Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Identity and Access Management dan Amazon CodeCatalyst
Di Amazon CodeCatalyst, Anda membuat dan menggunakan AWS Builder ID untuk masuk dan mengakses spasi dan proyek Anda. ID AWS Builder bukan identitas di AWS Identity and Access Management (IAM) dan tidak ada di file Akun AWS. Namun, CodeCatalyst apakah terintegrasi dengan IAM saat memverifikasi ruang untuk tujuan penagihan, dan ketika terhubung ke Akun AWS untuk membuat dan menggunakan sumber daya di dalamnya. Akun AWS
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan sumber daya. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
Saat Anda membuat spasi di Amazon CodeCatalyst, Anda harus menghubungkan Akun AWS sebagai akun penagihan untuk ruang Anda. Anda harus memiliki izin administrator di Akun AWS untuk memverifikasi CodeCatalyst ruang, atau memiliki izin. Anda juga memiliki opsi untuk menambahkan peran IAM untuk ruang Anda yang CodeCatalyst dapat digunakan untuk membuat dan mengakses sumber daya yang terhubung Akun AWS. Ini disebut peran layanan. Anda dapat memilih untuk membuat koneksi ke lebih dari satu Akun AWS dan membuat peran layanan untuk CodeCatalyst masing-masing akun tersebut.
catatan
Penagihan CodeCatalyst berlangsung di akun yang Akun AWS ditunjuk sebagai akun penagihan. Namun, jika Anda membuat peran CodeCatalyst layanan di dalamnya Akun AWS atau dalam koneksi lainnya Akun AWS, sumber daya yang dibuat dan digunakan oleh peran CodeCatalyst layanan akan ditagih dalam koneksi Akun AWS tersebut. Untuk informasi selengkapnya, lihat Mengelola penagihan di Panduan CodeCatalyst Administrator Amazon.
Topik
- Kebijakan berbasis identitas di IAM
- Tindakan kebijakan di IAM
- Sumber daya kebijakan di IAM
- Kunci kondisi kebijakan di IAM
- Contoh kebijakan berbasis identitas untuk koneksi CodeCatalyst
- Menggunakan tag untuk mengontrol akses ke sumber daya koneksi akun
- CodeCatalyst referensi izin
- Menggunakan peran terkait layanan untuk CodeCatalyst
- AWSkebijakan terkelola untuk Amazon CodeCatalyst
- Berikan akses ke AWS sumber daya proyek dengan peran IAM
Kebijakan berbasis identitas di IAM
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke identitas. Identitas itu bisa berupa pengguna, sekelompok pengguna, atau peran. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Anda tidak dapat menentukan secara spesifik prinsipal dalam sebuah kebijakan berbasis identitas karena prinsipal berlaku bagi pengguna atau peran yang melekat kepadanya. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat Referensi elemen kebijakan JSON IAM dalam Panduan Pengguna IAM.
Contoh kebijakan berbasis identitas untuk CodeCatalyst
Untuk melihat contoh kebijakan CodeCatalyst berbasis identitas, lihat. Contoh kebijakan berbasis identitas untuk koneksi CodeCatalyst
Tindakan kebijakan di IAM
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, prinsipal mana yang dapat melakukan tindakan apa pada sumber daya apa, dan dalam kondisi apa.
Elemen Action
dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya tindakan hanya izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
"Action": [ "prefix:
action1
", "prefix:action2
" ]
Sumber daya kebijakan di IAM
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, prinsipal mana yang dapat melakukan tindakan apa pada sumber daya apa, dan dalam kondisi apa.
Elemen kebijakan JSON Resource
menentukan objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen Resource
atau NotResource
. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.
Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
"Resource": "*"
Kunci kondisi kebijakan di IAM
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, prinsipal mana yang dapat melakukan tindakan apa pada sumber daya apa, dan dalam kondisi apa.
Elemen Condition
(atau blok Condition
) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition
bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.
