Exemple : politique de création CLI et AWS CodeConnections de visualisation à l'aide de la console Exemple : politique de création à l' AWS CodeConnections aide de la console Exemple : politique de gestion au niveau de l'administrateur AWS CodeConnections Exemple : politique d'utilisation au niveau du contributeur AWS CodeConnections Exemple : read-only-level politique d'utilisation AWS CodeConnections Exemple : politique limitée à utiliser AWS CodeConnections avec un référentiel spécifié Exemple : politique pour utiliser une connexion avec CodePipeline Exemple : utiliser un rôle CodeBuild de service pour les opérations de lecture de Bitbucket avec AWS CodeConnections Exemple : empêcher le rôle CodeBuild de service d'effectuer des opérations avec AWS CodeConnections

Autorisations et exemples pour AWS CodeConnections

Les déclarations et exemples de politique suivants peuvent vous aider à gérer AWS CodeConnections.

Pour plus d'informations sur la création d'une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, voir Création de politiques dans l'JSONonglet du Guide de l'IAMutilisateur.

Exemple : politique de création CLI et AWS CodeConnections de visualisation à l'aide de la console

Un rôle ou un utilisateur désigné pour utiliser AWS CLI ou SDK pour afficher, créer, étiqueter ou supprimer des connexions doit disposer d'autorisations limitées aux suivantes.

Note

Vous ne pouvez établir une connexion dans la console qu'avec les autorisations suivantes. Vous devez ajouter les autorisations de la section suivante.

Pour utiliser la console dans e but d'afficher une liste des connexions disponibles, d'afficher les balises et d'utiliser une connexion, utilisez la stratégie suivante.


{
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "ConnectionsFullAccess",
        "Effect": "Allow",
        "Action": [
            "codeconnections:CreateConnection",
            "codeconnections:DeleteConnection",
            "codeconnections:UseConnection",
            "codeconnections:GetConnection",
            "codeconnections:ListConnections",
            "codeconnections:TagResource",
            "codeconnections:ListTagsForResource",
            "codeconnections:UntagResource"
        ],
        "Resource": "*"
     }
   ]
}

Exemple : politique de création à l' AWS CodeConnections aide de la console

Un rôle ou un utilisateur désigné pour gérer les connexions dans la console doit disposer des autorisations requises pour établir une connexion dans la console et créer une installation, ce qui inclut l'autorisation de négocier avec le fournisseur et de créer des installations pour l'utilisation des connexions.UseConnection doit également être ajouté pour utiliser la connexion dans la console. Utilisez la stratégie suivante pour afficher, utiliser, créer, étiqueter ou supprimer une connexion dans la console.

Note

À compter du 1er juillet 2024, la console crée des connexions avec codeconnections la ressourceARN. Les ressources associées aux deux préfixes de service continueront de s'afficher dans la console.

Note

Pour les ressources créées à l'aide de la console, les actions de déclaration de politique doivent être incluses codestar-connections comme préfixe de service, comme indiqué dans l'exemple suivant.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codestar-connections:CreateConnection",
                "codestar-connections:DeleteConnection",
                "codestar-connections:GetConnection",
                "codestar-connections:ListConnections",
                "codestar-connections:GetInstallationUrl",
                "codestar-connections:GetIndividualAccessToken",
                "codestar-connections:ListInstallationTargets",
                "codestar-connections:StartOAuthHandshake",
                "codestar-connections:UpdateConnectionInstallation",
                "codestar-connections:UseConnection",
                "codestar-connections:TagResource",
                "codestar-connections:ListTagsForResource",
                "codestar-connections:UntagResource"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Exemple : politique de gestion au niveau de l'administrateur AWS CodeConnections

Dans cet exemple, vous souhaitez accorder un accès complet à un IAM utilisateur de votre AWS compte CodeConnections afin qu'il puisse ajouter, mettre à jour et supprimer des connexions. Il s'agit d'une politique d'accès complet, équivalente à la politique FullAccess gérée AWSCodePipeline_. À l'instar de cette politique gérée, vous ne devez associer ce type de déclaration de politique qu'aux IAM utilisateurs, aux groupes ou aux rôles qui nécessitent un accès administratif complet aux connexions de votre AWS compte.


