Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan untuk fitur konsol Alat Developer
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara berkala menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku untuk AWS CodeStar Pemberitahuan dan AWS CodeConnections, lihat [AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS CodeStar Notifikasi dan AWS CodeConnections. Topik berikut menunjukkan kepada Anda cara mengonfigurasi AWS CodeStar Pemberitahuan dan AWS CodeConnections untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan AWS CodeStar Pemberitahuan dan AWS CodeConnections sumber daya Anda.
Untuk informasi selengkapnya tentang keamanan untuk layanan di konsol Alat Developer, lihat berikut ini:
+ [CodeBuild Keamanan](https://docs.aws.amazon.com/codebuild/latest/userguide/security.html)
+ [CodeCommit Keamanan](https://docs.aws.amazon.com/codecommit/latest/userguide/security.html)
+ [CodeDeploy Keamanan](https://docs.aws.amazon.com/codedeploy/latest/userguide/security.html)
+ [CodePipeline Keamanan](https://docs.aws.amazon.com/codepipeline/latest/userguide/security.html)
## Memahami konten dan keamanan notifikasi
Notifikasi memberikan informasi tentang sumber daya kepada pengguna yang berlangganan target aturan notifikasi yang Anda konfigurasikan. Informasi ini dapat mencakup detail tentang sumber daya alat developer Anda, termasuk isi repositori, membangun status, status deployment, dan eksekusi alur.
Misalnya, Anda dapat mengonfigurasi aturan notifikasi untuk repositori CodeCommit untuk menyertakan komentar pada commit atau pull request. Jika demikian, notifikasi yang dikirim dalam menanggapi aturan tersebut mungkin berisi baris atau baris kode yang direferensikan dalam komentar tersebut. Demikian pula, Anda dapat mengonfigurasi aturan notifikasi untuk proyek build CodeBuild agar menyertakan keberhasilan atau kegagalan untuk status dan fase build. Notifikasi yang dikirim dalam menanggapi aturan tersebut akan berisi informasi tersebut.
Anda dapat mengonfigurasi aturan notifikasi untuk pipeline CodePipeline untuk menyertakan informasi tentang persetujuan manual, dan notifikasi yang dikirim sebagai tanggapan terhadap aturan tersebut mungkin berisi nama orang yang memberikan persetujuan tersebut. Anda dapat mengonfigurasi aturan notifikasi untuk aplikasi CodeDeploy untuk menunjukkan keberhasilan penerapan, dan notifikasi yang dikirim sebagai respons terhadap aturan tersebut mungkin berisi informasi tentang target penerapan.
Notifikasi dapat mencakup informasi spesifik proyek seperti status build, baris kode yang memiliki komentar, status deployment, dan persetujuan alur. Jadi untuk membantu memastikan keamanan proyek Anda, pastikan bahwa Anda secara teratur meninjau kedua target aturan notifikasi dan daftar pelanggan dari topik Amazon SNS yang ditetapkan sebagai target. Selain itu, konten notifikasi yang dikirim sebagai respons terhadap peristiwa dapat berubah karena fitur tambahan ditambahkan ke layanan dasar. Perubahan ini dapat terjadi tanpa pemberitahuan untuk aturan notifikasi yang sudah ada. Pertimbangkan untuk meninjau isi pesan notifikasi secara berkala untuk membantu memastikan bahwa Anda memahami apa yang sedang dikirim, serta kepada siapa pesan tersebut dikirim.
Untuk informasi selengkapnya tentang tipe peristiwa yang tersedia untuk aturan notifikasi, lihat [Konsep notifikasi](concepts.md).
Anda dapat memilih untuk membatasi detail yang disertakan dalam notifikasi hanya pada apa yang disertakan dalam suatu peristiwa. Ini disebut sebagai tipe detail **Basic**. Peristiwa ini berisi informasi yang persis sama seperti yang dikirim ke Amazon EventBridge dan Amazon CloudWatch Events.
Layanan konsol Alat Pengembang, seperti CodeCommit, dapat memilih untuk menambahkan informasi tentang beberapa atau semua jenis acara mereka dalam pesan notifikasi di luar apa yang tersedia dalam suatu acara. Informasi tambahan ini dapat ditambahkan kapan saja untuk meningkatkan jenis peristiwa saat ini atau melengkapi jenis peristiwa di masa mendatang. Anda dapat memilih untuk menyertakan informasi tambahan tentang peristiwa tersebut, jika tersedia, dalam notifikasi dengan memilih tipe detail **Penuh**. Untuk informasi selengkapnya, lihat [Jenis detail](concepts.md#detail-type).
# Perlindungan data dalam AWS CodeStar Pemberitahuan dan AWS CodeConnections
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS CodeStar Pemberitahuan dan AWS CodeConnections. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan AWS CodeStar Notifikasi dan AWS CodeConnections atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
# Manajemen identitas dan akses untuk AWS CodeStar Pemberitahuan dan AWS CodeConnections
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan AWS CodeStar Pemberitahuan dan sumber daya. AWS CodeConnections IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**catatan**
Tindakan untuk sumber daya yang dibuat di bawah awalan layanan baru `codeconnections` tersedia. Membuat sumber daya di bawah awalan layanan baru akan digunakan `codeconnections` di sumber daya ARN. Tindakan dan sumber daya untuk awalan `codestar-connections` layanan tetap tersedia. Saat menentukan sumber daya dalam kebijakan IAM, awalan layanan harus sesuai dengan sumber daya.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana fitur di konsol alat developer bekerja dengan IAM](security_iam_service-with-iam.md)
+ [AWS CodeConnections referensi izin](#permissions-reference-connections)
+ [Contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
+ [Menggunakan tag untuk mengontrol akses ke AWS CodeConnections sumber daya](connections-tag-based-access-control.md)
+ [Menggunakan notifikasi dan koneksi di konsol](#security_iam_id-based-policy-examples-console)
+ [Izinkan para pengguna untuk melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Pemecahan Masalah AWS CodeStar Pemberitahuan dan AWS CodeConnections identitas dan akses](security_iam_troubleshoot.md)
+ [Menggunakan peran terkait layanan untuk Pemberitahuan AWS CodeStar](using-service-linked-roles.md)
+ [Menggunakan peran terkait layanan untuk AWS CodeConnections](service-linked-role-connections.md)
+ [AWS kebijakan terkelola untuk AWS CodeConnections](security-iam-awsmanpol.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Pemecahan Masalah AWS CodeStar Pemberitahuan dan AWS CodeConnections identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana fitur di konsol alat developer bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensyal identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensi dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensi. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Pengguna root akun AWS
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
# Bagaimana fitur di konsol alat developer bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke fitur di konsol Alat Developer, Anda harus memahami fitur IAM mana yang tersedia untuk digunakan dengannya. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja notifikasi dan AWS layanan lain dengan IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Topics**
+ [Kebijakan berbasis identitas di konsol alat developer](#security_iam_service-with-iam-id-based-policies)
+ [AWS CodeStar Pemberitahuan dan kebijakan AWS CodeConnections berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tanda](#security_iam_service-with-iam-tags)
+ [Peran IAM](#security_iam_service-with-iam-roles)
## Kebijakan berbasis identitas di konsol alat developer
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. AWS CodeStar Pemberitahuan dan AWS CodeConnections mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan untuk notifikasi di konsol Alat Developer menggunakan prefiks berikut sebelum tindakan: `codestar-notifications and codeconnections`. Misalnya, untuk memberikan izin kepada seseorang untuk melihat semua aturan notifikasi di akunnya, Anda menyertakan tindakan `codestar-notifications:ListNotificationRules` dalam kebijakan mereka. Pernyataan kebijakan harus mencakup salah satu `Action` atau `NotAction` elemen. AWS CodeStar Pemberitahuan dan AWS CodeConnections mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menentukan beberapa tindakan AWS CodeStar Pemberitahuan dalam satu pernyataan, pisahkan dengan koma sebagai berikut.
