Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Berikan akses ke AWS sumber daya proyek dengan peran IAM
CodeCatalyst dapat mengakses AWS sumber daya dengan menghubungkan Anda Akun AWS ke CodeCatalyst ruang. Anda kemudian dapat membuat peran layanan berikut dan mengaitkannya saat Anda menghubungkan akun Anda.
Untuk informasi selengkapnya tentang elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi Elemen Kebijakan IAM JSON di Panduan Pengguna IAM.
-
Untuk mengakses sumber daya dalam CodeCatalyst proyek dan alur kerja Anda, Anda harus terlebih dahulu memberikan izin CodeCatalyst untuk mengakses sumber daya tersebut atas nama Anda. Akun AWS Untuk melakukannya, Anda harus membuat peran layanan dalam koneksi Akun AWS yang CodeCatalyst dapat diasumsikan atas nama pengguna dan proyek di ruang tersebut. Anda dapat memilih untuk membuat dan menggunakan peran CodeCatalystWorkflowDevelopmentRole-
spaceNamelayanan, atau Anda dapat membuat peran layanan yang disesuaikan dan mengonfigurasi kebijakan dan peran IAM ini secara manual. Sebagai praktik terbaik, tetapkan peran ini paling sedikit izin yang diperlukan.catatan
Untuk peran layanan yang disesuaikan, prinsipal CodeCatalyst layanan diperlukan. Untuk informasi lebih lanjut tentang prinsip CodeCatalyst layanan dan model kepercayaan, lihatMemahami model CodeCatalyst kepercayaan.
-
Untuk mengelola dukungan ruang melalui koneksi Akun AWS, Anda dapat memilih untuk membuat dan menggunakan peran AWSRoleForCodeCatalystSupportlayanan yang memungkinkan CodeCatalyst pengguna mengakses dukungan. Untuk informasi selengkapnya tentang dukungan untuk CodeCatalyst ruang, lihatDukunganuntuk Amazon CodeCatalyst.
Memahami peran CodeCatalystWorkflowDevelopmentRole-spaceNamelayanan
Anda dapat menambahkan peran IAM untuk ruang Anda yang CodeCatalyst dapat digunakan untuk membuat dan mengakses sumber daya yang terhubung Akun AWS. Ini disebut peran layanan. Cara termudah untuk membuat peran layanan adalah dengan menambahkan satu ketika Anda membuat ruang dan memilih CodeCatalystWorkflowDevelopmentRole-spaceNameopsi untuk peran itu. Ini tidak hanya menciptakan peran layanan dengan AdministratorAccess terlampir, tetapi juga menciptakan kebijakan kepercayaan yang memungkinkan CodeCatalyst untuk mengambil peran atas nama pengguna dalam proyek di ruang. Peran layanan dicakup ke ruang, bukan untuk proyek individu. Untuk membuat peran ini, lihat Membuat CodeCatalystWorkflowDevelopmentRole-spaceNameperan untuk akun dan ruang Anda. Anda hanya dapat membuat satu peran untuk setiap ruang di setiap akun.
catatan
Peran ini hanya direkomendasikan untuk digunakan dengan akun pengembangan dan menggunakan kebijakan AdministratorAccess AWS terkelola, memberikan akses penuh untuk membuat kebijakan dan sumber daya baru dalam hal ini Akun AWS.
Kebijakan yang melekat pada CodeCatalystWorkflowDevelopmentRole-spaceNameperan dirancang untuk bekerja dengan proyek yang dibuat dengan cetak biru di ruang angkasa. Hal ini memungkinkan pengguna dalam proyek-proyek untuk mengembangkan, membangun, menguji, dan menyebarkan kode menggunakan sumber daya di terhubung Akun AWS. Untuk informasi selengkapnya, lihat Membuat peran untuk AWS layanan.
Kebijakan yang melekat pada CodeCatalystWorkflowDevelopmentRole-spaceNameperan tersebut adalah kebijakan yang AdministratorAccess dikelola AWS. Ini adalah kebijakan yang memberikan akses penuh ke semua AWS tindakan dan sumber daya. Untuk melihat dokumen kebijakan JSON di konsol IAM, lihat. AdministratorAccess
Kebijakan kepercayaan berikut memungkinkan CodeCatalyst untuk mengambil CodeCatalystWorkflowDevelopmentRole-spaceNameperan. Untuk informasi lebih lanjut tentang model CodeCatalyst kepercayaan, lihatMemahami model CodeCatalyst kepercayaan.
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
Membuat CodeCatalystWorkflowDevelopmentRole-spaceNameperan untuk akun dan ruang Anda
Ikuti langkah-langkah ini untuk membuat CodeCatalystWorkflowDevelopmentRole- peran yang akan digunakan untuk alur kerja di ruang Anda. Untuk setiap akun yang ingin memiliki peran IAM untuk digunakan dalam proyek, ke ruang Anda, Anda harus menambahkan peran seperti peran pengembang. spaceName
Sebelum Anda mulai, Anda harus memiliki hak administratif untuk Anda Akun AWS atau dapat bekerja dengan administrator Anda. Untuk informasi selengkapnya tentang bagaimana Akun AWS dan peran IAM digunakan CodeCatalyst, lihatMemungkinkan akses ke AWS sumber daya yang terhubung Akun AWS.
