Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memahami model CodeCatalyst kepercayaan
Model CodeCatalyst kepercayaan Amazon memungkinkan CodeCatalyst untuk mengambil peran layanan dalam terhubung Akun AWS. Model menghubungkan peran IAM, prinsip CodeCatalyst layanan, dan ruang. CodeCatalyst Kebijakan kepercayaan menggunakan kunci aws:SourceArn kondisi untuk memberikan izin ke CodeCatalyst ruang yang ditentukan dalam kunci kondisi. Untuk informasi selengkapnya tentang kunci kondisi ini, lihat aws: SourceArn di Panduan Pengguna IAM.
Kebijakan kepercayaan adalah dokumen kebijakan JSON di mana Anda menentukan prinsip yang Anda percayai untuk mengambil peran tersebut. Kebijakan kepercayaan adalah kebijakan berbasis sumber daya yang diperlukan yang melekat pada peran dalam IAM. Untuk informasi selengkapnya, lihat Syarat dan konsep di Panduan Pengguna IAM. Untuk detail tentang prinsip layanan, lihat. CodeCatalyst Prinsipal layanan untuk CodeCatalyst
Dalam kebijakan kepercayaan berikut, prinsip layanan yang tercantum dalam Principal elemen diberikan izin dari kebijakan berbasis sumber daya, dan Condition blok tersebut digunakan untuk membatasi akses ke sumber daya cakupan bawah.
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
Dalam kebijakan kepercayaan, prinsipal CodeCatalyst layanan diberikan akses melalui kunci aws:SourceArn kondisi, yang berisi Nama Sumber Daya Amazon (ARN) untuk ID spasi. CodeCatalyst ARN menggunakan format berikut:
arn:aws:codecatalyst:::space/spaceId/project/*
penting
Gunakan ID spasi hanya di tombol kondisi, sepertiaws:SourceArn. Jangan gunakan ID spasi dalam pernyataan kebijakan IAM sebagai ARN sumber daya.
Sebagai praktik terbaik, kurangi izin sebanyak mungkin dalam kebijakan.
-
Anda dapat menggunakan wildcard (*) di kunci
aws:SourceArnkondisi untuk menentukan semua proyek di ruang dengan.project/* -
Anda dapat menentukan izin tingkat sumber daya dalam kunci
aws:SourceArnkondisi untuk proyek tertentu di ruang dengan.project/projectId
Prinsipal layanan untuk CodeCatalyst
Anda menggunakan Principal elemen dalam kebijakan JSON berbasis sumber daya untuk menentukan prinsipal yang diizinkan atau ditolak akses ke sumber daya. Prinsipal yang dapat Anda sebutkan dalam kebijakan kepercayaan termasuk pengguna, peran, akun, dan layanan. Anda tidak dapat menggunakan Principal elemen dalam kebijakan berbasis identitas; demikian pula, Anda tidak dapat mengidentifikasi grup pengguna sebagai prinsipal dalam kebijakan (seperti kebijakan berbasis sumber daya) karena grup terkait dengan izin, bukan otentikasi, dan prinsipal adalah entitas IAM yang diautentikasi.
Dalam kebijakan kepercayaan, Anda dapat menentukan layanan AWS Principal elemen kebijakan berbasis sumber daya atau dalam kunci kondisi yang mendukung prinsipal. Prinsipal layanan ditentukan oleh layanan. Berikut ini adalah prinsip layanan yang didefinisikan untuk: CodeCatalyst
-
codecatalyst.amazonaws.com - Prinsip layanan ini digunakan untuk peran yang akan memberikan akses ke. CodeCatalyst AWS
-
codecatalyst-runner.amazonaws.com - Prinsip layanan ini digunakan untuk peran yang akan memberikan akses ke sumber daya dalam penerapan untuk alur kerja. CodeCatalyst AWS CodeCatalyst
Untuk informasi selengkapnya, lihat elemen kebijakan AWS JSON: Principal dalam Panduan Pengguna IAM.