```
"Action": [
"codestar-notifications:action1",
"codestar-notifications:action2"
```
Untuk menentukan beberapa AWS CodeConnections tindakan dalam satu pernyataan, pisahkan dengan koma sebagai berikut.
```
"Action": [
"codeconnections:action1",
"codeconnections:action2"
```
Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata `List`, sertakan tindakan berikut.
```
"Action": "codestar-notifications:List*"
```
AWS CodeStar Tindakan API Pemberitahuan meliputi:
+ `CreateNotificationRule`
+ `DeleteNotificationRule`
+ `DeleteTarget`
+ `DescribeNotificationRule`
+ `ListEventTypes`
+ `ListNotificationRules`
+ `ListTagsForResource`
+ `ListTargets`
+ `Subscribe`
+ `TagResource`
+ `Unsubscribe`
+ `UntagResource`
+ `UpdateNotificationRule`
AWS CodeConnections Tindakan API meliputi yang berikut:
+ `CreateConnection`
+ `DeleteConnection`
+ `GetConnection`
+ `ListConnections`
+ `ListTagsForResource`
+ `TagResource`
+ `UntagResource`
Tindakan khusus izin berikut diperlukan AWS CodeConnections untuk menyelesaikan jabat tangan autentikasi:
+ `GetIndividualAccessToken`
+ `GetInstallationUrl`
+ `ListInstallationTargets`
+ `StartOAuthHandshake`
+ `UpdateConnectionInstallation`
Tindakan khusus izin berikut diperlukan AWS CodeConnections untuk menggunakan koneksi:
+ `UseConnection`
Tindakan khusus izin berikut diperlukan AWS CodeConnections untuk meneruskan koneksi ke layanan:
+ `PassConnection`
Untuk melihat daftar AWS CodeStar Pemberitahuan dan AWS CodeConnections tindakan, lihat [Tindakan yang Ditentukan oleh AWS CodeStar Pemberitahuan](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_codestarnotifications.html#codestarnotifications-actions-as-permissions) dan [Tindakan yang Ditentukan oleh AWS CodeConnections](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_codestarconnections.html#codestarconnections-actions-as-permissions) dalam *Panduan Pengguna IAM*.
### Sumber daya
AWS CodeStar Pemberitahuan dan AWS CodeConnections tidak mendukung menentukan sumber daya ARNs dalam kebijakan.
### Kunci syarat
AWS CodeStar Pemberitahuan dan AWS CodeConnections tentukan set kunci kondisi mereka sendiri dan juga mendukung penggunaan beberapa tombol kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Semua tindakan AWS CodeStar Pemberitahuan mendukung tombol `codestar-notifications:NotificationsForResource` kondisi. Untuk informasi selengkapnya, lihat [Contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md).
AWS CodeConnections mendefinisikan kunci kondisi berikut yang dapat digunakan dalam `Condition` elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut dimana pernyataan kebijakan berlaku. Untuk informasi lebih lanjut, lihat [AWS CodeConnections referensi izin](security-iam.md#permissions-reference-connections).
| Kunci kondisi | Deskripsi |
| --- | --- |
| `codeconnections:BranchName` | Memfilter akses berdasarkan nama cabang repositori pihak ketiga |
| `codeconnections:FullRepositoryId` | Memfilter akses berdasarkan repositori yang dilewatkan dalam permintaan. Hanya berlaku untuk permintaan UseConnection untuk akses ke repositori tertentu |
| codeconnections:InstallationId | Memfilter akses berdasarkan ID pihak ketiga (seperti ID penginstalan aplikasi Bitbucket) yang digunakan untuk memperbarui koneksi. Memungkinkan Anda untuk membatasi instalasi aplikasi pihak ketiga mana yang dapat digunakan untuk membuat koneksi |
| codeconnections:OwnerId | Memfilter akses berdasarkan pemilik atau ID akun penyedia pihak ketiga |
| `codeconnections:PassedToService` | Memfilter akses berdasarkan layanan di mana prinsipal diizinkan untuk melewati koneksi |
| `codeconnections:ProviderAction` | Memfilter akses berdasarkan tindakan penyedia di permintaan UseConnection seperti ListRepositories. |
| codeconnections:ProviderPermissionsRequired | Memfilter akses berdasarkan jenis izin penyedia pihak ketiga |
| `codeconnections:ProviderType` | Memfilter akses berdasarkan jenis penyedia pihak ketiga yang dilewatkan dalam permintaan |
| codeconnections:ProviderTypeFilter | Memfilter akses berdasarkan jenis penyedia pihak ketiga yang dilewatkan dalam hasil filter |
| codeconnections:RepositoryName | Memfilter akses berdasarkan nama repositori pihak ketiga |
### Contoh
Untuk melihat contoh AWS CodeStar Pemberitahuan dan kebijakan AWS CodeConnections berbasis identitas, lihat. [Contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
## AWS CodeStar Pemberitahuan dan kebijakan AWS CodeConnections berbasis sumber daya
AWS CodeStar Pemberitahuan dan AWS CodeConnections tidak mendukung kebijakan berbasis sumber daya.
## Otorisasi berdasarkan tanda
Anda dapat melampirkan tag ke AWS CodeStar Pemberitahuan dan AWS CodeConnections sumber daya atau meneruskan tag dalam permintaan. Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `codestar-notifications and codeconnections:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang strategi penandaan, lihat [AWS Menandai](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) sumber daya. Untuk informasi selengkapnya tentang menandai AWS CodeStar Pemberitahuan dan AWS CodeConnections sumber daya, lihat[Menandai sumber daya koneksi](connections-tag.md).
Untuk melihat contoh kebijakan-kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tanda pada sumber daya tersebut, lihat [Menggunakan tag untuk mengontrol akses ke AWS CodeConnections sumber daya](connections-tag-based-access-control.md).
## Peran IAM
[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
### Menggunakan kredensial sementara
Anda dapat menggunakan kredensial sementara untuk masuk dengan federasi, dan dan mengambil IAM role atau peran lintas-akun. Anda memperoleh kredensi keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
AWS CodeStar Pemberitahuan dan AWS CodeConnections mendukung penggunaan kredensil sementara.
### Peran terkait layanan
[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
AWS CodeStar Pemberitahuan mendukung peran terkait layanan. Untuk detail tentang membuat atau mengelola AWS CodeStar Pemberitahuan dan peran AWS CodeConnections terkait layanan, lihat. [Menggunakan peran terkait layanan untuk Pemberitahuan AWS CodeStar](using-service-linked-roles.md)
CodeConnections tidak mendukung peran terkait layanan.
## AWS CodeConnections referensi izin
Tabel berikut mencantumkan setiap operasi AWS CodeConnections API, tindakan terkait yang dapat Anda berikan izin, dan format ARN sumber daya yang akan digunakan untuk memberikan izin. AWS CodeConnections APIs Dikelompokkan ke dalam tabel berdasarkan cakupan tindakan yang diizinkan oleh API tersebut. Mengacu saat menulis kebijakan izin yang dapat Anda lampirkan ke identitas IAM (kebijakan berbasis identitas).
Ketika Anda membuat kebijakan izin, Anda menentukan tindakan di bidang `Action`. Anda menentukan nilai sumber daya di bidang `Resource` sebagai ARN, dengan atau tanpa karakter wildcard (\$1).
Untuk mengekspresikan syarat dalam kebijakan koneksi Anda, gunakan kunci syarat yang dijelaskan di sini dan tercantum dalam [Kunci syarat](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys). Anda juga dapat menggunakan tombol kondisi AWS-wide. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang [tersedia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) di *Panduan Pengguna IAM*.
