Amazon CodeCatalyst tidak lagi terbuka untuk pelanggan baru. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Lihat informasi yang lebih lengkap di [Cara bermigrasi dari CodeCatalyst](migration.md).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identity and Access Management dan Amazon CodeCatalyst
Di Amazon CodeCatalyst, Anda membuat dan menggunakan AWS Builder ID untuk masuk dan mengakses spasi dan proyek Anda. ID AWS Builder bukan identitas di AWS Identity and Access Management (IAM) dan tidak ada di file Akun AWS. Namun, CodeCatalyst apakah terintegrasi dengan IAM saat memverifikasi ruang untuk tujuan penagihan, dan ketika terhubung ke Akun AWS untuk membuat dan menggunakan sumber daya di dalamnya. Akun AWS
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
Saat Anda membuat spasi di Amazon CodeCatalyst, Anda harus menghubungkan Akun AWS sebagai akun penagihan untuk ruang Anda. Anda harus memiliki izin administrator di Akun AWS untuk memverifikasi CodeCatalyst ruang, atau memiliki izin. Anda juga memiliki opsi untuk menambahkan peran IAM untuk ruang Anda yang CodeCatalyst dapat digunakan untuk membuat dan mengakses sumber daya yang terhubung Akun AWS. Ini disebut [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Anda dapat memilih untuk membuat koneksi ke lebih dari satu Akun AWS dan membuat peran layanan untuk CodeCatalyst masing-masing akun tersebut.
**catatan**
Penagihan CodeCatalyst berlangsung di akun yang Akun AWS ditunjuk sebagai akun penagihan. Namun, jika Anda membuat peran CodeCatalyst layanan di dalamnya Akun AWS atau dalam koneksi lainnya Akun AWS, sumber daya yang dibuat dan digunakan oleh peran CodeCatalyst layanan akan ditagih dalam koneksi Akun AWS tersebut. Untuk informasi selengkapnya, lihat [Mengelola penagihan](https://docs.aws.amazon.com/codecatalyst/latest/adminguide/managing-billing.html) di Panduan CodeCatalyst Administrator Amazon.
**Topics**
+ [Kebijakan berbasis identitas di IAM](#id-based-policies)
+ [Tindakan kebijakan di IAM](#id-based-policies-actions)
+ [Sumber daya kebijakan di IAM](#id-based-policies-resources)
+ [Kunci kondisi kebijakan di IAM](#id-based-policies-conditionkeys)
+ [Contoh kebijakan berbasis identitas untuk koneksi CodeCatalyst](#id-based-policy-examples)
+ [Menggunakan tag untuk mengontrol akses ke sumber daya koneksi akun](id-based-policy-examples-tags.md)
+ [CodeCatalyst referensi izin](#permissions-reference)
+ [Menggunakan peran terkait layanan untuk CodeCatalyst](using-service-linked-roles.md)
+ [AWS kebijakan terkelola untuk Amazon CodeCatalyst](security-iam-awsmanpol.md)
+ [Berikan akses ke AWS sumber daya proyek dengan peran IAM](ipa-iam-roles.md)
## Kebijakan berbasis identitas di IAM
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke identitas. Identitas itu bisa berupa pengguna, sekelompok pengguna, atau peran. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Anda tidak dapat menentukan secara spesifik prinsipal dalam sebuah kebijakan berbasis identitas karena prinsipal berlaku bagi pengguna atau peran yang melekat kepadanya. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk CodeCatalyst
Untuk melihat contoh kebijakan CodeCatalyst berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk koneksi CodeCatalyst](#id-based-policy-examples)
## Tindakan kebijakan di IAM
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **prinsipal** mana yang dapat melakukan **tindakan** apa pada **sumber daya** apa, dan dalam **kondisi** apa.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya *tindakan hanya izin* yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut *tindakan dependen*.
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"prefix:action1",
"prefix:action2"
]
```
## Sumber daya kebijakan di IAM
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **prinsipal** mana yang dapat melakukan **tindakan** apa pada **sumber daya** apa, dan dalam **kondisi** apa.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen `Resource` atau `NotResource`. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai *izin tingkat sumber daya*.
Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
## Kunci kondisi kebijakan di IAM
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **prinsipal** mana yang dapat melakukan **tindakan** apa pada **sumber daya** apa, dan dalam **kondisi** apa.
Elemen `Condition` (atau *blok* `Condition`) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen `Condition` bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.
Jika Anda menentukan beberapa elemen `Condition` dalam sebuah pernyataan, atau beberapa kunci dalam elemen `Condition` tunggal, maka AWS akan mengevaluasinya menggunakan operasi `AND` logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS akan mengevaluasi kondisi tersebut menggunakan operasi `OR` logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM: variabel dan tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dalam *Panduan Pengguna IAM*.
AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi global AWS , lihat [Kunci konteks kondisi global AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dalam *Panduan Pengguna IAM*.
## Contoh kebijakan berbasis identitas untuk koneksi CodeCatalyst
Di CodeCatalyst, Akun AWS diperlukan untuk mengelola penagihan untuk ruang dan untuk mengakses sumber daya dalam alur kerja proyek. Koneksi akun digunakan untuk mengotorisasi penambahan Akun AWS ke spasi. Kebijakan berbasis identitas digunakan dalam koneksi. Akun AWS
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau mengubah sumber daya CodeCatalyst. Mereka juga tidak dapat melakukan tugas dengan menggunakan Konsol Manajemen AWS, AWS Command Line Interface (AWS CLI), atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada para pengguna dan peran untuk melakukan tindakan di sumber daya yang mereka perlukan. Administrator kemudian harus melampirkan kebijakan tersebut untuk pengguna yang membutuhkannya.
Contoh berikut kebijakan IAM memberikan izin untuk tindakan yang terkait dengan koneksi akun. Gunakan mereka untuk membatasi akses untuk menghubungkan akun ke CodeCatalyst.
### Contoh 1: Izinkan pengguna untuk menerima permintaan koneksi dalam satu Wilayah AWS
Kebijakan izin berikut hanya memungkinkan pengguna untuk melihat dan menerima permintaan untuk koneksi antara CodeCatalyst dan Akun AWS. Selain itu, kebijakan menggunakan kondisi untuk hanya mengizinkan tindakan di Wilayah us-west-2 dan bukan dari yang lain. Wilayah AWS Untuk melihat dan menyetujui permintaan, pengguna masuk ke akun Konsol Manajemen AWS dengan akun yang sama seperti yang ditentukan dalam permintaan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:GetPendingConnection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
}
]
}
```
------
### Contoh 2: Izinkan mengelola koneksi di konsol untuk satu Wilayah AWS
Kebijakan izin berikut memungkinkan pengguna mengelola koneksi antara CodeCatalyst dan Akun AWS di satu Wilayah. Kebijakan menggunakan kondisi untuk hanya mengizinkan tindakan di Wilayah us-west-2 dan bukan dari yang lain. Wilayah AWS Setelah Anda membuat koneksi, Anda dapat membuat **CodeCatalystWorkflowDevelopmentRole-*spaceName***peran dengan memilih opsi di Konsol Manajemen AWS. Dalam kebijakan contoh, kondisi untuk `iam:PassRole` tindakan mencakup prinsip layanan untuk. CodeCatalyst Hanya peran dengan akses itu yang akan dibuat di Konsol Manajemen AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
### Contoh 3: Tolak mengelola koneksi
Kebijakan izin berikut menyangkal kemampuan pengguna untuk mengelola koneksi antara CodeCatalyst dan. Akun AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codecatalyst:*"
],
"Resource": "*"
}
]
}
```
------
# Menggunakan tag untuk mengontrol akses ke sumber daya koneksi akun
Tag dapat dilampirkan ke sumber daya atau diteruskan dalam permintaan ke layanan yang mendukung penandaan. Sumber daya dalam kebijakan dapat memiliki tag, dan beberapa tindakan dalam kebijakan dapat menyertakan tag. Tombol kondisi penandaan termasuk kunci `aws:ResourceTag` kondisi `aws:RequestTag` dan. Saat membuat kebijakan IAM, Anda dapat menggunakan kunci syarat tanda berikut:
+ Pengguna mana yang dapat melakukan tindakan pada sumber daya koneksi, berdasarkan tag yang sudah dimilikinya.
