pour faciliter la mise en conformité :
+ [Guides de démarrage rapide sur la sécurité et la conformité](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) : ces guides de déploiement abordent les considérations architecturales et indiquent les étapes à suivre pour déployer des environnements de base axés sur la sécurité et la conformité sur. AWS
+ [AWS ressources de conformité](https://aws.amazon.com/compliance/resources/) — Cette collection de classeurs et de guides peut s'appliquer à votre secteur d'activité et à votre région.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Ce AWS service évalue dans quelle mesure les configurations de vos ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ce AWS service fournit une vue complète de l'état de votre sécurité interne, AWS ce qui vous permet de vérifier votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité.
# Résilience dans AWS CodeStar les notifications et AWS CodeConnections
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. AWS Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
+ Les règles de notification sont spécifiques à l' Région AWS endroit où elles sont créées. Si vous avez des règles de notification dans plusieurs d'entre elles Région AWS, utilisez le sélecteur de région pour passer en revue les règles de notification de chacune Région AWS d'entre elles.
+ AWS CodeStar Les notifications s'appuient sur les rubriques Amazon Simple Notification Service (Amazon SNS) comme cibles des règles de notification. De ce fait, les informations sur vos rubriques Amazon SNS et les cibles de règle de notification peuvent être stockées dans une région AWS en dehors de la région où vous avez configuré la règle de notification.
# Sécurité de l'infrastructure dans AWS CodeStar les notifications et AWS CodeConnections
En tant que fonctionnalités d'un service géré, les AWS CodeStar notifications AWS CodeConnections sont protégées par les procédures de sécurité du réseau AWS mondial décrites dans le livre blanc [Amazon Web Services : présentation des processus de sécurité](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Vous utilisez des appels d'API AWS publiés pour accéder aux AWS CodeStar notifications et AWS CodeConnections via le réseau. Les clients doivent supporter le protocole TLS (Sécurité de la couche transport) 1.0 ou une version ultérieure. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes prennent en charge ces modes.
Les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associée à un mandataire IAM. Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) pour générer des informations d'identification de sécurité temporaires et signer les demandes.
## Trafic entre les AWS CodeConnections ressources d'une région à l'autre
Si vous utilisez la fonction de connexion pour permettre la connexion de vos ressources, vous acceptez et nous demandez de stocker et de traiter les informations associées à ces ressources de connexion en Régions AWS dehors de l' Régions AWS endroit où vous utilisez le service sous-jacent, uniquement dans le cadre et dans le seul but de fournir une connexion à ces ressources dans des régions autres que celle où la ressource a été créée.
Pour de plus amples informations, veuillez consulter [Ressources mondiales en AWS CodeConnections](welcome-connections-how-it-works-global.md).
**Note**
Si vous utilisez la fonction de connexions pour activer la connexion à vos ressources dans des régions qui ne nécessitent pas d'être activées au préalable, nous stockons et traitons les informations comme indiqué dans les rubriques précédentes.
Pour les connexions établies dans des régions qui doivent d'abord être activées, telles que la région Europe (Milan), nous stockons et traitons uniquement les informations relatives à cette connexion dans cette région.