Untuk membuat dan menambahkan CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName
-
Sebelum Anda mulai di CodeCatalyst konsol, buka AWS Management Console, dan kemudian pastikan Anda masuk dengan yang sama Akun AWS untuk ruang Anda.
Buka CodeCatalyst konsol di https://codecatalyst.aws/
. -
Arahkan ke CodeCatalyst ruang Anda. Pilih Pengaturan, lalu pilih Akun AWS.
-
Pilih tautan untuk Akun AWS tempat Anda ingin membuat peran. Halaman Akun AWS detail ditampilkan.
-
Pilih Kelola peran dari AWS Management Console.
Peran Tambahkan IAM ke halaman CodeCatalyst ruang Amazon terbuka di. AWS Management Console Ini adalah halaman CodeCatalyst spasi Amazon. Anda mungkin perlu masuk untuk mengakses halaman.
-
Pilih Buat peran administrator CodeCatalyst pengembangan di IAM. Opsi ini membuat peran layanan yang berisi kebijakan izin dan kebijakan kepercayaan untuk peran pengembangan. Peran akan memiliki nama
CodeCatalystWorkflowDevelopmentRole-. Untuk informasi selengkapnya tentang kebijakan peran dan peran, lihatMemahami peran CodeCatalystWorkflowDevelopmentRole-spaceNamelayanan.spaceNamecatatan
Peran ini hanya disarankan untuk digunakan dengan akun pengembang dan menggunakan kebijakan
AdministratorAccessAWS terkelola, memberikan akses penuh untuk membuat kebijakan dan sumber daya baru dalam hal ini Akun AWS. -
Pilih Buat peran pengembangan.
-
Pada halaman koneksi, di bawah peran IAM yang tersedia untuk CodeCatalyst, lihat
CodeCatalystWorkflowDevelopmentRole-peran dalam daftar peran IAM yang ditambahkan ke akun Anda.spaceName -
Untuk kembali ke ruang Anda, pilih Buka Amazon CodeCatalyst.
Memahami peran AWSRoleForCodeCatalystSupportlayanan
Anda dapat menambahkan peran IAM untuk ruang yang dapat digunakan CodeCatalyst pengguna dalam ruang untuk membuat dan mengakses kasus dukungan. Ini disebut peran layanan untuk dukungan.Cara paling sederhana untuk membuat peran layanan untuk dukungan adalah dengan menambahkan satu ketika Anda membuat ruang dan memilih AWSRoleForCodeCatalystSupport opsi untuk peran itu. Ini tidak hanya menciptakan kebijakan dan peran, tetapi juga menciptakan kebijakan kepercayaan yang memungkinkan CodeCatalyst untuk mengambil peran atas nama pengguna dalam proyek di ruang angkasa. Peran layanan dicakup ke ruang, bukan untuk proyek individu. Untuk membuat peran ini, lihat Membuat AWSRoleForCodeCatalystSupportperan untuk akun dan ruang Anda.
Kebijakan yang dilampirkan pada AWSRoleForCodeCatalystSupport peran adalah kebijakan terkelola yang menyediakan akses ke izin dukungan. Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS: AmazonCodeCatalystSupportAccess.
Peran kepercayaan untuk kebijakan memungkinkan CodeCatalyst untuk mengambil peran.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst.amazonaws.com", "codecatalyst-runner.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
Membuat AWSRoleForCodeCatalystSupportperan untuk akun dan ruang Anda
Ikuti langkah-langkah ini untuk membuat AWSRoleForCodeCatalystSupport peran yang akan digunakan untuk kasus dukungan di ruang Anda. Peran harus ditambahkan ke akun penagihan yang ditunjuk untuk ruang tersebut.
Sebelum Anda mulai, Anda harus memiliki hak administratif untuk Anda Akun AWS atau dapat bekerja dengan administrator Anda. Untuk informasi selengkapnya tentang bagaimana Akun AWS dan peran IAM digunakan CodeCatalyst, lihatMemungkinkan akses ke AWS sumber daya yang terhubung Akun AWS.
Untuk membuat dan menambahkan CodeCatalyst AWSRoleForCodeCatalystSupport
-
Sebelum Anda mulai di CodeCatalyst konsol, buka AWS Management Console, dan kemudian pastikan Anda masuk dengan yang sama Akun AWS untuk ruang Anda.
-
Arahkan ke CodeCatalyst ruang Anda. Pilih Pengaturan, lalu pilih Akun AWS.
-
Pilih tautan untuk Akun AWS tempat Anda ingin membuat peran. Halaman Akun AWS detail ditampilkan.