+ Tanda apa yang dapat diteruskan dalam permintaan tindakan.
+ Apakah kunci tanda tertentu dapat digunakan dalam permintaan.
Contoh berikut menunjukkan cara menentukan kondisi tag dalam kebijakan untuk pengguna koneksi CodeCatalyst akun. Untuk informasi lebih lanjut tentang kunci syarat ini, lihat [Kunci kondisi kebijakan di IAM](security-iam.md#id-based-policies-conditionkeys).
## Contoh 1: Izinkan tindakan berdasarkan tag dalam permintaan
Kebijakan berikut memberikan izin kepada pengguna untuk menyetujui koneksi akun.
Untuk melakukan itu, memungkinkan tindakan `AcceptConnection` dan `TagResource` jika permintaan menentukan tag bernama `Project` dengan nilai `ProjectA`. (Kunci syarat `aws:RequestTag` digunakan untuk mengontrol tanda yang dapat dilewatkan dalam permintaan IAM.) Syarat `aws:TagKeys` memastikan kunci tanda peka huruf besar dan kecil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
------
## Contoh 2: Izinkan tindakan berdasarkan tag sumber daya
Kebijakan berikut memberi pengguna izin untuk melakukan tindakan pada, dan mendapatkan informasi tentang, sumber daya koneksi akun.
Untuk melakukan itu, ini memungkinkan tindakan tertentu jika koneksi memiliki tag bernama `Project` dengan nilai`ProjectA`. (Kunci syarat `aws:ResourceTag` digunakan untuk mengontrol tanda yang dapat diteruskan dalam permintaan IAM.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:GetConnection",
"codecatalyst:DeleteConnection",
"codecatalyst:AssociateIamRoleToConnection",
"codecatalyst:DisassociateIamRoleFromConnection",
"codecatalyst:ListIamRolesForConnection",
"codecatalyst:PutBillingAuthorization"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "ProjectA"
}
}
}
]
}
```
------
## CodeCatalyst referensi izin
Bagian ini menyediakan referensi izin untuk tindakan yang digunakan dengan sumber daya koneksi akun untuk Akun AWS yang terhubung. CodeCatalyst Bagian berikut menjelaskan tindakan khusus izin yang terkait dengan menghubungkan akun.
### Izin yang diperlukan untuk koneksi akun
Izin berikut diperlukan untuk bekerja dengan koneksi akun.
****
| CodeCatalyst izin untuk koneksi akun | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| AcceptConnection | Diperlukan untuk menerima permintaan untuk menghubungkan akun ini ke CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | Hanya mendukung wildcard (\$1) di `Resource` elemen kebijakan. |
| AssociateIamRoleToConnection | Diperlukan untuk mengaitkan peran IAM ke koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DeleteConnection | Diperlukan untuk menghapus koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DisassociateIamRoleFromConnection | Diperlukan untuk memisahkan peran IAM dari koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetBillingAuthorization | Diperlukan untuk menjelaskan otorisasi penagihan untuk koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetConnection | Diperlukan untuk mendapatkan koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetPendingConnection | Diperlukan untuk mendapatkan permintaan yang tertunda untuk menghubungkan akun ini ke CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | Hanya mendukung wildcard (\$1) di `Resource` elemen kebijakan. |
| ListConnections | Diperlukan untuk membuat daftar koneksi akun yang tidak tertunda. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | Hanya mendukung wildcard (\$1) di `Resource` elemen kebijakan. |
| ListIamRolesForConnection | Diperlukan untuk mencantumkan peran IAM yang terkait dengan koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| ListTagsForResource | Diperlukan untuk mencantumkan tag yang terkait dengan koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| PutBillingAuthorization | Diperlukan untuk membuat atau memperbarui otorisasi penagihan untuk koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| RejectConnection | Diperlukan untuk menolak permintaan untuk menghubungkan akun ini ke CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | Hanya mendukung wildcard (\$1) di `Resource` elemen kebijakan. |
| TagResource | Diperlukan untuk membuat atau mengedit tag yang terkait dengan koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| UntagResource | Diperlukan untuk menghapus tag yang terkait dengan koneksi akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
### Izin yang diperlukan untuk aplikasi IAM Identity Center
Izin berikut diperlukan untuk bekerja dengan aplikasi IAM Identity Center.
****
| CodeCatalyst izin untuk aplikasi IAM Identity Center | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| AssociateIdentityCenterApplicationToSpace | Diperlukan untuk mengaitkan aplikasi Pusat Identitas IAM dengan CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| AssociateIdentityToIdentityCenterApplication | Diperlukan untuk mengaitkan identitas dengan aplikasi Pusat Identitas IAM untuk suatu CodeCatalyst ruang. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchAssociateIdentitiesToIdentityCenterApplication | Diperlukan untuk mengaitkan beberapa identitas dengan aplikasi Pusat Identitas IAM untuk suatu CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchDisassociateIdentitiesFromIdentityCenterApplication | Diperlukan untuk memisahkan beberapa identitas dari aplikasi Pusat Identitas IAM untuk suatu spasi. CodeCatalyst Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateIdentityCenterApplication | Diperlukan untuk membuat aplikasi IAM Identity Center. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateSpaceAdminRoleAssignment | Diperlukan untuk membuat penugasan peran administrator untuk CodeCatalyst ruang tertentu dan aplikasi Pusat Identitas IAM. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DeleteIdentityCenterApplication | Diperlukan untuk menghapus aplikasi Pusat Identitas IAM. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityCenterApplicationFromSpace | Diperlukan untuk memisahkan aplikasi Pusat Identitas IAM dari sebuah CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityFromIdentityCenterApplication | Diperlukan untuk memisahkan identitas dari aplikasi Pusat Identitas IAM untuk suatu CodeCatalyst ruang. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| GetIdentityCenterApplication | Diperlukan untuk mendapatkan informasi tentang aplikasi IAM Identity Center. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListIdentityCenterApplications | Diperlukan untuk melihat daftar semua aplikasi Pusat Identitas IAM di akun. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | Hanya mendukung wildcard (\$1) di `Resource` elemen kebijakan. |
| ListIdentityCenterApplicationsForSpace | Diperlukan untuk melihat daftar aplikasi IAM Identity Center berdasarkan CodeCatalyst spasi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListSpacesForIdentityCenterApplication | Diperlukan untuk melihat daftar CodeCatalyst spasi oleh aplikasi IAM Identity Center. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| SynchronizeIdentityCenterApplication | Diperlukan untuk menyinkronkan aplikasi IAM Identity Center dengan backing identity store. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| UpdateIdentityCenterApplication | Diperlukan untuk memperbarui aplikasi Pusat Identitas IAM. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
# Menggunakan peran terkait layanan untuk CodeCatalyst
Amazon CodeCatalyst menggunakan peran AWS Identity and Access Management [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. CodeCatalyst Peran terkait layanan telah ditentukan sebelumnya oleh CodeCatalyst dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan CodeCatalyst lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. CodeCatalyst mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya CodeCatalyst dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi CodeCatalyst sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk CodeCatalyst
CodeCatalyst menggunakan peran terkait layanan bernama **AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**— Memungkinkan Amazon akses CodeCatalyst hanya-baca ke profil instans aplikasi dan pengguna dan grup direktori terkait atas nama Anda.