Untuk menentukan tindakan, gunakan awalan `codeconnections` yang diikuti dengan nama operasi API (misalnya, `codeconnections:ListConnections` atau `codeconnections:CreateConnection`.
**Menggunakan wildcard**
Untuk menentukan beberapa tindakan atau sumber daya, gunakan karakter wildcard (\$1) di ARN Anda. Misalnya, `codeconnections:*` menentukan semua AWS CodeConnections tindakan dan `codeconnections:Get*` menentukan semua AWS CodeConnections tindakan yang dimulai dengan kata. `Get` Contoh berikut memberikan akses ke semua sumber daya dengan nama yang dimulai dengan `MyConnection`.
```
arn:aws:codeconnections:us-west-2:account-ID:connection/*
```
Anda dapat menggunakan wildcard hanya dengan *connection* sumber daya yang tercantum dalam tabel berikut. Anda tidak dapat menggunakan wildcard dengan *region* atau *account-id* sumber daya. Untuk informasi lebih lanjut tentang wildcard, lihat [Pengidentifikasi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Izin untuk mengelola koneksi](#permissions-reference-connections-managing)
+ [Izin untuk mengelola host](#permissions-reference-connections-hosts)
+ [Izin untuk menyelesaikan koneksi](#permissions-reference-connections-handshake)
+ [Izin untuk menyiapkan host](#connections-permissions-actions-host-registration)
+ [Melewati koneksi ke layanan](#permissions-reference-connections-passconnection)
+ [Menggunakan koneksi](#permissions-reference-connections-use)
+ [Jenis akses yang didukung untuk `ProviderAction`](#permissions-reference-connections-access)
+ [Izin yang didukung untuk menandai sumber daya koneksi](#permissions-reference-connections-tagging)
+ [Melewati koneksi ke tautan repositori](#permissions-reference-connections-passrepository)
+ [Kunci kondisi yang didukung untuk tautan repositori](#permissions-reference-connections-branch)
+ [Izin yang didukung untuk berbagi koneksi](#permissions-reference-connections-sharing)
### Izin untuk mengelola koneksi
Peran atau pengguna yang ditunjuk untuk menggunakan AWS CLI atau SDK untuk melihat, membuat, atau menghapus koneksi harus memiliki izin terbatas pada hal berikut.
**catatan**
Anda tidak dapat menyelesaikan atau menggunakan koneksi di konsol dengan hanya izin berikut. Anda perlu menambahkan izin di [Izin untuk menyelesaikan koneksi](#permissions-reference-connections-handshake).
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
```
Gunakan bilah gulir untuk melihat seluruh tabel.
**AWS CodeConnections izin yang diperlukan untuk mengelola koneksi**
| AWS CodeConnections tindakan | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| CreateConnection | `codeconnections:CreateConnection` Diperlukan untuk menggunakan CLI atau konsol untuk membuat koneksi. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| DeleteConnection | `codeconnections:DeleteConnection` Diperlukan untuk menggunakan CLI atau konsol untuk menghapus koneksi. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| GetConnection | `codeconnections:GetConnection` Diperlukan untuk menggunakan CLI atau konsol untuk melihat detail tentang koneksi. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| ListConnections | `codeconnections:ListConnections` Diperlukan untuk menggunakan CLI atau konsol untuk membuat daftar semua koneksi di akun. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
Operasi ini mendukung kunci syarat berikut:
| Tindakan | Kunci kondisi |
| --- | --- |
| `codeconnections:CreateConnection` | `codeconnections:ProviderType` |
| codeconnections:DeleteConnection | N/A |
| codeconnections:GetConnection | N/A |
| codeconnections:ListConnections | codeconnections:ProviderTypeFilter |
### Izin untuk mengelola host
Peran atau pengguna yang ditunjuk untuk menggunakan AWS CLI atau SDK untuk melihat, membuat, atau menghapus host harus memiliki izin terbatas pada hal berikut.
**catatan**
Anda tidak dapat menyelesaikan atau menggunakan koneksi di host dengan hanya izin berikut. Anda perlu menambahkan izin di [Izin untuk menyiapkan host](#connections-permissions-actions-host-registration).
```
codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts
```
Gunakan bilah gulir untuk melihat seluruh tabel.
**AWS CodeConnections izin yang diperlukan untuk mengelola host**
| AWS CodeConnections tindakan | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| CreateHost | `codeconnections:CreateHost` Diperlukan untuk menggunakan CLI atau konsol untuk membuat host. | arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
| DeleteHost | `codeconnections:DeleteHost` Diperlukan untuk menggunakan CLI atau konsol untuk menghapus host. | codeconnections: ::host/ *region* *account-id* *host-id* |
| GetHost | `codeconnections:GetHost` Diperlukan untuk menggunakan CLI atau konsol untuk melihat detail tentang host. | arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
| ListHosts | `codeconnections:ListHosts` Diperlukan untuk menggunakan CLI atau konsol untuk membuat daftar semua host di akun. | arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
Operasi ini mendukung kunci syarat berikut:
| Tindakan | Kunci kondisi |
| --- | --- |
| `codeconnections:CreateHost` | `codeconnections:ProviderType` `codeconnections:VpcId` |
| codeconnections:DeleteHost | N/A |
| codeconnections:GetHost | N/A |
| codeconnections:ListHosts | codeconnections:ProviderTypeFilter |
Untuk contoh kebijakan yang menggunakan kunci **VpcId**kondisi, lihat[Contoh: Batasi izin VPC host menggunakan tombol konteks **VpcId**](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-vpc).
### Izin untuk menyelesaikan koneksi
Peran atau pengguna yang ditunjuk untuk mengelola koneksi di konsol harus memiliki izin yang diperlukan untuk menyelesaikan koneksi di konsol dan membuat instalasi, yang mencakup otorisasi handshake ke penyedia dan membuat instalasi untuk koneksi untuk digunakan. Gunakan izin berikut selain izin di atas.
Operasi IAM berikut digunakan oleh konsol saat melakukan handshake berbasis browser. `ListInstallationTargets`, `GetInstallationUrl`, `StartOAuthHandshake`, `UpdateConnectionInstallation`, dan `GetIndividualAccessToken` adalah izin kebijakan IAM. Mereka bukan tindakan API.
```
codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
```
Berdasarkan ini, izin berikut diperlukan untuk menggunakan, membuat, memperbarui, atau menghapus koneksi di konsol.
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
```
Gunakan bilah gulir untuk melihat seluruh tabel.
**AWS CodeConnections izin yang diperlukan untuk menyelesaikan koneksi**
| AWS CodeConnections tindakan | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| `GetIndividualAccessToken` | `codeconnections:GetIndividualAccessToken` Diperlukan untuk menggunakan konsol untuk menyelesaikan koneksi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `GetInstallationUrl` | `codeconnections:GetInstallationUrl` Diperlukan untuk menggunakan konsol untuk menyelesaikan koneksi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `ListInstallationTargets` | `codeconnections:ListInstallationTargets` Diperlukan untuk menggunakan konsol untuk menyelesaikan koneksi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `StartOAuthHandshake` | `codeconnections:StartOAuthHandshake` Diperlukan untuk menggunakan konsol untuk menyelesaikan koneksi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `UpdateConnectionInstallation` | `codeconnections:UpdateConnectionInstallation` Diperlukan untuk menggunakan konsol untuk menyelesaikan koneksi. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
Operasi ini mendukung kunci kondisi berikut.
| Tindakan | Kunci kondisi |
| --- | --- |
| codeconnections:GetIndividualAccessToken | codeconnections:ProviderType |
| codeconnections:GetInstallationUrl | codeconnections:ProviderType |
| `codeconnections:ListInstallationTargets` | N/A |
| codeconnections:StartOAuthHandshake | codeconnections:ProviderType |
| codeconnections:UpdateConnectionInstallation | codeconnections:InstallationId |
### Izin untuk menyiapkan host
Peran atau pengguna yang ditunjuk untuk mengelola koneksi di konsol harus memiliki izin yang diperlukan untuk mengatur host di konsol, yang mencakup otorisasi handshake ke penyedia dan menginstal aplikasi host. Gunakan izin berikut selain izin untuk host di atas.