-
Pilih Kelola peran dari AWS Management Console.
Peran Tambahkan IAM ke halaman CodeCatalyst ruang Amazon terbuka di. AWS Management Console Ini adalah halaman Amazon CodeCatalyst Spaces. Anda mungkin perlu masuk untuk mengakses halaman.
-
Di bawah detail CodeCatalyst spasi, pilih peran Tambah CodeCatalyst Dukungan. Opsi ini membuat peran layanan yang berisi kebijakan izin dan kebijakan kepercayaan untuk peran pengembangan pratinjau. Peran akan memiliki nama AWSRoleForCodeCatalystSupportdengan pengenal unik ditambahkan. Untuk informasi selengkapnya tentang kebijakan peran dan peran, lihatMemahami peran AWSRoleForCodeCatalystSupportlayanan.
-
Pada halaman Add role for CodeCatalyst Support, biarkan default dipilih, lalu pilih Create role.
-
Di bawah peran IAM yang tersedia CodeCatalyst, lihat
CodeCatalystWorkflowDevelopmentRole-peran dalam daftar peran IAM yang ditambahkan ke akun Anda.spaceName -
Untuk kembali ke ruang Anda, pilih Buka Amazon CodeCatalyst.
Mengkonfigurasi peran IAM untuk tindakan alur kerja di CodeCatalyst
Bagian ini merinci peran dan kebijakan IAM yang dapat Anda buat untuk digunakan dengan CodeCatalyst akun Anda. Untuk instruksi untuk membuat contoh peran, lihatMembuat peran secara manual untuk tindakan alur kerja. Setelah Anda membuat peran IAM, salin peran ARN untuk menambahkan peran IAM ke koneksi akun Anda dan kaitkan dengan lingkungan proyek Anda. Untuk mempelajari selengkapnya, lihat Menambahkan peran IAM ke koneksi akun.
CodeCatalyst membangun peran untuk akses Amazon S3
Untuk tindakan pembuatan CodeCatalyst alur kerja, Anda dapat menggunakan peran CodeCatalystWorkflowDevelopmentRole-spaceNamelayanan default, atau Anda dapat membuat peran IAM bernama CodeCatalystBuildRolefor S3Access. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas pada AWS CloudFormation sumber daya di Anda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
-
Menulis ke ember Amazon S3.
-
Support membangun sumber daya dengan AWS CloudFormation. Ini membutuhkan akses Amazon S3.
Peran ini menggunakan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "resource_ARN", "Effect": "Allow" }] }
catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*"
CodeCatalyst membangun peran untuk AWS CloudFormation
Untuk tindakan pembuatan CodeCatalyst alur kerja, Anda dapat menggunakan peran CodeCatalystWorkflowDevelopmentRole-spaceNamelayanan default, atau Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas pada AWS CloudFormation sumber daya di Anda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
-
Support membangun sumber daya dengan AWS CloudFormation. Ini diperlukan bersama dengan peran CodeCatalyst build untuk akses Amazon S3 dan peran CodeCatalyst penerapan untuk. AWS CloudFormation
Kebijakan AWS terkelola berikut harus dilampirkan pada peran ini:
-
AWSCloudFormationFullAccess
-
IAM FullAccess
-
AmazonS3 FullAccess
-
AmazonAPI GatewayAdministrator
-
AWSLambdaFullAccess
CodeCatalyst membangun peran untuk CDK
Untuk CodeCatalyst alur kerja yang menjalankan tindakan build CDK, seperti aplikasi web tiga tingkat modern, Anda dapat menggunakan peran CodeCatalystWorkflowDevelopmentRole-spaceNamelayanan default, atau Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu bootstrap dan menjalankan perintah build CDK untuk sumber daya di Anda. AWS CloudFormation Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
-
Menulis ke ember Amazon S3.
-
Support membangun konstruksi CDK dan tumpukan AWS CloudFormation sumber daya. Ini memerlukan akses ke Amazon S3 untuk penyimpanan artefak, Amazon ECR untuk dukungan repositori gambar, dan SSM untuk tata kelola sistem dan pemantauan untuk instans virtual.
Peran ini menggunakan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }
catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*"
CodeCatalyst menyebarkan peran untuk AWS CloudFormation
Untuk tindakan penerapan CodeCatalyst alur kerja yang digunakan AWS CloudFormation, Anda dapat menggunakan peran CodeCatalystWorkflowDevelopmentRole-spaceNamelayanan default, atau Anda dapat menggunakan kebijakan dengan izin cakupan yang CodeCatalyst diperlukan untuk menjalankan tugas pada sumber daya di Anda. AWS CloudFormation Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
-
Izinkan CodeCatalyst untuk memanggil fungsi Λ untuk melakukan penyebaran biru/hijau melalui. AWS CloudFormation
-
Izinkan CodeCatalyst untuk membuat dan memperbarui tumpukan dan set perubahan di. AWS CloudFormation
Peran ini menggunakan kebijakan berikut:
{"Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "resource_ARN", "Effect": "Allow" }
catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*"
CodeCatalyst menyebarkan peran untuk Amazon EC2
CodeCatalyst tindakan penerapan alur kerja menggunakan peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas di sumber daya Amazon EC2 di Anda. Akun AWS Kebijakan default untuk CodeCatalystWorkflowDevelopmentRole-spaceNameperan tidak menyertakan izin untuk Amazon EC2 atau Amazon EC2 Auto Scaling.