Peran tertaut layanan AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization memercayai layanan berikut untuk mengambil peran tersebut:
+ `codecatalyst.amazonaws.com`
Kebijakan izin peran bernama AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy memungkinkan CodeCatalyst untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Aksi: `View application instance profiles and associated directory users and groups` untuk `CodeCatalyst spaces that support identity federation and SSO users and groups`
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk CodeCatalyst
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat spasi di Konsol Manajemen AWS, API AWS CLI, atau AWS API, CodeCatalyst buat peran terkait layanan untuk Anda.
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Juga, jika Anda menggunakan CodeCatalyst layanan sebelum 17 November 2023, ketika mulai mendukung peran terkait layanan, maka CodeCatalyst buat AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization peran tersebut di akun Anda. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di saya Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat ruang, CodeCatalyst buat peran terkait layanan untuk Anda lagi.
Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan **Lihat profil instance aplikasi dan kasus penggunaan pengguna dan grup direktori terkait**. Di AWS CLI atau AWS API, buat peran terkait layanan dengan nama `codecatalyst.amazonaws.com` layanan. Untuk informasi selengkapnya, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.
## Mengedit peran terkait layanan untuk CodeCatalyst
CodeCatalyst tidak memungkinkan Anda untuk mengedit peran AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk CodeCatalyst
Anda tidak perlu menghapus peran AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization secara manual. Saat Anda menghapus spasi di Konsol Manajemen AWS, API AWS CLI, atau AWS API, CodeCatalyst membersihkan sumber daya dan menghapus peran terkait layanan untuk Anda.
Anda juga dapat menggunakan konsol IAM, AWS CLI atau AWS API untuk menghapus peran terkait layanan secara manual. Untuk melakukannya, Anda harus membersihkan sumber daya untuk peran tertaut layanan terlebih dahulu, lalu Anda dapat menghapusnya secara manual.
**catatan**
Jika CodeCatalyst layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus CodeCatalyst sumber daya yang digunakan oleh AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**
+ [Hapus spasi](https://docs.aws.amazon.com/codecatalyst/latest/userguide/spaces-delete.htm).
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk CodeCatalyst peran terkait layanan
CodeCatalyst mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html).
CodeCatalyst tidak mendukung penggunaan peran terkait layanan di setiap Wilayah tempat layanan tersedia. Anda dapat menggunakan AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization peran di Wilayah berikut.
****
| Nama wilayah | Identitas wilayah | Support di CodeCatalyst |
| --- | --- | --- |
| US East (Northern Virginia) | us-east-1 | Tidak |
| AS Timur (Ohio) | us-east-2 | Tidak |
| AS Barat (California Utara) | us-west-1 | Tidak |
| AS Barat (Oregon) | us-west-2 | Ya |
| Africa (Cape Town) | af-south-1 | Tidak |
| Asia Pasifik (Hong Kong) | ap-east-1 | Tidak |
| Asia Pasifik (Jakarta) | ap-southeast-3 | Tidak |
| Asia Pasifik (Mumbai) | ap-south-1 | Tidak |
| Asia Pacific (Osaka) | ap-northeast-3 | Tidak |
| Asia Pasifik (Seoul) | ap-northeast-2 | Tidak |
| Asia Pasifik (Singapura) | ap-southeast-1 | Tidak |
| Asia Pasifik (Sydney) | ap-southeast-2 | Tidak |
| Asia Pasifik (Tokyo) | ap-northeast-1 | Tidak |
| Kanada (Pusat) | ca-central-1 | Tidak |
| Eropa (Frankfurt) | eu-central-1 | Tidak |
| Eropa (Irlandia) | eu-west-1 | Ya |
| Eropa (London) | eu-west-2 | Tidak |
| Europe (Milan) | eu-south-1 | Tidak |
| Eropa (Paris) | eu-west-3 | Tidak |
| Eropa (Stockholm) | eu-north-1 | Tidak |
| Timur Tengah (Bahrain) | me-south-1 | Tidak |
| Timur Tengah (UAE) | me-central-1 | Tidak |
| Amerika Selatan (Sao Paulo) | sa-east-1 | Tidak |
| AWS GovCloud (AS-Timur) | us-gov-east-1 | Tidak |
| AWS GovCloud (AS-Barat) | us-gov-west-1 | Tidak |
# AWS kebijakan terkelola untuk Amazon CodeCatalyst
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AmazonCodeCatalystSupportAccess
Ini adalah kebijakan yang memberikan izin untuk semua administrator ruang dan anggota ruang untuk menggunakan paket dukungan premium Bisnis atau Perusahaan yang terkait dengan akun penagihan ruang. Izin ini memungkinkan administrator dan anggota ruang untuk menggunakan paket dukungan premium untuk sumber daya yang mereka miliki izin dalam kebijakan izin. CodeCatalyst
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `support`— Memberikan izin untuk memungkinkan pengguna mencari, membuat, dan menyelesaikan kasus AWS Support. Juga memberikan izin untuk menjelaskan komunikasi, tingkat keparahan, lampiran, dan detail kasus dukungan terkait.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeAttachment",
"support:DescribeCaseAttributes",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeIssueTypes",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:DescribeSupportLevel",
"support:SearchForCases",
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:InitiateCallForCase",
"support:InitiateChatForCase",
"support:PutCaseAttributes",
"support:RateCaseCommunication",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonCodeCatalystFullAccess
Ini adalah kebijakan yang memberikan izin untuk mengelola CodeCatalyst ruang dan akun yang terhubung di halaman Amazon CodeCatalyst Spaces di halaman. Konsol Manajemen AWS Aplikasi ini digunakan untuk mengkonfigurasi Akun AWS yang terhubung ke ruang Anda di CodeCatalyst.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `codecatalyst`— Memberikan izin penuh ke halaman Amazon CodeCatalyst Spaces di. Konsol Manajemen AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeCatalystResourceAccess",
"Effect": "Allow",
"Action": [
"codecatalyst:*",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "CodeCatalystAssociateIAMRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonCodeCatalystReadOnlyAccess
Ini adalah kebijakan yang memberikan izin untuk melihat dan mencantumkan informasi untuk spasi dan akun yang terhubung di halaman Amazon CodeCatalyst Spaces di halaman. Konsol Manajemen AWS Aplikasi ini digunakan untuk mengkonfigurasi Akun AWS yang terhubung ke ruang Anda di CodeCatalyst.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `codecatalyst`— Memberikan izin hanya-baca ke halaman Amazon CodeCatalyst Spaces di halaman. Konsol Manajemen AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:Get*",
"codecatalyst:List*"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy
Anda tidak dapat melampirkanAmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy; ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CodeCatalyst untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk CodeCatalyst](using-service-linked-roles.md).
Kebijakan ini memungkinkan pelanggan untuk melihat profil instance aplikasi dan pengguna serta grup direktori terkait saat mengelola spasi CodeCatalyst. Pelanggan akan melihat sumber daya ini saat mengelola ruang yang mendukung federasi identitas dan pengguna dan grup SSO.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `sso`— Memberikan izin untuk memungkinkan pengguna melihat profil instance aplikasi yang dikelola di Pusat Identitas IAM untuk ruang terkait di. CodeCatalyst
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:ListApplications",
"sso:ListApplicationAssignments",
"sso:DescribeInstance",
"sso:DescribeApplication"
],
"Resource": "*"
}
]
}
```
------
## CodeCatalyst pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola CodeCatalyst sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [Riwayat CodeCatalyst dokumen](doc-history.md).