Operasi IAM berikut digunakan oleh konsol saat melakukan pendaftaran host berbasis browser. `RegisterAppCode` dan `StartAppRegistrationHandshake` adalah izin kebijakan IAM. Mereka bukan tindakan API.
```
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
Berdasarkan ini, izin berikut diperlukan untuk menggunakan, membuat, memperbarui, atau menghapus koneksi di konsol yang memerlukan host (seperti jenis penyedia yang diinstal).
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
Gunakan bilah gulir untuk melihat seluruh tabel.
**AWS CodeConnections izin yang diperlukan untuk menyelesaikan penyiapan host**
| Tindakan koneksi | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| `RegisterAppCode` | `codeconnections:RegisterAppCode` Diperlukan untuk menggunakan konsol untuk menyelesaikan pengaturan host. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
| `StartAppRegistrationHandshake` | `codeconnections:StartAppRegistrationHandshake` Diperlukan untuk menggunakan konsol untuk menyelesaikan pengaturan host. Ini adalah izin kebijakan IAM saja, bukan tindakan API. | arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
Operasi ini mendukung kunci kondisi berikut.
### Melewati koneksi ke layanan
Ketika koneksi dilewatkan ke layanan (misalnya, ketika ARN koneksi disediakan dalam definisi alur untuk membuat atau memperbarui alur) pengguna harus memiliki izin `codeconnections:PassConnection`.
Gunakan bilah gulir untuk melihat seluruh tabel.
**AWS CodeConnections izin yang diperlukan untuk meneruskan koneksi**
| AWS CodeConnections tindakan | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| `PassConnection` | `codeconnections:PassConnection` Diperlukan untuk meneruskan koneksi ke layanan. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
Operasi ini juga mendukung kunci kondisi berikut:
+ `codeconnections:PassedToService`
**Nilai yang didukung untuk kunci kondisi**
| Kunci | Penyedia tindakan yang valid |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/dtconsole/latest/userguide/security-iam.html) |
### Menggunakan koneksi
Ketika layanan seperti CodePipeline menggunakan koneksi, peran layanan harus memiliki `codeconnections:UseConnection` izin untuk koneksi tertentu.
Untuk mengelola koneksi di konsol, kebijakan pengguna harus memiliki izin `codeconnections:UseConnection`.
Gunakan bilah gulir untuk melihat seluruh tabel.
**AWS CodeConnections tindakan yang diperlukan untuk menggunakan koneksi**
| AWS CodeConnections tindakan | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| `UseConnection` | `codeconnections:UseConnection` Diperlukan untuk menggunakan koneksi. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
Operasi ini juga mendukung kunci syarat berikut:
+ `codeconnections:BranchName`
+ `codeconnections:FullRepositoryId`
+ `codeconnections:OwnerId`
+ `codeconnections:ProviderAction`
+ `codeconnections:ProviderPermissionsRequired`
+ `codeconnections:RepositoryName`
**Nilai yang didukung untuk kunci kondisi**
| Kunci | Penyedia tindakan yang valid |
| --- | --- |
| `codeconnections:FullRepositoryId` | Nama pengguna dan nama repositori repositori, seperti. `my-owner/my-repository` Didukung hanya bila koneksi sedang digunakan untuk mengakses repositori tertentu. |
| `codeconnections:ProviderPermissionsRequired` | read\$1only atau read\$1write |
| `codeconnections:ProviderAction` | `GetBranch`, `ListRepositories`, `ListOwners`, `ListBranches`, `StartUploadArchiveToS3`, `GitPush`, `GitPull`, `GetUploadArchiveToS3Status`, `CreatePullRequestDiffComment`, `GetPullRequest`, `ListBranchCommits`, `ListCommitFiles`, `ListPullRequestComments`, `ListPullRequestCommits`. Untuk informasi, lihat bagian selanjutnya. |
Kunci syarat yang diperlukan untuk beberapa fungsionalitas mungkin berubah dari waktu ke waktu. Kami menyarankan agar Anda menggunakan `codeconnections:UseConnection` untuk mengontrol akses ke koneksi kecuali persyaratan kontrol akses Anda memerlukan izin yang berbeda.
### Jenis akses yang didukung untuk `ProviderAction`
Ketika koneksi digunakan oleh AWS layanan, itu menghasilkan panggilan API yang dilakukan ke penyedia kode sumber Anda. Sebagai contoh, layanan mungkin mencantumkan repositori untuk koneksi Bitbucket dengan memanggil API `https://api.bitbucket.org/2.0/repositories/username`.
Kunci `ProviderAction` kondisi memungkinkan Anda untuk membatasi penyedia mana APIs yang dapat dipanggil. Karena jalur API mungkin dihasilkan secara dinamis, dan jalur bervariasi dari penyedia ke penyedia, nilai `ProviderAction` dipetakan ke nama tindakan abstrak bukan URL API. Hal ini memungkinkan Anda untuk menulis kebijakan yang memiliki efek yang sama terlepas dari jenis penyedia untuk koneksi.
Berikut ini adalah jenis akses yang diberikan untuk masing-masing nilai `ProviderAction` yang didukung. Berikut ini adalah izin kebijakan IAM. Mereka bukan tindakan API.
Gunakan bilah gulir untuk melihat seluruh tabel.
**AWS CodeConnections jenis akses yang didukung untuk `ProviderAction`**
| AWS CodeConnections izin | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| `GetBranch` | ` codeconnections:GetBranch` Diperlukan untuk mengakses informasi tentang cabang, seperti komit terbaru untuk cabang tersebut. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `ListRepositories` | ` codeconnections:ListRepositories` Diperlukan untuk mengakses daftar repositori publik dan privat, termasuk detail tentang repositori tersebut, yang menjadi milik pemilik. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `ListOwners` | `codeconnections:ListOwners` Diperlukan untuk mengakses daftar pemilik yang memiliki akses ke koneksi. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `ListBranches` | ` codeconnections:ListBranches` Diperlukan untuk mengakses daftar cabang yang ada pada repositori yang diberikan. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `StartUploadArchiveToS3` | ` codeconnections:StartUploadArchiveToS3` Diperlukan untuk membaca kode sumber dan mengunggahnya ke Amazon S3. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `GitPush` | ` codeconnections:GitPush` Diperlukan untuk menulis ke repositori menggunakan Git. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `GitPull` | ` codeconnections:GitPull` Diperlukan untuk membaca dari repositori menggunakan Git. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| GetUploadArchiveToS3Status | ` codeconnections:GetUploadArchiveToS3Status` Diperlukan untuk mengakses status pengunggahan, termasuk pesan kesalahan, yang dimulai dengan `StartUploadArchiveToS3`. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| CreatePullRequestDiffComment | ` codeconnections:CreatePullRequestDiffComment` Diperlukan untuk mengakses komentar pada permintaan tarik. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| GetPullRequest | ` codeconnections:GetPullRequest` Diperlukan untuk melihat permintaan tarik untuk repositori. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `ListBranchCommits` | ` codeconnections:ListBranchCommits` Diperlukan untuk melihat daftar komit untuk cabang repositori. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `ListCommitFiles` | ` codeconnections:ListCommitFiles` Diperlukan untuk melihat daftar file untuk komit. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `ListPullRequestComments` | ` codeconnections:ListPullRequestComments` Diperlukan untuk melihat daftar komentar untuk permintaan tarik. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
| `ListPullRequestCommits` | ` codeconnections:ListPullRequestCommits` Diperlukan untuk melihat daftar komit untuk permintaan tarik. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
### Izin yang didukung untuk menandai sumber daya koneksi
Operasi IAM berikut digunakan ketika penandaan sumber daya koneksi.