Peran ini memberikan izin untuk melakukan hal berikut:
-
Buat penerapan Amazon EC2.
-
Baca tag pada instans atau identifikasi instans Amazon EC2 dengan nama grup Auto Scaling.
-
Baca, buat, perbarui, dan hapus grup Auto Scaling Amazon EC2, kait siklus hidup, dan kebijakan penskalaan.
-
Publikasikan informasi ke topik Amazon SNS.
-
Ambil informasi tentang CloudWatch alarm.
-
Baca dan perbarui Elastic Load Balancing.
Peran ini menggunakan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:CompleteLifecycleAction", "autoscaling:DeleteLifecycleHook", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLifecycleHooks", "autoscaling:PutLifecycleHook", "autoscaling:RecordLifecycleActionHeartbeat", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:EnableMetricsCollection", "autoscaling:DescribePolicies", "autoscaling:DescribeScheduledActions", "autoscaling:DescribeNotificationConfigurations", "autoscaling:SuspendProcesses", "autoscaling:ResumeProcesses", "autoscaling:AttachLoadBalancers", "autoscaling:AttachLoadBalancerTargetGroups", "autoscaling:PutScalingPolicy", "autoscaling:PutScheduledUpdateGroupAction", "autoscaling:PutNotificationConfiguration", "autoscaling:PutWarmPool", "autoscaling:DescribeScalingActivities", "autoscaling:DeleteAutoScalingGroup", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:TerminateInstances", "tag:GetResources", "sns:Publish", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets" ], "Resource": "resource_ARN" } ] }
catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*"
CodeCatalyst menyebarkan peran untuk Amazon ECS
Untuk tindakan CodeCatalyst alur kerja, Anda dapat membuat peran IAM dengan izin yang diperlukan. Anda dapat menggunakan peran CodeCatalystWorkflowDevelopmentRole-spaceNamelayanan default, atau Anda dapat membuat peran IAM untuk tindakan CodeCatalyst penerapan yang akan digunakan untuk penerapan Lambda. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas di sumber daya Amazon ECS di Anda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
-
Memulai penerapan Amazon ECS yang bergulir atas nama CodeCatalyst pengguna, di akun yang ditentukan dalam koneksi. CodeCatalyst
-
Baca, perbarui, dan hapus set tugas Amazon ECS.
-
Perbarui grup target Elastic Load Balancing, pendengar, dan aturan.
-
Memanggil fungsi Lambda.
-
Akses file revisi di bucket Amazon S3.
-
Ambil informasi tentang CloudWatch alarm.
-
Publikasikan informasi ke topik Amazon SNS.
Peran ini menggunakan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [{ "Action":[ "ecs:DescribeServices", "ecs:CreateTaskSet", "ecs:DeleteTaskSet", "ecs:ListClusters", "ecs:RegisterTaskDefinition", "ecs:UpdateServicePrimaryTaskSet", "ecs:UpdateService", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:ModifyListener", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:ModifyRule", "lambda:InvokeFunction", "lambda:ListFunctions", "cloudwatch:DescribeAlarms", "sns:Publish", "sns:ListTopics", "s3:GetObject", "s3:GetObjectVersion", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetDeployment", "codedeploy:GetDeploymentGroup", "codedeploy:ListApplications", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:StopDeployment", "codedeploy:GetDeploymentTarget", "codedeploy:ListDeploymentTargets", "codedeploy:GetDeploymentConfig", "codedeploy:GetApplicationRevision", "codedeploy:RegisterApplicationRevision", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:BatchGetApplications", "codedeploy:ListApplicationRevisions", "codedeploy:ListDeploymentConfigs", "codedeploy:ContinueDeployment" ], "Resource":"*", "Effect":"Allow" },{"Action":[ "iam:PassRole" ], "Effect":"Allow", "Resource":"*", "Condition":{"StringLike":{"iam:PassedToService":[ "ecs-tasks.amazonaws.com", "codedeploy.amazonaws.com" ] } } }] }
catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*"
CodeCatalyst menyebarkan peran untuk Lambda
Untuk tindakan CodeCatalyst alur kerja, Anda dapat membuat peran IAM dengan izin yang diperlukan. Anda dapat menggunakan peran CodeCatalystWorkflowDevelopmentRole-spaceNamelayanan default, atau Anda membuat peran IAM untuk tindakan CodeCatalyst penerapan yang akan digunakan untuk penerapan Lambda. Peran ini menggunakan kebijakan dengan izin cakupan yang CodeCatalyst diperlukan untuk menjalankan tugas pada sumber daya Lambda di sumber daya Lambda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
-
Baca, perbarui, dan panggil fungsi dan alias Lambda.