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy](#security-iam-awsmanpol-AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy) – Kebijakan baru | CodeCatalyst menambahkan kebijakan. Memberikan izin untuk memungkinkan CodeCatalyst pengguna melihat profil instance aplikasi dan pengguna dan grup direktori terkait. | 17 November 2023 |
| [AmazonCodeCatalystSupportAccess](#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess) – Kebijakan baru | CodeCatalyst menambahkan kebijakan. Memberikan izin untuk memungkinkan CodeCatalyst pengguna mencari, membuat, dan menyelesaikan kasus dukungan, serta melihat komunikasi dan detail terkait. | 20 April 2023 |
| [AmazonCodeCatalystFullAccess](#security-iam-awsmanpol-AmazonCodeCatalystFullAccess) – Kebijakan baru | CodeCatalyst menambahkan kebijakan. Memberikan akses penuh ke CodeCatalyst. | 20 April 2023 |
| [AmazonCodeCatalystReadOnlyAccess](#security-iam-awsmanpol-AmazonCodeCatalystReadOnlyAccess) – Kebijakan baru | CodeCatalyst menambahkan kebijakan. Memberikan akses hanya-baca ke. CodeCatalyst | 20 April 2023 |
| CodeCatalyst mulai melacak perubahan | CodeCatalyst mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 20 April 2023 |
# Berikan akses ke AWS sumber daya proyek dengan peran IAM
CodeCatalyst dapat mengakses AWS sumber daya dengan menghubungkan Anda Akun AWS ke CodeCatalyst ruang. Anda kemudian dapat membuat peran layanan berikut dan mengaitkannya saat Anda menghubungkan akun Anda.
Untuk informasi selengkapnya tentang elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi Elemen Kebijakan IAM JSON di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) Pengguna *IAM*.
+ Untuk mengakses sumber daya dalam CodeCatalyst proyek dan alur kerja Anda, Anda harus terlebih dahulu memberikan izin CodeCatalyst untuk mengakses sumber daya tersebut atas nama Anda. Akun AWS Untuk melakukannya, Anda harus membuat peran layanan dalam koneksi Akun AWS yang CodeCatalyst dapat diasumsikan atas nama pengguna dan proyek di ruang tersebut. Anda dapat memilih untuk membuat dan menggunakan peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan, atau Anda dapat membuat peran layanan yang disesuaikan dan mengonfigurasi kebijakan dan peran IAM ini secara manual. Sebagai praktik terbaik, tetapkan peran ini paling sedikit izin yang diperlukan.
**catatan**
Untuk peran layanan yang disesuaikan, prinsipal CodeCatalyst layanan diperlukan. Untuk informasi lebih lanjut tentang prinsip CodeCatalyst layanan dan model kepercayaan, lihat[Memahami model CodeCatalyst kepercayaan](trust-model.md).
+ Untuk mengelola dukungan ruang melalui koneksi Akun AWS, Anda dapat memilih untuk membuat dan menggunakan peran **AWSRoleForCodeCatalystSupport**layanan yang memungkinkan CodeCatalyst pengguna mengakses dukungan. Untuk informasi selengkapnya tentang dukungan untuk CodeCatalyst ruang, lihat[Dukungan untuk Amazon CodeCatalyst](support.md).
## Memahami peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan
Anda dapat menambahkan peran IAM untuk ruang Anda yang CodeCatalyst dapat digunakan untuk membuat dan mengakses sumber daya yang terhubung Akun AWS. Ini disebut [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Cara termudah untuk membuat peran layanan adalah dengan menambahkan satu ketika Anda membuat ruang dan memilih **CodeCatalystWorkflowDevelopmentRole-*spaceName***opsi untuk peran itu. Ini tidak hanya menciptakan peran layanan dengan `AdministratorAccess` terlampir, tetapi juga menciptakan kebijakan kepercayaan yang memungkinkan CodeCatalyst untuk mengambil peran atas nama pengguna dalam proyek di ruang. Peran layanan dicakup ke ruang, bukan untuk proyek individu. Untuk membuat peran ini, lihat [Membuat **CodeCatalystWorkflowDevelopmentRole-*spaceName***peran untuk akun dan ruang Anda](#ipa-iam-roles-service-create). Anda hanya dapat membuat satu peran untuk setiap ruang di setiap akun.
**catatan**
Peran ini hanya direkomendasikan untuk digunakan dengan akun pengembangan dan menggunakan kebijakan `AdministratorAccess` AWS terkelola, memberikan akses penuh untuk membuat kebijakan dan sumber daya baru dalam hal ini Akun AWS.
Kebijakan yang melekat pada **CodeCatalystWorkflowDevelopmentRole-*spaceName***peran dirancang untuk bekerja dengan proyek yang dibuat dengan cetak biru di ruang angkasa. Hal ini memungkinkan pengguna dalam proyek-proyek untuk mengembangkan, membangun, menguji, dan menyebarkan kode menggunakan sumber daya di terhubung Akun AWS. Untuk informasi selengkapnya, lihat [Membuat peran untuk AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
Kebijakan yang melekat pada **CodeCatalystWorkflowDevelopmentRole-*spaceName***peran tersebut adalah kebijakan `AdministratorAccess` terkelola dalam AWS. Ini adalah kebijakan yang memberikan akses penuh ke semua AWS tindakan dan sumber daya. Untuk melihat dokumen kebijakan JSON di konsol IAM, lihat. [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
Kebijakan kepercayaan berikut memungkinkan CodeCatalyst untuk mengambil **CodeCatalystWorkflowDevelopmentRole-*spaceName***peran. Untuk informasi lebih lanjut tentang model CodeCatalyst kepercayaan, lihat[Memahami model CodeCatalyst kepercayaan](trust-model.md).
```
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst-runner.amazonaws.com",
"codecatalyst.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
}
}
}
]
```
## Membuat **CodeCatalystWorkflowDevelopmentRole-*spaceName***peran untuk akun dan ruang Anda
Ikuti langkah-langkah ini untuk membuat `CodeCatalystWorkflowDevelopmentRole-spaceName` peran yang akan digunakan untuk alur kerja di ruang Anda. Untuk setiap akun yang ingin memiliki peran IAM untuk digunakan dalam proyek, ke ruang Anda, Anda harus menambahkan peran seperti peran pengembang.
Sebelum Anda mulai, Anda harus memiliki hak administratif untuk Anda Akun AWS atau dapat bekerja dengan administrator Anda. Untuk informasi selengkapnya tentang bagaimana Akun AWS dan peran IAM digunakan CodeCatalyst, lihat[Memungkinkan akses ke AWS sumber daya yang terhubung Akun AWS](ipa-connect-account.md).
**Untuk membuat dan menambahkan CodeCatalyst **CodeCatalystWorkflowDevelopmentRole-*spaceName*****
1. Sebelum Anda mulai di CodeCatalyst konsol, buka Konsol Manajemen AWS, dan kemudian pastikan Anda masuk dengan yang sama Akun AWS untuk ruang Anda.
1. Buka CodeCatalyst konsol di [https://codecatalyst.aws/](https://codecatalyst.aws/).
1. Arahkan ke CodeCatalyst ruang Anda. Pilih **Pengaturan**, lalu pilih **Akun AWS**.
1. Pilih tautan untuk Akun AWS tempat Anda ingin membuat peran. Halaman **Akun AWS detail** ditampilkan.
1. Pilih **Kelola peran dari Konsol Manajemen AWS**.
**Peran Tambahkan IAM ke halaman CodeCatalyst ruang Amazon** terbuka di halaman. Konsol Manajemen AWS Ini adalah halaman ** CodeCatalyst spasi Amazon**. Anda mungkin perlu masuk untuk mengakses halaman.
1. Pilih **Buat peran administrator CodeCatalyst pengembangan di IAM**. Opsi ini membuat peran layanan yang berisi kebijakan izin dan kebijakan kepercayaan untuk peran pengembangan. Peran akan memiliki nama`CodeCatalystWorkflowDevelopmentRole-spaceName`. Untuk informasi selengkapnya tentang kebijakan peran dan peran, lihat[Memahami peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan](#ipa-iam-roles-service-role).
**catatan**
Peran ini hanya disarankan untuk digunakan dengan akun pengembang dan menggunakan kebijakan `AdministratorAccess` AWS terkelola, memberikan akses penuh untuk membuat kebijakan dan sumber daya baru dalam hal ini Akun AWS.