{
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "ConnectionsFullAccess",
        "Effect": "Allow",
        "Action": [
            "codeconnections:CreateConnection",
            "codeconnections:DeleteConnection",
            "codeconnections:UseConnection",
            "codeconnections:GetConnection",
            "codeconnections:ListConnections",
            "codeconnections:ListInstallationTargets",
            "codeconnections:GetInstallationUrl",
            "codeconnections:StartOAuthHandshake",
            "codeconnections:UpdateConnectionInstallation",
            "codeconnections:GetIndividualAccessToken",
            "codeconnections:TagResource",
            "codeconnections:ListTagsForResource",
            "codeconnections:UntagResource"
        ],
        "Resource": "*"
     }
   ]
}

Exemple : politique d'utilisation au niveau du contributeur AWS CodeConnections

Dans cet exemple, vous souhaitez autoriser l'accès à l' day-to-dayutilisation de CodeConnections, telles que la création et l'affichage des détails des connexions, mais pas à des actions plus destructrices, telles que la suppression de connexions.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCodeConnectionsPowerUserAccess",
            "Effect": "Allow",
            "Action": [
                "codeconnections:CreateConnection",
                "codeconnections:UseConnection",
                "codeconnections:GetConnection",
                "codeconnections:ListConnections",
                "codeconnections:ListInstallationTargets",
                "codeconnections:GetInstallationUrl",
                "codeconnections:GetIndividualAccessToken",
                "codeconnections:StartOAuthHandshake",
                "codeconnections:UpdateConnectionInstallation",
                "codeconnections:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

Exemple : read-only-level politique d'utilisation AWS CodeConnections

Dans cet exemple, vous souhaitez accorder à un IAM utilisateur de votre compte un accès en lecture seule aux connexions de votre AWS compte. Cet exemple montre comment créer une stratégie qui permet d'afficher ces éléments.


{
    "Version": "2012-10-17",
    "Id": "Connections__ReadOnly",
    "Statement": [
        {
            "Sid": "Reads_API_Access",
            "Effect": "Allow",
            "Action": [
            "codeconnections:GetConnection",
            "codeconnections:ListConnections",
            "codeconnections:ListInstallationTargets",
            "codeconnections:GetInstallationUrl",
            "codeconnections:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

Exemple : politique limitée à utiliser AWS CodeConnections avec un référentiel spécifié

Dans l'exemple suivant, le client souhaite que le rôle de CodeBuild service accède au référentiel Bitbucket spécifié. La politique relative au rôle CodeBuild de service :


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "codeconnections:UseConnection"
        ],
        "Resource": "arn:aws:codeconnections:us-west-2:connection:3dee99b9-172f-4ebe-a257-722365a39557",
        "Condition": {"ForAllValues:StringEquals": {"codeconnections:FullRepositoryId": "myrepoowner/myreponame"}}
    }
}

Exemple : politique pour utiliser une connexion avec CodePipeline

Dans l'exemple suivant, un administrateur souhaite que les utilisateurs utilisent une connexion avec CodePipeline. La stratégie attachée à l'utilisateur :


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "codeconnections:PassConnection"
        ],
        "Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f",
        "Condition": {"ForAllValues:StringEquals": {"codeconnections:PassedToService": "codepipeline.amazonaws.com"}}
    }
}

Exemple : utiliser un rôle CodeBuild de service pour les opérations de lecture de Bitbucket avec AWS CodeConnections

Dans l'exemple suivant, le client souhaite que le rôle de CodeBuild service effectue des opérations de lecture sur Bitbucket quel que soit le référentiel. La politique relative au rôle CodeBuild de service :


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "codeconnections:UseConnection"
        ],
        "Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f",
        "Condition": {"ForAllValues:StringEquals": {"codeconnections:ProviderPermissionsRequired": "read_only"}}
    }
}

Exemple : empêcher le rôle CodeBuild de service d'effectuer des opérations avec AWS CodeConnections

Dans l'exemple suivant, le client souhaite empêcher le rôle de CodeBuild service d'effectuer une opération telle queCreateRepository. La politique relative au rôle CodeBuild de service :


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "codeconnections:UseConnection"
        ],
        "Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f",
        "Condition": {"ForAllValues:StringNotEquals": {"codeconnections:ProviderAction": "CreateRepository"}}
    }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Autorisations et exemples pour les AWS CodeStar notifications

Utilisation de balises pour contrôler l'accès aux AWS CodeConnections ressources