-
Akses file revisi di bucket Amazon S3.
-
Ambil informasi tentang alarm CloudWatch Acara.
-
Publikasikan informasi ke topik Amazon SNS.
Peran ini menggunakan kebijakan berikut:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*"
CodeCatalyst menyebarkan peran untuk Lambda
Untuk tindakan CodeCatalyst alur kerja, Anda dapat menggunakan peran CodeCatalystWorkflowDevelopmentRole-spaceNamelayanan default, atau Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin cakupan yang CodeCatalyst diperlukan untuk menjalankan tugas pada sumber daya Lambda di sumber daya Lambda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
-
Baca, perbarui, dan panggil fungsi dan alias Lambda.
-
Akses file revisi di bucket Amazon S3.
-
Ambil informasi tentang CloudWatch alarm.
-
Publikasikan informasi ke topik Amazon SNS.
Peran ini menggunakan kebijakan berikut:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*"
CodeCatalyst menyebarkan peran untuk AWS SAM
Untuk tindakan CodeCatalyst alur kerja, Anda dapat menggunakan peran CodeCatalystWorkflowDevelopmentRole-spaceNamelayanan default, atau Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin cakupan yang CodeCatalyst diperlukan untuk menjalankan tugas AWS SAM dan AWS CloudFormation sumber daya di Anda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
-
Izinkan CodeCatalyst untuk memanggil fungsi Lambda untuk melakukan penerapan aplikasi tanpa server dan CLI. AWS SAM
-
Izinkan CodeCatalyst untuk membuat dan memperbarui tumpukan dan set perubahan di. AWS CloudFormation
Peran ini menggunakan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }
catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*"
CodeCatalyst peran baca saja untuk Amazon EC2
Untuk tindakan CodeCatalyst alur kerja, Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas di sumber daya Amazon EC2 di Anda. Akun AWS Peran CodeCatalystWorkflowDevelopmentRole-spaceNamelayanan tidak menyertakan izin untuk Amazon EC2 atau tindakan yang dijelaskan untuk Amazon. CloudWatch
Peran ini memberikan izin untuk melakukan hal berikut:
-
Dapatkan status instans Amazon EC2.
-
Dapatkan CloudWatch metrik untuk instans Amazon EC2.
Peran ini menggunakan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe", "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": "elasticloadbalancing:Describe", "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:Describe" ], "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": "autoscaling:Describe", "Resource": "resource_ARN" } ] }
catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*"
CodeCatalyst baca saja peran untuk Amazon ECS
Untuk tindakan CodeCatalyst alur kerja, Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas di sumber daya Amazon ECS di Anda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
-
Baca set tugas Amazon ECS.
-
Ambil informasi tentang CloudWatch alarm.
Peran ini menggunakan kebijakan berikut:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:DescribeServices", "cloudwatch:DescribeAlarms" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeRules" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam:::role/ecsTaskExecutionRole", "arn:aws:iam:::role/ECSTaskExecution" ], "Condition": { "StringLike": { "iam:PassedToService": [ "ecs-tasks.amazonaws.com" ] } } } ] }
catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*"
CodeCatalyst baca saja peran untuk Lambda
Untuk tindakan CodeCatalyst alur kerja, Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin cakupan yang CodeCatalyst diperlukan untuk menjalankan tugas pada sumber daya Lambda di sumber daya Lambda. Akun AWS
Peran ini memberikan izin untuk hal-hal berikut:
-
Baca fungsi dan alias Lambda.
-
Akses file revisi di bucket Amazon S3.
-
Ambil informasi tentang CloudWatch alarm.
Peran ini menggunakan kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" } ] }
catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*"
Membuat peran secara manual untuk tindakan alur kerja
CodeCatalyst Tindakan alur kerja menggunakan peran IAM yang Anda buat disebut peran build, peran penerapan, dan peran tumpukan.
Ikuti langkah-langkah ini untuk membuat peran ini di IAM.
Untuk membuat peran penerapan
-
Buat kebijakan untuk peran tersebut, sebagai berikut:
-
Masuk ke AWS.
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, pilih Kebijakan.
-
Pilih Buat kebijakan.
-
Pilih tab JSON.
-
Hapus kode yang ada.
-
Tempel kode berikut:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*" -
Pilih Berikutnya: Tanda.
-
Pilih Berikutnya: Tinjau.
-
Dalam Nama, masukkan:
codecatalyst-deploy-policy -
Pilih Buat kebijakan.
Anda sekarang telah membuat kebijakan izin.
-
-
Buat peran deploy, sebagai berikut:
-
Di panel navigasi, pilih Peran, lalu pilih Buat peran.
-
Pilih Kebijakan kepercayaan khusus.