1. Pilih **Buat peran pengembangan**.
1. Pada halaman koneksi, di bawah **peran IAM yang tersedia untuk CodeCatalyst**, lihat `CodeCatalystWorkflowDevelopmentRole-spaceName` peran dalam daftar peran IAM yang ditambahkan ke akun Anda.
1. Untuk kembali ke ruang Anda, pilih **Buka Amazon CodeCatalyst**.
## Memahami peran **AWSRoleForCodeCatalystSupport**layanan
Anda dapat menambahkan peran IAM untuk ruang yang dapat digunakan CodeCatalyst pengguna dalam ruang untuk membuat dan mengakses kasus dukungan. Ini disebut [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) untuk dukungan.Cara paling sederhana untuk membuat peran layanan untuk dukungan adalah dengan menambahkan satu ketika Anda membuat ruang dan memilih `AWSRoleForCodeCatalystSupport` opsi untuk peran itu. Ini tidak hanya menciptakan kebijakan dan peran, tetapi juga menciptakan kebijakan kepercayaan yang memungkinkan CodeCatalyst untuk mengambil peran atas nama pengguna dalam proyek di ruang angkasa. Peran layanan dicakup ke ruang, bukan untuk proyek individu. Untuk membuat peran ini, lihat [Membuat **AWSRoleForCodeCatalystSupport**peran untuk akun dan ruang Anda](#ipa-iam-roles-support-create).
Kebijakan yang dilampirkan pada `AWSRoleForCodeCatalystSupport` peran adalah kebijakan terkelola yang menyediakan akses ke izin dukungan. Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola: AmazonCodeCatalystSupportAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess).
Peran kepercayaan untuk kebijakan memungkinkan CodeCatalyst untuk mengambil peran.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Membuat **AWSRoleForCodeCatalystSupport**peran untuk akun dan ruang Anda
Ikuti langkah-langkah ini untuk membuat `AWSRoleForCodeCatalystSupport` peran yang akan digunakan untuk kasus dukungan di ruang Anda. Peran harus ditambahkan ke akun penagihan yang ditunjuk untuk ruang tersebut.
Sebelum Anda mulai, Anda harus memiliki hak administratif untuk Anda Akun AWS atau dapat bekerja dengan administrator Anda. Untuk informasi selengkapnya tentang bagaimana Akun AWS dan peran IAM digunakan CodeCatalyst, lihat[Memungkinkan akses ke AWS sumber daya yang terhubung Akun AWS](ipa-connect-account.md).
**Untuk membuat dan menambahkan CodeCatalyst **AWSRoleForCodeCatalystSupport****
1. Sebelum Anda mulai di CodeCatalyst konsol, buka Konsol Manajemen AWS, dan kemudian pastikan Anda masuk dengan yang sama Akun AWS untuk ruang Anda.
1. Arahkan ke CodeCatalyst ruang Anda. Pilih **Pengaturan**, lalu pilih **Akun AWS**.
1. Pilih tautan untuk Akun AWS tempat Anda ingin membuat peran. Halaman **Akun AWS detail** ditampilkan.
1. Pilih **Kelola peran dari Konsol Manajemen AWS**.
**Peran Tambahkan IAM ke halaman CodeCatalyst ruang Amazon** terbuka di halaman. Konsol Manajemen AWS Ini adalah halaman **Amazon CodeCatalyst Spaces**. Anda mungkin perlu masuk untuk mengakses halaman.
1. Di bawah **detail CodeCatalyst spasi**, pilih **peran Tambah CodeCatalyst Dukungan**. Opsi ini membuat peran layanan yang berisi kebijakan izin dan kebijakan kepercayaan untuk peran pengembangan pratinjau. Peran akan memiliki nama **AWSRoleForCodeCatalystSupport**dengan pengenal unik ditambahkan. Untuk informasi selengkapnya tentang kebijakan peran dan peran, lihat[Memahami peran **AWSRoleForCodeCatalystSupport**layanan](#ipa-iam-roles-support-role).
1. Pada halaman **Add role for CodeCatalyst Support**, biarkan default dipilih, lalu pilih **Create role**.
1. Di bawah **peran IAM yang tersedia CodeCatalyst**, lihat `CodeCatalystWorkflowDevelopmentRole-spaceName` peran dalam daftar peran IAM yang ditambahkan ke akun Anda.
1. Untuk kembali ke ruang Anda, pilih **Buka Amazon CodeCatalyst**.
## Mengkonfigurasi peran IAM untuk tindakan alur kerja di CodeCatalyst
Bagian ini merinci peran dan kebijakan IAM yang dapat Anda buat untuk digunakan dengan CodeCatalyst akun Anda. Untuk instruksi untuk membuat contoh peran, lihat[Membuat peran secara manual untuk tindakan alur kerja](#ipa-iam-roles-actions). Setelah Anda membuat peran IAM, salin peran ARN untuk menambahkan peran IAM ke koneksi akun Anda dan kaitkan dengan lingkungan proyek Anda. Untuk mempelajari selengkapnya, lihat [Menambahkan peran IAM ke koneksi akun](ipa-connect-account-addroles.md).
### CodeCatalyst membangun peran untuk akses Amazon S3
**Untuk tindakan pembuatan CodeCatalyst alur kerja, Anda dapat menggunakan peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan default, atau Anda dapat membuat peran IAM bernama CodeCatalystBuildRolefor S3Access.** Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas pada CloudFormation sumber daya di Anda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
+ Menulis ke ember Amazon S3.
+ Support membangun sumber daya dengan CloudFormation. Ini membutuhkan akses Amazon S3.
Peran ini menggunakan kebijakan berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
### CodeCatalyst membangun peran untuk CloudFormation
Untuk tindakan pembuatan CodeCatalyst alur kerja, Anda dapat menggunakan peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan default, atau Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas pada CloudFormation sumber daya di Anda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
+ Support membangun sumber daya dengan CloudFormation. Ini diperlukan bersama dengan peran CodeCatalyst build untuk akses Amazon S3 dan peran CodeCatalyst penerapan untuk. CloudFormation
Kebijakan AWS terkelola berikut harus dilampirkan pada peran ini:
+ **AWSCloudFormationFullAccess**
+ **IAMFullAkses**
+ **AmazonS3 FullAccess**
+ **APIGatewayAdministrator Amazon**
+ **AWSLambdaFullAccess**
### CodeCatalyst membangun peran untuk CDK
Untuk CodeCatalyst alur kerja yang menjalankan tindakan build CDK, seperti aplikasi web tiga tingkat modern, Anda dapat menggunakan peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan default, atau Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu bootstrap dan menjalankan perintah build CDK untuk sumber daya di Anda. CloudFormation Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
+ Menulis ke ember Amazon S3.
+ Support membangun konstruksi CDK dan tumpukan CloudFormation sumber daya. Ini memerlukan akses ke Amazon S3 untuk penyimpanan artefak, Amazon ECR untuk dukungan repositori gambar, dan SSM untuk tata kelola sistem dan pemantauan untuk instans virtual.
Peran ini menggunakan kebijakan berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
### CodeCatalyst menyebarkan peran untuk CloudFormation
Untuk tindakan penerapan CodeCatalyst alur kerja yang digunakan CloudFormation, Anda dapat menggunakan peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan default, atau Anda dapat menggunakan kebijakan dengan izin cakupan yang CodeCatalyst diperlukan untuk menjalankan tugas pada sumber daya di Anda. CloudFormation Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
+ Izinkan CodeCatalyst untuk memanggil fungsi Λ untuk melakukan blue/green penyebaran melalui. CloudFormation
+ Izinkan CodeCatalyst untuk membuat dan memperbarui tumpukan dan set perubahan di. CloudFormation
Peran ini menggunakan kebijakan berikut:
```
{"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:Describe*",
"cloudformation:UpdateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:SetStackPolicy",
"cloudformation:ValidateTemplate",
"cloudformation:List*",
"iam:PassRole"
],
"Resource": "resource_ARN",
"Effect": "Allow"
}
```
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
### CodeCatalyst menyebarkan peran untuk Amazon EC2
CodeCatalyst tindakan penerapan alur kerja menggunakan peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas di sumber daya Amazon EC2 di Anda. Akun AWS Kebijakan default untuk **CodeCatalystWorkflowDevelopmentRole-*spaceName***peran tidak menyertakan izin untuk Amazon EC2 atau Amazon EC2 Auto Scaling.