```
codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource
```
Gunakan bilah gulir untuk melihat seluruh tabel.
**AWS CodeConnections tindakan yang diperlukan untuk menandai sumber daya koneksi**
| AWS CodeConnections tindakan | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| `ListTagsForResource` | `codeconnections:ListTagsForResource` Diperlukan untuk melihat daftar tanda yang terkait dengan sumber daya koneksi. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id*,arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
| `TagResource` | `codeconnections:TagResource` Diperlukan untuk menandai sumber daya koneksi. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id*,arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
| `UntagResource` | `codeconnections:UntagResource` Diperlukan untuk menghapus tanda dari sumber daya koneksi. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id*,arn:aws:codeconnections: ::host/ *region* *account-id* *host-id* |
### Melewati koneksi ke tautan repositori
Ketika repository-link disediakan dalam konfigurasi sinkronisasi, pengguna harus memiliki `codeconnections:PassRepository` izin untuk repository-link ARN/resource.
Gunakan bilah gulir untuk melihat seluruh tabel.
**AWS CodeConnections izin yang diperlukan untuk meneruskan koneksi**
| AWS CodeConnections tindakan | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| `PassRepository` | `codeconnections:PassRepository` Diperlukan untuk meneruskan tautan repositori ke konfigurasi sinkronisasi. | arn:aws:codeconnections: ::repository-link/ *region* *account-id* *repository-link-id* |
Operasi ini juga mendukung kunci kondisi berikut:
+ `codeconnections:PassedToService`
**Nilai yang didukung untuk kunci kondisi**
| Kunci | Penyedia tindakan yang valid |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/dtconsole/latest/userguide/security-iam.html) |
### Kunci kondisi yang didukung untuk tautan repositori
Operasi untuk tautan repositori dan sumber daya konfigurasi sinkronisasi didukung oleh kunci kondisi berikut:
+ `codeconnections:Branch`
Memfilter akses dengan nama cabang yang diteruskan dalam permintaan.
**Tindakan yang didukung untuk kunci kondisi**
| Key | Nilai valid |
| --- | --- |
| `codeconnections:Branch` | Tindakan berikut didukung untuk kunci kondisi ini:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/dtconsole/latest/userguide/security-iam.html) |
### Izin yang didukung untuk berbagi koneksi
Operasi IAM berikut digunakan saat berbagi koneksi.
```
codeconnections:GetResourcePolicy
```
Gunakan bilah gulir untuk melihat seluruh tabel.
**AWS CodeConnections tindakan yang diperlukan untuk berbagi koneksi**
| AWS CodeConnections tindakan | Izin yang diperlukan | Sumber daya |
| --- | --- | --- |
| `GetResourcePolicy` | `codeconnections:GetResourcePolicy` Diperlukan untuk mengakses informasi tentang kebijakan sumber daya. | arn:aws:codeconnections: ::koneksi/ *region* *account-id* *connection-id* |
Untuk informasi selengkapnya tentang berbagi koneksi, lihat[Berbagi koneksi dengan Akun AWS](connections-share.md).
# Contoh kebijakan berbasis identitas
Secara default, pengguna dan peran IAM yang memiliki salah satu kebijakan terkelola untuk AWS CodeCommit, AWS CodeBuild, AWS CodeDeploy, atau AWS CodePipeline diterapkan memiliki izin untuk koneksi, notifikasi, dan aturan notifikasi yang selaras dengan maksud kebijakan tersebut. Misalnya, pengguna IAM atau peran yang memiliki salah satu kebijakan akses penuh (**AWSCodeCommitFullAccess**,, **AWSCodeBuildAdminAccess**AWSCodeDeployFullAccess****, atau **AWSCodePipeline\$1FullAccess**) yang diterapkan pada mereka juga memiliki akses penuh ke pemberitahuan dan aturan pemberitahuan yang dibuat untuk sumber daya untuk layanan tersebut.
Pengguna dan peran IAM lainnya tidak memiliki izin untuk membuat atau memodifikasi AWS CodeStar Pemberitahuan dan AWS CodeConnections sumber daya. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberi izin kepada pengguna dan peran untuk melakukan operasi API pada sumber daya yang diperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna IAM atau grup yang memerlukan izin tersebut.
# Izin dan contoh untuk Pemberitahuan AWS CodeStar
Pernyataan dan contoh kebijakan berikut dapat membantu Anda mengelola AWS CodeStar Pemberitahuan.
## Izin yang terkait dengan notifikasi dalam kebijakan terkelola akses penuh
Kebijakan **AWSCodeCommitFullAccess**, **AWSCodeBuildAdminAccess**AWSCodeDeployFullAccess****, dan **AWSCodePipeline\$1FullAccess**terkelola menyertakan pernyataan berikut untuk mengizinkan akses penuh ke notifikasi di konsol Alat Pengembang. Pengguna dengan salah satu kebijakan terkelola yang diterapkan ini juga dapat membuat dan mengelola topik Amazon SNS untuk notifikasi, berlangganan dan berhenti berlangganan pengguna ke topik, dan daftar topik untuk dipilih sebagai target untuk aturan notifikasi.
**catatan**
Dalam kebijakan dikelola, kunci syarat `codestar-notifications:NotificationsForResource` akan memiliki nilai khusus untuk jenis sumber daya untuk layanan. Misalnya, dalam kebijakan akses penuh untuk CodeCommit, nilainya adalah`arn:aws:codecommit:*`.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:DeleteNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsSNSTopicCreateAccess",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:SetTopicAttributes"
],
"Resource": "arn:aws:sns:*:*:codestar-notifications*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
## Izin yang terkait dengan notifikasi dalam kebijakan terkelola hanya-baca
Kebijakan **AWSCodeCommitReadOnlyAccess**, **AWSCodeBuildReadOnlyAccess**AWSCodeDeployReadOnlyAccess****, dan **AWSCodePipeline\$1ReadOnlyAccess**terkelola menyertakan pernyataan berikut untuk mengizinkan akses hanya-baca ke notifikasi. Misalnya, mereka dapat melihat notifikasi untuk sumber daya di konsol Alat Developer, tetapi tidak dapat membuat, mengelola, atau berlangganan notifikasi.
**catatan**
Dalam kebijakan dikelola, kunci syarat `codestar-notifications:NotificationsForResource` akan memiliki nilai khusus untuk jenis sumber daya untuk layanan. Misalnya, dalam kebijakan akses penuh untuk CodeCommit, nilainya adalah`arn:aws:codecommit:*`.
```
{
"Sid": "CodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListEventTypes",
"codestar-notifications:ListTargets"
],
"Resource": "*"
}
```
## Izin terkait notifikasi dalam kebijakan terkelola lainnya
Kebijakan **AWSCodeCommitPowerUser**, **AWSCodeBuildDeveloperAccess**, dan **AWSCodeBuildDeveloperAccess**terkelola mencakup pernyataan berikut untuk mengizinkan pengembang menggunakan salah satu kebijakan terkelola ini yang diterapkan untuk membuat, mengedit, dan berlangganan notifikasi. Mereka tidak dapat menghapus aturan notifikasi atau mengelola tanda untuk sumber daya.