-
Hapus kebijakan kepercayaan kustom yang ada.
-
Tambahkan kebijakan kepercayaan khusus berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Pilih Selanjutnya.
-
Di Kebijakan izin, cari
codecatalyst-deploy-policydan pilih kotak centang. -
Pilih Selanjutnya.
-
Untuk nama Peran, masukkan:
codecatalyst-deploy-role -
Untuk deskripsi Peran, masukkan:
CodeCatalyst deploy role -
Pilih Buat peran.
Anda sekarang telah membuat peran penerapan dengan kebijakan kepercayaan dan kebijakan izin.
-
-
Dapatkan peran penyebaran ARN, sebagai berikut:
-
Di panel navigasi, pilih Peran.
-
Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (
codecatalyst-deploy-role). -
Pilih peran dari daftar.
Halaman Ringkasan peran muncul.
-
Di bagian atas, salin nilai ARN.
Anda sekarang telah membuat peran penerapan dengan izin yang sesuai, dan memperoleh ARN-nya.
-
Untuk membuat peran build
-
Buat kebijakan untuk peran tersebut, sebagai berikut:
-
Masuk ke AWS.
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, pilih Kebijakan.
-
Pilih Buat kebijakan.
-
Pilih tab JSON.
-
Hapus kode yang ada.
-
Tempel kode berikut:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*" -
Pilih Berikutnya: Tanda.
-
Pilih Berikutnya: Tinjau.
-
Dalam Nama, masukkan:
codecatalyst-build-policy -
Pilih Buat kebijakan.
Anda sekarang telah membuat kebijakan izin.
-
-
Buat peran build, sebagai berikut:
-
Di panel navigasi, pilih Peran, lalu pilih Buat peran.
-
Pilih Kebijakan kepercayaan khusus.
-
Hapus kebijakan kepercayaan kustom yang ada.
-
Tambahkan kebijakan kepercayaan khusus berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Pilih Selanjutnya.
-
Di Kebijakan izin, cari
codecatalyst-build-policydan pilih kotak centang. -
Pilih Selanjutnya.
-
Untuk nama Peran, masukkan:
codecatalyst-build-role -
Untuk deskripsi Peran, masukkan:
CodeCatalyst build role -
Pilih Buat peran.
Anda sekarang telah membuat peran build dengan kebijakan kepercayaan dan kebijakan izin.
-
-
Dapatkan peran membangun ARN, sebagai berikut:
-
Di panel navigasi, pilih Peran.
-
Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (
codecatalyst-build-role). -
Pilih peran dari daftar.
Halaman Ringkasan peran muncul.
-
Di bagian atas, salin nilai ARN.
Anda sekarang telah membuat peran build dengan izin yang sesuai, dan memperoleh ARN-nya.
-
Untuk membuat peran tumpukan
catatan
Anda tidak perlu membuat peran tumpukan, meskipun melakukannya disarankan untuk alasan keamanan. Jika Anda tidak membuat peran tumpukan, Anda harus menambahkan kebijakan izin yang dijelaskan lebih lanjut dalam prosedur ini ke peran penerapan.
-
Masuk untuk AWS menggunakan akun tempat Anda ingin menyebarkan tumpukan Anda.
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, pilih Peran. Lalu pilih Buat peran.
-
Di bagian atas, pilih AWS layanan.
-
Dari daftar layanan, pilih CloudFormation.
-
Pilih Berikutnya: Izin.
-
Di kotak pencarian, tambahkan kebijakan apa pun yang diperlukan untuk mengakses sumber daya di tumpukan Anda. Misalnya, jika tumpukan menyertakan AWS Lambda fungsi, Anda perlu menambahkan kebijakan yang memberikan akses ke Lambda.
Tip
Jika Anda tidak yakin kebijakan mana yang harus ditambahkan, Anda dapat menghilangkannya untuk saat ini. Saat Anda menguji tindakan, jika Anda tidak memiliki izin yang tepat, AWS CloudFormation menghasilkan kesalahan yang menunjukkan izin mana yang perlu Anda tambahkan.
-
Pilih Berikutnya: Tanda.
-
Pilih Berikutnya: Tinjau.
-
Untuk nama Peran, masukkan:
codecatalyst-stack-role -
Pilih Buat peran.
-
Untuk mendapatkan ARN peran tumpukan, lakukan hal berikut:
-
Di panel navigasi, pilih Peran.
-
Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (
codecatalyst-stack-role). -
Pilih peran dari daftar.
-
Pada halaman Ringkasan, salin nilai ARN Peran.