Peran ini memberikan izin untuk melakukan hal berikut:
+ Buat penerapan Amazon EC2.
+ Baca tag pada instans atau identifikasi instans Amazon EC2 dengan nama grup Auto Scaling.
+ Membaca, membuat, memperbarui, dan menghapus grup Amazon EC2 Auto Scaling, kait siklus hidup, dan kebijakan penskalaan.
+ Publikasikan informasi ke topik Amazon SNS.
+ Ambil informasi tentang CloudWatch alarm.
+ Baca dan perbarui Elastic Load Balancing.
Peran ini menggunakan kebijakan berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
### CodeCatalyst menyebarkan peran untuk Amazon ECS
Untuk tindakan CodeCatalyst alur kerja, Anda dapat membuat peran IAM dengan izin yang diperlukan. Anda dapat menggunakan peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan default, atau Anda dapat membuat peran IAM untuk tindakan CodeCatalyst penerapan yang akan digunakan untuk penerapan Lambda. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas di sumber daya Amazon ECS di Anda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
+ Memulai penerapan Amazon ECS yang bergulir atas nama CodeCatalyst pengguna, di akun yang ditentukan dalam koneksi. CodeCatalyst
+ Baca, perbarui, dan hapus set tugas Amazon ECS.
+ Perbarui grup target Elastic Load Balancing, pendengar, dan aturan.
+ Memanggil fungsi Lambda.
+ Akses file revisi di bucket Amazon S3.
+ Ambil informasi tentang CloudWatch alarm.
+ Publikasikan informasi ke topik Amazon SNS.
Peran ini menggunakan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action":[
"ecs:DescribeServices",
"ecs:CreateTaskSet",
"ecs:DeleteTaskSet",
"ecs:ListClusters",
"ecs:RegisterTaskDefinition",
"ecs:UpdateServicePrimaryTaskSet",
"ecs:UpdateService",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:ModifyRule",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"cloudwatch:DescribeAlarms",
"sns:Publish",
"sns:ListTopics",
"s3:GetObject",
"s3:GetObjectVersion",
"codedeploy:CreateApplication",
"codedeploy:CreateDeployment",
"codedeploy:CreateDeploymentGroup",
"codedeploy:GetApplication",
"codedeploy:GetDeployment",
"codedeploy:GetDeploymentGroup",
"codedeploy:ListApplications",
"codedeploy:ListDeploymentGroups",
"codedeploy:ListDeployments",
"codedeploy:StopDeployment",
"codedeploy:GetDeploymentTarget",
"codedeploy:ListDeploymentTargets",
"codedeploy:GetDeploymentConfig",
"codedeploy:GetApplicationRevision",
"codedeploy:RegisterApplicationRevision",
"codedeploy:BatchGetApplicationRevisions",
"codedeploy:BatchGetDeploymentGroups",
"codedeploy:BatchGetDeployments",
"codedeploy:BatchGetApplications",
"codedeploy:ListApplicationRevisions",
"codedeploy:ListDeploymentConfigs",
"codedeploy:ContinueDeployment"
],
"Resource":"*",
"Effect":"Allow"
},{"Action":[
"iam:PassRole"
],
"Effect":"Allow",
"Resource":"*",
"Condition":{"StringLike":{"iam:PassedToService":[
"ecs-tasks.amazonaws.com",
"codedeploy.amazonaws.com"
]
}
}
}]
}
```
------
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
### CodeCatalyst menyebarkan peran untuk Lambda
Untuk tindakan CodeCatalyst alur kerja, Anda dapat membuat peran IAM dengan izin yang diperlukan. Anda dapat menggunakan peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan default, atau Anda membuat peran IAM untuk tindakan CodeCatalyst penerapan yang akan digunakan untuk penerapan Lambda. Peran ini menggunakan kebijakan dengan izin cakupan yang CodeCatalyst diperlukan untuk menjalankan tugas pada sumber daya Lambda di sumber daya Lambda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
+ Baca, perbarui, dan panggil fungsi dan alias Lambda.
+ Akses file revisi di bucket Amazon S3.
+ Ambil informasi tentang alarm CloudWatch Acara.
+ Publikasikan informasi ke topik Amazon SNS.
Peran ini menggunakan kebijakan berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
### CodeCatalyst menyebarkan peran untuk Lambda
Untuk tindakan CodeCatalyst alur kerja, Anda dapat menggunakan peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan default, atau Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin cakupan yang CodeCatalyst diperlukan untuk menjalankan tugas pada sumber daya Lambda di sumber daya Lambda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
+ Baca, perbarui, dan panggil fungsi dan alias Lambda.
+ Akses file revisi di bucket Amazon S3.
+ Ambil informasi tentang CloudWatch alarm.
+ Publikasikan informasi ke topik Amazon SNS.
Peran ini menggunakan kebijakan berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
### CodeCatalyst menyebarkan peran untuk AWS SAM
Untuk tindakan CodeCatalyst alur kerja, Anda dapat menggunakan peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan default, atau Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin cakupan yang CodeCatalyst diperlukan untuk menjalankan tugas AWS SAM dan CloudFormation sumber daya di Anda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
+ Izinkan CodeCatalyst untuk memanggil fungsi Lambda untuk melakukan penerapan aplikasi tanpa server dan CLI. AWS SAM
+ Izinkan CodeCatalyst untuk membuat dan memperbarui tumpukan dan set perubahan di. CloudFormation
Peran ini menggunakan kebijakan berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
### CodeCatalyst peran baca saja untuk Amazon EC2
Untuk tindakan CodeCatalyst alur kerja, Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas di sumber daya Amazon EC2 di Anda. Akun AWS Peran **CodeCatalystWorkflowDevelopmentRole-*spaceName***layanan tidak menyertakan izin untuk Amazon EC2 atau tindakan yang dijelaskan untuk Amazon. CloudWatch
Peran ini memberikan izin untuk melakukan hal berikut:
+ Dapatkan status instans Amazon EC2.
+ Dapatkan CloudWatch metrik untuk instans Amazon EC2.
Peran ini menggunakan kebijakan berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
### CodeCatalyst baca saja peran untuk Amazon ECS
Untuk tindakan CodeCatalyst alur kerja, Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin terbatas yang CodeCatalyst perlu menjalankan tugas di sumber daya Amazon ECS di Anda. Akun AWS
Peran ini memberikan izin untuk melakukan hal berikut:
+ Baca set tugas Amazon ECS.
+ Ambil informasi tentang CloudWatch alarm.
Peran ini menggunakan kebijakan berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
### CodeCatalyst baca saja peran untuk Lambda
Untuk tindakan CodeCatalyst alur kerja, Anda dapat membuat peran IAM dengan izin yang diperlukan. Peran ini menggunakan kebijakan dengan izin cakupan yang CodeCatalyst diperlukan untuk menjalankan tugas pada sumber daya Lambda di sumber daya Lambda. Akun AWS
Peran ini memberikan izin untuk hal-hal berikut:
+ Baca fungsi dan alias Lambda.
+ Akses file revisi di bucket Amazon S3.
+ Ambil informasi tentang CloudWatch alarm.
Peran ini menggunakan kebijakan berikut.
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
## Membuat peran secara manual untuk tindakan alur kerja
CodeCatalyst **Tindakan alur kerja menggunakan peran IAM yang Anda buat disebut **peran build, peran** **penerapan, dan peran** tumpukan.**
Ikuti langkah-langkah ini untuk membuat peran ini di IAM.