Jika Anda menentukan beberapa elemen Condition
dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition
tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND
logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS
akan mengevaluasi kondisi tersebut menggunakan operasi OR
logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Untuk informasi selengkapnya, lihat Elemen kebijakan IAM: variabel dan tag dalam Panduan Pengguna IAM.
AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi global AWS , lihat Kunci konteks kondisi global AWS dalam Panduan Pengguna IAM.
Contoh kebijakan berbasis identitas untuk koneksi CodeCatalyst
Di CodeCatalyst, Akun AWS diperlukan untuk mengelola penagihan untuk ruang dan untuk mengakses sumber daya dalam alur kerja proyek. Koneksi akun digunakan untuk mengotorisasi penambahan Akun AWS spasi. Kebijakan berbasis identitas digunakan dalam koneksi. Akun AWS
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi CodeCatalyst sumber daya. Mereka juga tidak dapat melakukan tugas dengan menggunakan AWS Management Console, AWS Command Line Interface (AWS CLI), atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada para pengguna dan peran untuk melakukan tindakan di sumber daya yang mereka perlukan. Administrator kemudian harus melampirkan kebijakan tersebut untuk pengguna yang membutuhkannya.
Contoh berikut kebijakan IAM memberikan izin untuk tindakan yang terkait dengan koneksi akun. Gunakan mereka untuk membatasi akses untuk menghubungkan akun ke CodeCatalyst.
Contoh 1: Izinkan pengguna untuk menerima permintaan koneksi dalam satu Wilayah AWS
Kebijakan izin berikut hanya memungkinkan pengguna untuk melihat dan menerima permintaan untuk koneksi antara CodeCatalyst dan Akun AWS. Selain itu, kebijakan menggunakan kondisi untuk hanya mengizinkan tindakan di Wilayah us-west-2 dan bukan dari yang lain. Wilayah AWS Untuk melihat dan menyetujui permintaan, pengguna masuk ke akun AWS Management Console dengan akun yang sama seperti yang ditentukan dalam permintaan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codecatalyst:AcceptConnection", "codecatalyst:GetPendingConnection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "us-west-2" } } } ] }
Contoh 2: Izinkan mengelola koneksi di konsol untuk satu Wilayah AWS
Kebijakan izin berikut memungkinkan pengguna mengelola koneksi antara CodeCatalyst dan Akun AWS di satu Wilayah. Kebijakan menggunakan kondisi untuk hanya mengizinkan tindakan di Wilayah us-west-2 dan bukan dari yang lain. Wilayah AWS Setelah Anda membuat koneksi, Anda dapat membuat CodeCatalystWorkflowDevelopmentRole-spaceName
peran dengan memilih opsi di AWS Management Console. Dalam kebijakan contoh, kondisi untuk iam:PassRole
tindakan mencakup prinsip layanan untuk. CodeCatalyst Hanya peran dengan akses itu yang akan dibuat di AWS Management Console.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codecatalyst:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "us-west-2" } } }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "codecatalyst.amazonaws.com", "codecatalyst-runner.amazonaws.com" ] } } } ] }
Contoh 3: Tolak mengelola koneksi
Kebijakan izin berikut menyangkal kemampuan pengguna untuk mengelola koneksi antara CodeCatalyst dan. Akun AWS
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "codecatalyst:*" ], "Resource": "*" } ] }
CodeCatalyst referensi izin
Bagian ini menyediakan referensi izin untuk tindakan yang digunakan dengan sumber daya koneksi akun untuk Akun AWS yang terhubung. CodeCatalyst Bagian berikut menjelaskan tindakan khusus izin yang terkait dengan menghubungkan akun.
Izin yang diperlukan untuk koneksi akun
Izin berikut diperlukan untuk bekerja dengan koneksi akun.