-
Menggunakan AWS CloudFormation untuk membuat kebijakan dan peran di IAM
Anda dapat memilih untuk membuat dan menggunakan AWS CloudFormation templat untuk membuat kebijakan dan peran yang Anda perlukan untuk mengakses sumber daya dalam CodeCatalyst proyek dan alur kerja Anda. Akun AWS AWS CloudFormation adalah layanan yang membantu Anda memodelkan dan mengatur AWS sumber daya Anda sehingga Anda dapat menghabiskan lebih sedikit waktu mengelola sumber daya tersebut dan lebih banyak waktu untuk berfokus pada aplikasi Anda yang berjalan AWS. Jika Anda berniat untuk membuat peran dalam beberapa Akun AWS, membuat template dapat membantu Anda melakukan tugas ini lebih cepat.
Contoh template berikut membuat peran dan kebijakan tindakan penerapan.
Parameters: CodeCatalystAccountId: Type: String Description: Account ID from the connections page ExternalId: Type: String Description: External ID from the connections page Resources: CrossAccountRole: Type: 'AWS::IAM::Role' Properties: AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Principal: AWS: - !Ref CodeCatalystAccountId Action: - 'sts:AssumeRole' Condition: StringEquals: sts:ExternalId: !Ref ExternalId Path: / Policies: - PolicyName: CodeCatalyst-CloudFormation-action-policy PolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Action: - 'cloudformation:CreateStack' - 'cloudformation:DeleteStack' - 'cloudformation:Describe*' - 'cloudformation:UpdateStack' - 'cloudformation:CreateChangeSet' - 'cloudformation:DeleteChangeSet' - 'cloudformation:ExecuteChangeSet' - 'cloudformation:SetStackPolicy' - 'cloudformation:ValidateTemplate' - 'cloudformation:List*' - 'iam:PassRole' Resource: '*'
Membuat peran secara manual untuk cetak biru aplikasi web
Cetak biru aplikasi CodeCatalyst web menggunakan peran IAM yang Anda buat disebut peran build untuk CDK, peran penerapan, dan peran tumpukan.
Ikuti langkah-langkah ini untuk membuat peran dalam IAM.
Untuk membuat peran build
-
Buat kebijakan untuk peran tersebut, sebagai berikut:
-
Masuk ke AWS.
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, pilih Kebijakan.
-
Pilih Buat Kebijakan.
-
Pilih tab JSON.
-
Hapus kode yang ada.
-
Tempel kode berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*" -
Pilih Berikutnya: Tanda.
-
Pilih Berikutnya: Tinjau.
-
Dalam Nama, masukkan:
codecatalyst-webapp-build-policy -
Pilih Buat kebijakan.
Anda sekarang telah membuat kebijakan izin.
-
-
Buat peran build, sebagai berikut:
-
Di panel navigasi, pilih Peran, lalu pilih Buat peran.
-
Pilih Kebijakan kepercayaan khusus.
-
Hapus kebijakan kepercayaan kustom yang ada.
-
Tambahkan kebijakan kepercayaan khusus berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Pilih Selanjutnya.
-
Lampirkan kebijakan izin ke peran build. Pada halaman Tambahkan izin, di bagian Kebijakan izin, cari
codecatalyst-webapp-build-policydan pilih kotak centang. -
Pilih Selanjutnya.
-
Untuk nama Peran, masukkan:
codecatalyst-webapp-build-role -
Untuk deskripsi Peran, masukkan:
CodeCatalyst Web app build role -
Pilih Buat peran.
Anda sekarang telah membuat peran build dengan kebijakan kepercayaan dan kebijakan izin.
-
-
Lampirkan kebijakan izin ke peran build, sebagai berikut:
-
Di panel navigasi, pilih Peran, lalu cari
codecatalyst-webapp-build-role. -
Pilih
codecatalyst-webapp-build-roleuntuk menampilkan detailnya. -
Di tab Izin, pilih Tambahkan izin, lalu pilih Lampirkan kebijakan.
-
Cari
codecatalyst-webapp-build-policy, pilih kotak centang, lalu pilih Lampirkan kebijakan.Anda sekarang telah melampirkan kebijakan izin ke peran build. Peran build sekarang memiliki dua kebijakan: kebijakan izin dan kebijakan kepercayaan.
-
-
Dapatkan peran membangun ARN, sebagai berikut:
-
Di panel navigasi, pilih Peran.
-
Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (
codecatalyst-webapp-build-role). -
Pilih peran dari daftar.
Halaman Ringkasan peran muncul.
-
Di bagian atas, salin nilai ARN.
Anda sekarang telah membuat peran build dengan izin yang sesuai, dan memperoleh ARN-nya.
-
Membuat peran secara manual untuk cetak biru SAM
Cetak biru CodeCatalyst SAM menggunakan peran IAM yang Anda buat disebut peran build CloudFormation dan peran penerapan untuk SAM.
Ikuti langkah-langkah ini untuk membuat peran di IAM.
Untuk membuat peran build untuk CloudFormation
-
Buat kebijakan untuk peran tersebut, sebagai berikut:
-
Masuk ke AWS.
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, pilih Kebijakan.
-
Pilih Buat Kebijakan.
-
Pilih tab JSON.
-
Hapus kode yang ada.