**Untuk membuat peran penerapan**
1. Buat kebijakan untuk peran tersebut, sebagai berikut:
1. Masuk ke AWS.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pilih tab **JSON**.
1. Hapus kode yang ada.
1. Tempel kode berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
1. Pilih **Berikutnya: Tanda**.
1. Pilih **Berikutnya: Tinjau**.
1. Dalam **Nama**, masukkan:
```
codecatalyst-deploy-policy
```
1. Pilih **Buat kebijakan**.
Anda sekarang telah membuat kebijakan izin.
1. Buat peran deploy, sebagai berikut:
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pilih **Kebijakan kepercayaan khusus**.
1. Hapus kebijakan kepercayaan kustom yang ada.
1. Tambahkan kebijakan kepercayaan khusus berikut:
1. Pilih **Berikutnya**.
1. Di **Kebijakan izin**, cari `codecatalyst-deploy-policy` dan pilih kotak centang.
1. Pilih **Berikutnya**.
1. Untuk **nama Peran**, masukkan:
```
codecatalyst-deploy-role
```
1. Untuk **deskripsi Peran**, masukkan:
```
CodeCatalyst deploy role
```
1. Pilih **Buat peran**.
Anda sekarang telah membuat peran penerapan dengan kebijakan kepercayaan dan kebijakan izin.
1. Dapatkan peran penyebaran ARN, sebagai berikut:
1. Di panel navigasi, pilih **Peran**.
1. Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (`codecatalyst-deploy-role`).
1. Pilih peran dari daftar.
Halaman **Ringkasan** peran muncul.
1. Di bagian atas, salin nilai **ARN**.
Anda sekarang telah membuat peran penerapan dengan izin yang sesuai, dan memperoleh ARN-nya.
**Untuk membuat peran build**
1. Buat kebijakan untuk peran tersebut, sebagai berikut:
1. Masuk ke AWS.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pilih tab **JSON**.
1. Hapus kode yang ada.
1. Tempel kode berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
1. Pilih **Berikutnya: Tanda**.
1. Pilih **Berikutnya: Tinjau**.
1. Dalam **Nama**, masukkan:
```
codecatalyst-build-policy
```
1. Pilih **Buat kebijakan**.
Anda sekarang telah membuat kebijakan izin.
1. Buat peran build, sebagai berikut:
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pilih **Kebijakan kepercayaan khusus**.
1. Hapus kebijakan kepercayaan kustom yang ada.
1. Tambahkan kebijakan kepercayaan khusus berikut:
1. Pilih **Berikutnya**.
1. Di **Kebijakan izin**, cari `codecatalyst-build-policy` dan pilih kotak centang.
1. Pilih **Berikutnya**.
1. Untuk **nama Peran**, masukkan:
```
codecatalyst-build-role
```
1. Untuk **deskripsi Peran**, masukkan:
```
CodeCatalyst build role
```
1. Pilih **Buat peran**.
Anda sekarang telah membuat peran build dengan kebijakan kepercayaan dan kebijakan izin.
1. Dapatkan peran membangun ARN, sebagai berikut:
1. Di panel navigasi, pilih **Peran**.
1. Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (`codecatalyst-build-role`).
1. Pilih peran dari daftar.
Halaman **Ringkasan** peran muncul.
1. Di bagian atas, salin nilai **ARN**.
Anda sekarang telah membuat peran build dengan izin yang sesuai, dan memperoleh ARN-nya.
**Untuk membuat peran tumpukan**
**catatan**
Anda tidak perlu membuat peran tumpukan, meskipun melakukannya disarankan untuk alasan keamanan. Jika Anda tidak membuat peran tumpukan, Anda harus menambahkan kebijakan izin yang dijelaskan lebih lanjut dalam prosedur ini ke peran penerapan.
1. Masuk untuk AWS menggunakan akun tempat Anda ingin menyebarkan tumpukan Anda.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**. Lalu pilih **Buat peran**.
1. Di bagian atas, pilih **AWS layanan**.
1. Dari daftar layanan, pilih **CloudFormation**.
1. Pilih **Berikutnya: Izin**.
1. Di kotak pencarian, tambahkan kebijakan apa pun yang diperlukan untuk mengakses sumber daya di tumpukan Anda. Misalnya, jika tumpukan menyertakan AWS Lambda fungsi, Anda perlu menambahkan kebijakan yang memberikan akses ke Lambda.
**Tip**
Jika Anda tidak yakin kebijakan mana yang harus ditambahkan, Anda dapat menghilangkannya untuk saat ini. Saat Anda menguji tindakan, jika Anda tidak memiliki izin yang tepat, CloudFormation menghasilkan kesalahan yang menunjukkan izin mana yang perlu Anda tambahkan.
1. Pilih **Berikutnya: Tanda**.
1. Pilih **Berikutnya: Tinjau**.
1. Untuk **nama Peran**, masukkan:
```
codecatalyst-stack-role
```
1. Pilih **Buat peran**.
1. Untuk mendapatkan ARN peran tumpukan, lakukan hal berikut:
1. Di panel navigasi, pilih **Peran**.
1. Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (`codecatalyst-stack-role`).
1. Pilih peran dari daftar.
1. Pada halaman **Ringkasan**, salin nilai **ARN Peran**.
## Menggunakan AWS CloudFormation untuk membuat kebijakan dan peran di IAM
Anda dapat memilih untuk membuat dan menggunakan AWS CloudFormation templat untuk membuat kebijakan dan peran yang Anda perlukan untuk mengakses sumber daya dalam CodeCatalyst proyek dan alur kerja Anda. Akun AWS CloudFormation adalah layanan yang membantu Anda memodelkan dan mengatur AWS sumber daya Anda sehingga Anda dapat menghabiskan lebih sedikit waktu mengelola sumber daya tersebut dan lebih banyak waktu untuk berfokus pada aplikasi Anda yang berjalan AWS. Jika Anda berniat untuk membuat peran dalam beberapa Akun AWS, membuat template dapat membantu Anda melakukan tugas ini lebih cepat.
Contoh template berikut membuat peran dan kebijakan tindakan penerapan.
```
Parameters:
CodeCatalystAccountId:
Type: String
Description: Account ID from the connections page
ExternalId:
Type: String
Description: External ID from the connections page
Resources:
CrossAccountRole:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref CodeCatalystAccountId
Action:
- 'sts:AssumeRole'
Condition:
StringEquals:
sts:ExternalId: !Ref ExternalId
Path: /
Policies:
- PolicyName: CodeCatalyst-CloudFormation-action-policy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- 'cloudformation:CreateStack'
- 'cloudformation:DeleteStack'
- 'cloudformation:Describe*'
- 'cloudformation:UpdateStack'
- 'cloudformation:CreateChangeSet'
- 'cloudformation:DeleteChangeSet'
- 'cloudformation:ExecuteChangeSet'
- 'cloudformation:SetStackPolicy'
- 'cloudformation:ValidateTemplate'
- 'cloudformation:List*'
- 'iam:PassRole'
Resource: '*'
```
## Membuat peran secara manual untuk cetak biru aplikasi web
**Cetak biru aplikasi CodeCatalyst web menggunakan peran IAM yang Anda buat disebut peran **build untuk CDK, peran** **penerapan, dan peran** tumpukan.**
Ikuti langkah-langkah ini untuk membuat peran dalam IAM.
**Untuk membuat peran build**
1. Buat kebijakan untuk peran tersebut, sebagai berikut:
1. Masuk ke AWS.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat Kebijakan**.
1. Pilih tab **JSON**.
1. Hapus kode yang ada.
1. Tempel kode berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
1. Pilih **Berikutnya: Tanda**.
1. Pilih **Berikutnya: Tinjau**.
1. Dalam **Nama**, masukkan:
```
codecatalyst-webapp-build-policy
```
1. Pilih **Buat kebijakan**.
Anda sekarang telah membuat kebijakan izin.