**catatan**
Dalam kebijakan dikelola, kunci syarat `codestar-notifications:NotificationsForResource` akan memiliki nilai khusus untuk jenis sumber daya untuk layanan. Misalnya, dalam kebijakan akses penuh untuk CodeCommit, nilainya adalah`arn:aws:codecommit:*`.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
## Contoh: Kebijakan tingkat administrator untuk mengelola Pemberitahuan AWS CodeStar
Dalam contoh ini, Anda ingin memberi pengguna IAM di AWS akun Anda akses penuh ke AWS CodeStar Notifikasi sehingga pengguna dapat meninjau detail aturan notifikasi dan daftar aturan pemberitahuan, target, dan jenis acara. Anda juga ingin mengizinkan pengguna untuk menambahkan, memperbarui, dan menghapus aturan notifikasi. Ini adalah kebijakan akses penuh, setara dengan izin pemberitahuan yang disertakan sebagai bagian dari **AWSCodeBuildAdminAccess**,, **AWSCodeCommitFullAccess**AWSCodeDeployFullAccess****, dan kebijakan **AWSCodePipeline\$1FullAccess**terkelola. Seperti kebijakan terkelola tersebut, Anda hanya boleh melampirkan pernyataan kebijakan semacam ini ke pengguna, grup, atau peran IAM yang memerlukan akses administratif penuh ke pemberitahuan dan aturan notifikasi di seluruh AWS akun Anda.
**catatan**
Kebijakan ini berisi izin `CreateNotificationRule`. Setiap pengguna dengan kebijakan ini yang diterapkan pada pengguna atau peran IAM mereka akan dapat membuat aturan pemberitahuan untuk setiap dan semua jenis sumber daya yang didukung oleh AWS CodeStar Pemberitahuan di AWS akun, bahkan jika pengguna tersebut tidak memiliki akses ke sumber daya itu sendiri. Misalnya, pengguna dengan kebijakan ini dapat membuat aturan notifikasi untuk CodeCommit repositori tanpa izin untuk mengaksesnya sendiri. CodeCommit
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCodeStarNotificationsFullAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DeleteNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe",
"codestar-notifications:DeleteTarget",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:TagResource",
"codestar-notifications:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## Contoh: Kebijakan tingkat kontributor untuk menggunakan Notifikasi AWS CodeStar
Dalam contoh ini, Anda ingin memberikan akses ke day-to-day penggunaan AWS CodeStar Notifikasi, seperti membuat dan berlangganan notifikasi, tetapi tidak untuk tindakan yang lebih merusak, seperti menghapus aturan atau target notifikasi. Ini setara dengan akses yang disediakan dalam **AWSCodeBuildDeveloperAccess**, **AWSCodeDeployDeveloperAccess**, dan kebijakan **AWSCodeCommitPowerUser**terkelola.
**catatan**
Kebijakan ini berisi izin `CreateNotificationRule`. Setiap pengguna dengan kebijakan ini yang diterapkan pada pengguna atau peran IAM mereka akan dapat membuat aturan pemberitahuan untuk setiap dan semua jenis sumber daya yang didukung oleh AWS CodeStar Pemberitahuan di AWS akun, bahkan jika pengguna tersebut tidak memiliki akses ke sumber daya itu sendiri. Misalnya, pengguna dengan kebijakan ini dapat membuat aturan notifikasi untuk CodeCommit repositori tanpa izin untuk mengaksesnya sendiri. CodeCommit
```
{
"Version": "2012-10-17",
"Sid": "AWSCodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource"
],
"Resource": "*"
}
]
}
```
## Contoh: read-only-level Kebijakan untuk menggunakan AWS CodeStar Notifikasi
Dalam contoh ini, Anda ingin memberi pengguna IAM di akun Anda akses hanya baca ke aturan notifikasi, target, dan jenis peristiwa di akun AWS Anda. Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan melihat item ini. Ini setara dengan izin yang disertakan sebagai bagian dari **AWSCodeBuildReadOnlyAccess**, **AWSCodeCommitReadOnly**, dan kebijakan **AWSCodePipeline\$1ReadOnlyAccess**terkelola.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "CodeNotificationforReadOnly",
"Statement": [
{
"Sid": "ReadsAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
}
]
}
```
------
# Izin dan contoh untuk AWS CodeConnections
Pernyataan dan contoh kebijakan berikut dapat membantu Anda mengelola AWS CodeConnections.
Untuk informasi tentang cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan di tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
## Contoh: Kebijakan untuk membuat AWS CodeConnections dengan CLI dan melihat dengan konsol
Peran atau pengguna yang ditunjuk untuk menggunakan AWS CLI atau SDK untuk melihat, membuat, menandai, atau menghapus koneksi harus memiliki izin terbatas pada hal berikut.
**catatan**
Anda tidak dapat menyelesaikan koneksi di konsol dengan hanya izin berikut. Anda perlu menambahkan izin di bagian berikutnya.
Untuk menggunakan konsol untuk melihat daftar koneksi yang tersedia, melihat tanda, dan menggunakan koneksi, gunakan kebijakan berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionsFullAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:TagResource",
"codeconnections:ListTagsForResource",
"codeconnections:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## Contoh: Kebijakan untuk membuat AWS CodeConnections dengan konsol
Peran atau pengguna yang ditunjuk untuk mengelola koneksi di konsol harus memiliki izin yang diperlukan untuk menyelesaikan koneksi di konsol dan membuat instalasi, yang mencakup otorisasi handshake ke penyedia dan membuat instalasi untuk koneksi untuk digunakan. `UseConnection` juga harus ditambahkan untuk menggunakan koneksi di konsol. Gunakan kebijakan berikut untuk melihat, menggunakan, membuat, menandai, atau menghapus koneksi di konsol.
**catatan**
Mulai 1 Juli 2024, konsol membuat koneksi dengan `codeconnections` ARN sumber daya. Sumber daya dengan kedua awalan layanan akan terus ditampilkan di konsol.
**catatan**
Untuk sumber daya yang dibuat menggunakan konsol, tindakan pernyataan kebijakan harus disertakan `codestar-connections` sebagai awalan layanan seperti yang ditunjukkan pada contoh berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codestar-connections:CreateConnection",
"codestar-connections:DeleteConnection",
"codestar-connections:GetConnection",
"codestar-connections:ListConnections",
"codestar-connections:GetInstallationUrl",
"codestar-connections:GetIndividualAccessToken",
"codestar-connections:ListInstallationTargets",
"codestar-connections:StartOAuthHandshake",
"codestar-connections:UpdateConnectionInstallation",
"codestar-connections:UseConnection",
"codestar-connections:TagResource",
"codestar-connections:ListTagsForResource",
"codestar-connections:UntagResource"
],
"Resource": [
"*"
]
}
]
}
```
------
## Contoh: Kebijakan tingkat administrator untuk mengelola AWS CodeConnections
Dalam contoh ini, Anda ingin memberikan pengguna IAM di AWS akun Anda akses penuh CodeConnections sehingga pengguna dapat menambah, memperbarui, dan menghapus koneksi. Ini adalah kebijakan akses penuh, setara dengan kebijakan yang **AWSCodePipeline\$1FullAccess**dikelola. Seperti kebijakan terkelola tersebut, Anda hanya boleh melampirkan pernyataan kebijakan semacam ini ke pengguna, grup, atau peran IAM yang memerlukan akses administratif penuh ke koneksi di seluruh AWS akun Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionsFullAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:StartOAuthHandshake",
"codeconnections:UpdateConnectionInstallation",
"codeconnections:GetIndividualAccessToken",
"codeconnections:TagResource",
"codeconnections:ListTagsForResource",
"codeconnections:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## Contoh: Kebijakan tingkat kontributor untuk menggunakan AWS CodeConnections
Dalam contoh ini, Anda ingin memberikan akses ke day-to-day penggunaan CodeConnections, seperti membuat dan melihat detail koneksi, tetapi tidak untuk tindakan yang lebih merusak, seperti menghapus koneksi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCodeConnectionsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:GetIndividualAccessToken",
"codeconnections:StartOAuthHandshake",
"codeconnections:UpdateConnectionInstallation",
"codeconnections:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Contoh: read-only-level Kebijakan untuk menggunakan AWS CodeConnections
Dalam contoh ini, Anda ingin memberikan pengguna IAM di akun Anda akses hanya-baca ke koneksi di akun Anda. AWS Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan melihat item ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ConnectionsforReadOnly",
"Statement": [
{
"Sid": "ReadsAPIAccess",
"Effect": "Allow",
"Action": [
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Contoh: Batasi izin VPC host menggunakan tombol konteks **VpcId**
Dalam contoh berikut, pelanggan dapat menggunakan kunci **VpcId**konteks untuk membatasi pembuatan atau pengelolaan host ke host dengan VPC tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"codeconnections:CreateHost",
"codeconnections:UpdateHost"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"codeconnections:VpcId": "vpc-EXAMPLE"
}
}
}
]
}
```
------
# Menggunakan tag untuk mengontrol akses ke AWS CodeConnections sumber daya
Tag dapat dilampirkan ke sumber daya atau diteruskan atas permintaan ke layanan yang mendukung penandaan. Di AWS CodeConnections, sumber daya dapat memiliki tag, dan beberapa tindakan dapat menyertakan tag. Saat membuat kebijakan IAM, Anda dapat menggunakan kunci syarat tanda berikut:
+ Manakah pengguna yang dapat melakukan tindakan pada sumber daya alur, berdasarkan tanda yang telah dimiliki.