-
Tempel kode berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:*", "cloudformation:*" ], "Resource": "*" } ] }catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*" -
Pilih Berikutnya: Tanda.
-
Pilih Berikutnya: Tinjau.
-
Dalam Nama, masukkan:
codecatalyst-SAM-build-policy -
Pilih Buat kebijakan.
Anda sekarang telah membuat kebijakan izin.
-
-
Buat peran build, sebagai berikut:
-
Di panel navigasi, pilih Peran, lalu pilih Buat peran.
-
Pilih Kebijakan kepercayaan khusus.
-
Hapus kebijakan kepercayaan kustom yang ada.
-
Tambahkan kebijakan kepercayaan khusus berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Pilih Selanjutnya.
-
Lampirkan kebijakan izin ke peran build. Pada halaman Tambahkan izin, di bagian Kebijakan izin, cari
codecatalyst-SAM-build-policydan pilih kotak centang. -
Pilih Selanjutnya.
-
Untuk nama Peran, masukkan:
codecatalyst-SAM-build-role -
Untuk deskripsi Peran, masukkan:
CodeCatalyst SAM build role -
Pilih Buat peran.
Anda sekarang telah membuat peran build dengan kebijakan kepercayaan dan kebijakan izin.
-
-
Lampirkan kebijakan izin ke peran build, sebagai berikut:
-
Di panel navigasi, pilih Peran, lalu cari
codecatalyst-SAM-build-role. -
Pilih
codecatalyst-SAM-build-roleuntuk menampilkan detailnya. -
Di tab Izin, pilih Tambahkan izin, lalu pilih Lampirkan kebijakan.
-
Cari
codecatalyst-SAM-build-policy, pilih kotak centang, lalu pilih Lampirkan kebijakan.Anda sekarang telah melampirkan kebijakan izin ke peran build. Peran build sekarang memiliki dua kebijakan: kebijakan izin dan kebijakan kepercayaan.
-
-
Dapatkan peran membangun ARN, sebagai berikut:
-
Di panel navigasi, pilih Peran.
-
Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (
codecatalyst-SAM-build-role). -
Pilih peran dari daftar.
Halaman Ringkasan peran muncul.
-
Di bagian atas, salin nilai ARN.
Anda sekarang telah membuat peran build dengan izin yang sesuai, dan memperoleh ARN-nya.
-
Untuk membuat peran deploy untuk SAM
-
Buat kebijakan untuk peran tersebut, sebagai berikut:
-
Masuk ke AWS.
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, pilih Kebijakan.
-
Pilih Buat Kebijakan.
-
Pilih tab JSON.
-
Hapus kode yang ada.
-
Tempel kode berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }catatan
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
"Resource": "*" -
Pilih Berikutnya: Tanda.
-
Pilih Berikutnya: Tinjau.
-
Dalam Nama, masukkan:
codecatalyst-SAM-deploy-policy -
Pilih Buat kebijakan.
Anda sekarang telah membuat kebijakan izin.
-
-
Buat peran build, sebagai berikut:
-
Di panel navigasi, pilih Peran, lalu pilih Buat peran.
-
Pilih Kebijakan kepercayaan khusus.
-
Hapus kebijakan kepercayaan kustom yang ada.
-
Tambahkan kebijakan kepercayaan khusus berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Pilih Selanjutnya.
-
Lampirkan kebijakan izin ke peran build. Pada halaman Tambahkan izin, di bagian Kebijakan izin, cari
codecatalyst-SAM-deploy-policydan pilih kotak centang. -
Pilih Selanjutnya.
-
Untuk nama Peran, masukkan:
codecatalyst-SAM-deploy-role -
Untuk deskripsi Peran, masukkan:
CodeCatalyst SAM deploy role -
Pilih Buat peran.
Anda sekarang telah membuat peran build dengan kebijakan kepercayaan dan kebijakan izin.
-
-
Lampirkan kebijakan izin ke peran build, sebagai berikut:
-
Di panel navigasi, pilih Peran, lalu cari
codecatalyst-SAM-deploy-role. -
Pilih
codecatalyst-SAM-deploy-roleuntuk menampilkan detailnya. -
Di tab Izin, pilih Tambahkan izin, lalu pilih Lampirkan kebijakan.
-
Cari
codecatalyst-SAM-deploy-policy, pilih kotak centang, lalu pilih Lampirkan kebijakan.Anda sekarang telah melampirkan kebijakan izin ke peran build. Peran build sekarang memiliki dua kebijakan: kebijakan izin dan kebijakan kepercayaan.
-
-
Dapatkan peran membangun ARN, sebagai berikut:
-
Di panel navigasi, pilih Peran.
-
Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (
codecatalyst-SAM-deploy-role). -
Pilih peran dari daftar.
Halaman Ringkasan peran muncul.
-
Di bagian atas, salin nilai ARN.
Anda sekarang telah membuat peran build dengan izin yang sesuai, dan memperoleh ARN-nya.
-