1. Buat peran build, sebagai berikut:
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pilih **Kebijakan kepercayaan khusus**.
1. Hapus kebijakan kepercayaan kustom yang ada.
1. Tambahkan kebijakan kepercayaan khusus berikut:
1. Pilih **Berikutnya**.
1. Lampirkan kebijakan izin ke peran build. Pada halaman **Tambahkan izin**, di bagian **Kebijakan izin**, cari `codecatalyst-webapp-build-policy` dan pilih kotak centang.
1. Pilih **Berikutnya**.
1. Untuk **nama Peran**, masukkan:
```
codecatalyst-webapp-build-role
```
1. Untuk **deskripsi Peran**, masukkan:
```
CodeCatalyst Web app build role
```
1. Pilih **Buat peran**.
Anda sekarang telah membuat peran build dengan kebijakan kepercayaan dan kebijakan izin.
1. Lampirkan kebijakan izin ke peran build, sebagai berikut:
1. Di panel navigasi, pilih **Peran**, lalu cari`codecatalyst-webapp-build-role`. ``
1. Pilih `codecatalyst-webapp-build-role` untuk menampilkan detailnya. ``
1. Di tab **Izin**, pilih **Tambahkan izin**, lalu pilih **Lampirkan** kebijakan.
1. Cari`codecatalyst-webapp-build-policy`, pilih kotak centang, lalu pilih **Lampirkan kebijakan**.
Anda sekarang telah melampirkan kebijakan izin ke peran build. Peran build sekarang memiliki dua kebijakan: kebijakan izin dan kebijakan kepercayaan.
1. Dapatkan peran membangun ARN, sebagai berikut:
1. Di panel navigasi, pilih **Peran**.
1. Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (`codecatalyst-webapp-build-role`).
1. Pilih peran dari daftar.
Halaman **Ringkasan** peran muncul.
1. Di bagian atas, salin nilai **ARN**.
Anda sekarang telah membuat peran build dengan izin yang sesuai, dan memperoleh ARN-nya.
## Membuat peran secara manual untuk cetak biru SAM
Cetak biru CodeCatalyst SAM menggunakan peran IAM yang Anda buat disebut peran **build CloudFormation dan peran **penerapan** untuk** SAM.
Ikuti langkah-langkah ini untuk membuat peran di IAM.
**Untuk membuat peran build untuk CloudFormation**
1. Buat kebijakan untuk peran tersebut, sebagai berikut:
1. Masuk ke AWS.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat Kebijakan**.
1. Pilih tab **JSON**.
1. Hapus kode yang ada.
1. Tempel kode berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*",
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
1. Pilih **Berikutnya: Tanda**.
1. Pilih **Berikutnya: Tinjau**.
1. Dalam **Nama**, masukkan:
```
codecatalyst-SAM-build-policy
```
1. Pilih **Buat kebijakan**.
Anda sekarang telah membuat kebijakan izin.
1. Buat peran build, sebagai berikut:
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pilih **Kebijakan kepercayaan khusus**.
1. Hapus kebijakan kepercayaan kustom yang ada.
1. Tambahkan kebijakan kepercayaan khusus berikut:
1. Pilih **Berikutnya**.
1. Lampirkan kebijakan izin ke peran build. Pada halaman **Tambahkan izin**, di bagian **Kebijakan izin**, cari `codecatalyst-SAM-build-policy` dan pilih kotak centang.
1. Pilih **Berikutnya**.
1. Untuk **nama Peran**, masukkan:
```
codecatalyst-SAM-build-role
```
1. Untuk **deskripsi Peran**, masukkan:
```
CodeCatalyst SAM build role
```
1. Pilih **Buat peran**.
Anda sekarang telah membuat peran build dengan kebijakan kepercayaan dan kebijakan izin.
1. Lampirkan kebijakan izin ke peran build, sebagai berikut:
1. Di panel navigasi, pilih **Peran**, lalu cari`codecatalyst-SAM-build-role`. ``
1. Pilih `codecatalyst-SAM-build-role` untuk menampilkan detailnya. ``
1. Di tab **Izin**, pilih **Tambahkan izin**, lalu pilih **Lampirkan** kebijakan.
1. Cari`codecatalyst-SAM-build-policy`, pilih kotak centang, lalu pilih **Lampirkan kebijakan**.
Anda sekarang telah melampirkan kebijakan izin ke peran build. Peran build sekarang memiliki dua kebijakan: kebijakan izin dan kebijakan kepercayaan.
1. Dapatkan peran membangun ARN, sebagai berikut:
1. Di panel navigasi, pilih **Peran**.
1. Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (`codecatalyst-SAM-build-role`).
1. Pilih peran dari daftar.
Halaman **Ringkasan** peran muncul.
1. Di bagian atas, salin nilai **ARN**.
Anda sekarang telah membuat peran build dengan izin yang sesuai, dan memperoleh ARN-nya.
**Untuk membuat peran deploy untuk SAM**
1. Buat kebijakan untuk peran tersebut, sebagai berikut:
1. Masuk ke AWS.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat Kebijakan**.
1. Pilih tab **JSON**.
1. Hapus kode yang ada.
1. Tempel kode berikut:
**catatan**
Pertama kali peran digunakan untuk menjalankan tindakan alur kerja, gunakan wildcard dalam pernyataan kebijakan sumber daya dan kemudian cakup kebijakan dengan nama sumber daya setelah tersedia.
```
"Resource": "*"
```
1. Pilih **Berikutnya: Tanda**.
1. Pilih **Berikutnya: Tinjau**.
1. Dalam **Nama**, masukkan:
```
codecatalyst-SAM-deploy-policy
```
1. Pilih **Buat kebijakan**.
Anda sekarang telah membuat kebijakan izin.
1. Buat peran build, sebagai berikut:
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pilih **Kebijakan kepercayaan khusus**.
1. Hapus kebijakan kepercayaan kustom yang ada.
1. Tambahkan kebijakan kepercayaan khusus berikut:
1. Pilih **Berikutnya**.
1. Lampirkan kebijakan izin ke peran build. Pada halaman **Tambahkan izin**, di bagian **Kebijakan izin**, cari `codecatalyst-SAM-deploy-policy` dan pilih kotak centang.
1. Pilih **Berikutnya**.
1. Untuk **nama Peran**, masukkan:
```
codecatalyst-SAM-deploy-role
```
1. Untuk **deskripsi Peran**, masukkan:
```
CodeCatalyst SAM deploy role
```
1. Pilih **Buat peran**.
Anda sekarang telah membuat peran build dengan kebijakan kepercayaan dan kebijakan izin.
1. Lampirkan kebijakan izin ke peran build, sebagai berikut:
1. Di panel navigasi, pilih **Peran**, lalu cari`codecatalyst-SAM-deploy-role`. ``
1. Pilih `codecatalyst-SAM-deploy-role` untuk menampilkan detailnya. ``
1. Di tab **Izin**, pilih **Tambahkan izin**, lalu pilih **Lampirkan** kebijakan.
1. Cari`codecatalyst-SAM-deploy-policy`, pilih kotak centang, lalu pilih **Lampirkan kebijakan**.
Anda sekarang telah melampirkan kebijakan izin ke peran build. Peran build sekarang memiliki dua kebijakan: kebijakan izin dan kebijakan kepercayaan.
1. Dapatkan peran membangun ARN, sebagai berikut:
1. Di panel navigasi, pilih **Peran**.
1. Di kotak pencarian, masukkan nama peran yang baru saja Anda buat (`codecatalyst-SAM-deploy-role`).
1. Pilih peran dari daftar.
Halaman **Ringkasan** peran muncul.
1. Di bagian atas, salin nilai **ARN**.
Anda sekarang telah membuat peran build dengan izin yang sesuai, dan memperoleh ARN-nya.