+ Tanda apa yang dapat diteruskan dalam permintaan tindakan.
+ Apakah kunci tanda tertentu dapat digunakan dalam permintaan.
Contoh berikut menunjukkan cara menentukan kondisi tag dalam kebijakan untuk AWS CodeConnections pengguna.
**Example 1: Izinkan tindakan berdasarkan tanda dalam permintaan**
Kebijakan berikut memberikan izin kepada pengguna untuk membuat koneksi. AWS CodeConnections
Untuk melakukan itu, memungkinkan tindakan `CreateConnection` dan `TagResource` jika permintaan menentukan tag bernama `Project` dengan nilai `ProjectA`. (Kunci syarat `aws:RequestTag` digunakan untuk mengontrol tanda yang dapat dilewatkan dalam permintaan IAM.) Syarat `aws:TagKeys` memastikan sensitivitas kasus kunci tanda.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
**Example 2: Izinkan tindakan berdasarkan tanda sumber daya**
Kebijakan berikut memberi pengguna izin untuk melakukan tindakan pada, dan mendapatkan informasi tentang, sumber daya di AWS CodeConnections.
Untuk melakukan itu, memungkinkan tindakan tertentu jika alur memiliki tanda bernama `Project` dengan nilai `ProjectA`. (Kunci syarat `aws:RequestTag` digunakan untuk mengontrol tanda yang dapat dilewatkan dalam permintaan IAM.) Syarat `aws:TagKeys` memastikan kunci tanda peka huruf besar dan kecil.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:ListConnections"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
## Menggunakan notifikasi dan koneksi di konsol
Pengalaman notifikasi dibangun ke dalam CodeBuild, CodeCommit, CodeDeploy, dan CodePipeline konsol, serta di konsol Alat Pengembang di bilah navigasi **Pengaturan** itu sendiri. Untuk mengakses notifikasi di konsol, Anda harus memiliki salah satu kebijakan terkelola untuk layanan tersebut diterapkan, atau Anda harus memiliki seperangkat izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang AWS CodeStar Pemberitahuan dan AWS CodeConnections sumber daya di AWS akun Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tersebut tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna IAM atau peran) dengan kebijakan tersebut. Untuk informasi selengkapnya tentang pemberian akses ke AWS CodeBuild AWS CodeCommit, AWS CodeDeploy,, dan AWS CodePipeline, termasuk akses ke konsol tersebut, lihat topik berikut:
+ CodeBuild: [Menggunakan kebijakan berbasis identitas](https://docs.aws.amazon.com/codebuild/latest/userguide/security_iam_id-based-policy-examples.html#managed-policies) untuk CodeBuild
+ CodeCommit: [Menggunakan kebijakan berbasis identitas](https://docs.aws.amazon.com/codecommit/latest/userguide/auth-and-access-control-iam-identity-based-access-control.html) untuk CodeCommit
+ AWS CodeDeploy: [Identitas dan manajemen akses untuk AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/security-iam.html)
+ CodePipeline: [Kontrol akses dengan kebijakan IAM](https://docs.aws.amazon.com/codepipeline/latest/userguide/access-control.html)
AWS CodeStar Pemberitahuan tidak memiliki kebijakan AWS terkelola. Untuk menyediakan akses ke fungsionalitas notifikasi, Anda harus menerapkan salah satu kebijakan terkelola untuk salah satu layanan yang terdaftar sebelumnya, atau Anda harus membuat kebijakan dengan tingkat izin yang ingin Anda berikan kepada pengguna atau entitas, dan kemudian melampirkan kebijakan tersebut ke pengguna, grup, atau peran yang memerlukan izin tersebut. Untuk informasi selengkapnya dan contoh, lihat berikut ini:
+ [Contoh: Kebijakan tingkat administrator untuk mengelola Pemberitahuan AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-full-access)
+ [Contoh: Kebijakan tingkat kontributor untuk menggunakan Notifikasi AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-contributor)
+ [Contoh: read-only-level Kebijakan untuk menggunakan AWS CodeStar Notifikasi](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-read-only).
AWS CodeConnections tidak memiliki kebijakan AWS terkelola. Anda menggunakan izin dan kombinasi izin untuk akses, seperti izin yang dirinci. [Izin untuk menyelesaikan koneksi](#permissions-reference-connections-handshake)
Untuk informasi selengkapnya, lihat berikut ini:
+ [Contoh: Kebijakan tingkat administrator untuk mengelola AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-fullaccess)
+ [Contoh: Kebijakan tingkat kontributor untuk menggunakan AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-contributor)
+ [Contoh: read-only-level Kebijakan untuk menggunakan AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-readonly)
Anda tidak perlu mengizinkan izin konsol untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
## Izinkan para pengguna untuk melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Pemecahan Masalah AWS CodeStar Pemberitahuan dan AWS CodeConnections identitas dan akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temukan saat bekerja dengan notifikasi dan IAM.
**Topics**
+ [Saya seorang administrator dan ingin mengizinkan orang lain mengakses notifikasi](#security_iam_troubleshoot-admin-delegate)
+ [Saya membuat topik Amazon SNS dan menambahkannya sebagai target aturan notifikasi, tapi saya tidak menerima email tentang peristiwa](#security_iam_troubleshoot-sns)
+ [Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses AWS CodeStar Pemberitahuan dan AWS CodeConnections sumber daya saya](#security_iam_troubleshoot-cross-account-access)
## Saya seorang administrator dan ingin mengizinkan orang lain mengakses notifikasi
Untuk memungkinkan orang lain mengakses AWS CodeStar Notifikasi dan AWS CodeConnections, Anda harus memberikan izin kepada orang atau aplikasi yang membutuhkan akses. Jika Anda menggunakan AWS IAM Identity Center untuk mengelola orang dan aplikasi, Anda menetapkan set izin kepada pengguna atau grup untuk menentukan tingkat akses mereka. Set izin secara otomatis membuat dan menetapkan kebijakan IAM ke peran IAM yang terkait dengan orang atau aplikasi. Untuk informasi selengkapnya, lihat [Set izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) di *Panduan AWS IAM Identity Center Pengguna*.