CodeCatalyst izin untuk koneksi akun | Izin yang diperlukan | Sumber daya |
---|---|---|
AcceptConnection | Diperlukan untuk menerima permintaan untuk menghubungkan akun ini ke CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. |
Hanya mendukung wildcard (*) di |
AssociateIamRoleToConnection | Diperlukan untuk mengaitkan peran IAM ke koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
DeleteConnection | Diperlukan untuk menghapus koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
DisassociateIamRoleFromConnection | Diperlukan untuk memisahkan peran IAM dari koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
GetBillingAuthorization | Diperlukan untuk menjelaskan otorisasi penagihan untuk koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
GetConnection | Diperlukan untuk mendapatkan koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
GetPendingConnection | Diperlukan untuk mendapatkan permintaan yang tertunda untuk menghubungkan akun ini ke CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. |
Hanya mendukung wildcard (*) di |
ListConnections | Diperlukan untuk membuat daftar koneksi akun yang tidak tertunda. Ini adalah izin kebijakan IAM saja, bukan tindakan API. |
Hanya mendukung wildcard (*) di |
ListIamRolesForConnection | Diperlukan untuk mencantumkan peran IAM yang terkait dengan koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
ListTagsForResource | Diperlukan untuk mencantumkan tag yang terkait dengan koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
PutBillingAuthorization | Diperlukan untuk membuat atau memperbarui otorisasi penagihan untuk koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
RejectConnection | Diperlukan untuk menolak permintaan untuk menghubungkan akun ini ke CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. |
Hanya mendukung wildcard (*) di |
TagResource | Diperlukan untuk membuat atau mengedit tag yang terkait dengan koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
UntagResource | Diperlukan untuk menghapus tag yang terkait dengan koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
Izin yang diperlukan untuk aplikasi IAM Identity Center
Izin berikut diperlukan untuk bekerja dengan aplikasi IAM Identity Center.
CodeCatalyst izin untuk aplikasi IAM Identity Center | Izin yang diperlukan | Sumber daya |
---|---|---|
AssociateIdentityCenterApplicationToSpace | Diperlukan untuk mengaitkan aplikasi Pusat Identitas IAM dengan CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
AssociateIdentityToIdentityCenterApplication | Diperlukan untuk mengaitkan identitas dengan aplikasi Pusat Identitas IAM untuk suatu CodeCatalyst ruang. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
BatchAssociateIdentitiesToIdentityCenterApplication | Diperlukan untuk mengaitkan beberapa identitas dengan aplikasi Pusat Identitas IAM untuk suatu CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
BatchDisassociateIdentitiesFromIdentityCenterApplication | Diperlukan untuk memisahkan beberapa identitas dari aplikasi Pusat Identitas IAM untuk suatu spasi. CodeCatalyst Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
CreateIdentityCenterApplication | Diperlukan untuk membuat aplikasi IAM Identity Center. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
CreateSpaceAdminRoleAssignment | Diperlukan untuk membuat tugas peran administrator untuk CodeCatalyst ruang tertentu dan aplikasi Pusat Identitas IAM. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
DeleteIdentityCenterApplication | Diperlukan untuk menghapus aplikasi Pusat Identitas IAM. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
DisassociateIdentityCenterApplicationFromSpace | Diperlukan untuk memisahkan aplikasi Pusat Identitas IAM dari sebuah CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
DisassociateIdentityFromIdentityCenterApplication | Diperlukan untuk memisahkan identitas dari aplikasi Pusat Identitas IAM untuk suatu CodeCatalyst ruang. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
GetIdentityCenterApplication | Diperlukan untuk mendapatkan informasi tentang aplikasi IAM Identity Center. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
ListIdentityCenterApplications | Diperlukan untuk melihat daftar semua aplikasi Pusat Identitas IAM di akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. |
Hanya mendukung wildcard (*) di |
ListIdentityCenterApplicationsForSpace | Diperlukan untuk melihat daftar aplikasi IAM Identity Center berdasarkan CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
ListSpacesForIdentityCenterApplication | Diperlukan untuk melihat daftar CodeCatalyst spasi oleh aplikasi IAM Identity Center. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
SynchronizeIdentityCenterApplication | Diperlukan untuk menyinkronkan aplikasi IAM Identity Center dengan backing identity store. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |
UpdateIdentityCenterApplication | Diperlukan untuk memperbarui aplikasi Pusat Identitas IAM. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region: |