Jika Anda tidak menggunakan IAM Identity Center, Anda harus membuat entitas IAM (pengguna atau peran) untuk orang atau aplikasi yang membutuhkan akses. Anda kemudian harus melampirkan kebijakan ke entitas yang memberi mereka izin yang benar dalam AWS CodeStar Pemberitahuan dan. AWS CodeConnections Setelah izin diberikan, berikan kredensialnya kepada pengguna atau pengembang aplikasi. Mereka akan menggunakan kredensyal tersebut untuk mengakses. AWS*Untuk mempelajari selengkapnya tentang membuat pengguna, grup, kebijakan, dan izin IAM, lihat [Identitas dan Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [dan izin di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
Untuk informasi spesifik AWS CodeStar Pemberitahuan, lihat[Izin dan contoh untuk Pemberitahuan AWS CodeStar](security_iam_id-based-policy-examples-notifications.md).
## Saya membuat topik Amazon SNS dan menambahkannya sebagai target aturan notifikasi, tapi saya tidak menerima email tentang peristiwa
Untuk menerima notifikasi tentang peristiwa, Anda harus memiliki topik Amazon SNS valid berlangganan sebagai target untuk aturan notifikasi, dan alamat email Anda harus berlangganan topik Amazon SNS. Untuk memecahkan masalah dengan topik Amazon SNS, periksa berikut ini:
+ Pastikan bahwa topik Amazon SNS berada di AWS Wilayah yang sama dengan aturan notifikasi.
+ Periksa untuk memastikan bahwa alias email Anda berlangganan topik yang benar, dan bahwa Anda telah mengonfirmasi langganan. Untuk informasi selengkapnya, lihat [Berlangganan titik akhir ke topik Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html).
+ Verifikasi bahwa kebijakan topik telah dimodifikasi untuk memungkinkan AWS CodeStar Pemberitahuan mendorong pemberitahuan ke topik tersebut. Kebijakan topik harus mencakup pernyataan yang serupa dengan yang berikut ini:
```
{
"Sid": "AWSCodeStarNotifications_publish",
"Effect": "Allow",
"Principal": {
"Service": [
"codestar-notifications.amazonaws.com"
]
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:123456789012:MyNotificationTopicName",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
```
Untuk informasi selengkapnya, lihat [Pengaturan](setting-up.md).
## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses AWS CodeStar Pemberitahuan dan AWS CodeConnections sumber daya saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah AWS CodeStar Pemberitahuan dan AWS CodeConnections mendukung fitur ini, lihat[Bagaimana fitur di konsol alat developer bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Menggunakan peran terkait layanan untuk Pemberitahuan AWS CodeStar
AWS CodeStar Pemberitahuan menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Notifikasi. AWS CodeStar Peran terkait layanan telah ditentukan sebelumnya oleh AWS CodeStar Pemberitahuan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. Peran ini dibuat untuk Anda saat pertama kali Anda membuat aturan notifikasi. Anda tidak perlu membuat peran.
Peran terkait layanan membuat pengaturan AWS CodeStar Notifikasi lebih mudah karena Anda tidak perlu menambahkan izin secara manual. AWS CodeStar Notifikasi mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS CodeStar Pemberitahuan yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk menghapus peran tertaut layanan, Anda harus menghapus sumber daya terkaitnya terlebih dahulu. Ini melindungi sumber daya AWS CodeStar Pemberitahuan karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran yang terhubung dengan layanan, lihat [AWS Layanan yang Bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Izin peran terkait layanan untuk Pemberitahuan AWS CodeStar
AWS CodeStar Notifikasi menggunakan peran AWSService RoleForCodeStarNotifications terkait layanan untuk mengambil informasi tentang peristiwa yang terjadi di toolchain Anda dan mengirim pemberitahuan ke target yang Anda tentukan.
Peran AWSService RoleForCodeStarNotifications terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `codestar-notifications.amazonaws.com`
Kebijakan izin peran memungkinkan AWS CodeStar Pemberitahuan untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: `PutRule` pada `CloudWatch Event rules that are named awscodestar-notifications-*`
+ Tindakan: `DescribeRule` pada `CloudWatch Event rules that are named awscodestar-notifications-*`
+ Tindakan: `PutTargets` pada `CloudWatch Event rules that are named awscodestar-notifications-*`
+ Tindakan: `CreateTopic` ke `create Amazon SNS topics for use with AWS CodeStar Notifications with the prefix CodeStarNotifications-`
+ Tindakan: `GetCommentsForPullRequests` pada `all comments on all pull requests in all CodeCommit repositories in the AWS account`
+ Tindakan: `GetCommentsForComparedCommit` pada `all comments on all commits in all CodeCommit repositories in the AWS account`
+ Tindakan: `GetDifferences` pada `all commits in all CodeCommit repositories in the AWS account`
+ Tindakan: `GetCommentsForComparedCommit` pada `all comments on all commits in all CodeCommit repositories in the AWS account`
+ Tindakan: `GetDifferences` pada `all commits in all CodeCommit repositories in the AWS account`
+ Tindakan: `DescribeSlackChannelConfigurations` pada `all AWS Chatbot clients in the AWS account`
+ Tindakan: `UpdateSlackChannelConfiguration` pada `all AWS Chatbot clients in the AWS account`
+ Tindakan: `ListActionExecutions` pada `all actions in all pipelines in the AWS account`
+ Tindakan: `GetFile` pada `all files in all CodeCommit repositories in the AWS account unless otherwise tagged`
Anda dapat melihat tindakan ini di pernyataan kebijakan untuk peran AWSService RoleForCodeStarNotifications terkait layanan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"events:PutTargets",
"events:PutRule",
"events:DescribeRule"
],
"Resource": "arn:aws:events:*:*:rule/awscodestarnotifications-*",
"Effect": "Allow"
},
{
"Action": [
"sns:CreateTopic"
],
"Resource": "arn:aws:sns:*:*:CodeStarNotifications-*",
"Effect": "Allow"
},
{
"Action": [
"codecommit:GetCommentsForPullRequest",
"codecommit:GetCommentsForComparedCommit",
"codecommit:GetDifferences",
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:UpdateSlackChannelConfiguration",
"codepipeline:ListActionExecutions"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"codecommit:GetFile"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceTag/ExcludeFileContentFromNotifications": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk Pemberitahuan AWS CodeStar
Anda tidak perlu membuat peran terkait layanan secara manual. Anda dapat menggunakan konsol Alat Pengembang atau CreateNotificationRule API dari AWS CLI atau SDKs untuk membuat aturan notifikasi. Anda juga bisa langsung memanggil API secara langsung. Apa pun metode yang Anda gunakan, peran terkait layanan dibuat untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Anda dapat menggunakan konsol Alat Pengembang atau CreateNotificationRule API dari AWS CLI atau SDKs untuk membuat aturan notifikasi. Anda juga bisa langsung memanggil API secara langsung. Apa pun metode yang Anda gunakan, peran terkait layanan dibuat untuk Anda.
## Mengedit peran terkait layanan untuk Pemberitahuan AWS CodeStar
Setelah membuat peran terkait layanan, Anda tidak dapat mengubah namanya karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menggunakan IAM untuk mengedit deskripsi peran. Untuk informasi selengkapnya, lihat [Mengedit Peran yang Terhubung dengan Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) di *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk Pemberitahuan AWS CodeStar
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda menghapus peran itu. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya. Untuk AWS CodeStar Pemberitahuan, ini berarti menghapus semua aturan notifikasi yang menggunakan peran layanan di AWS akun Anda.
**catatan**
Jika layanan AWS CodeStar Notifikasi menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus sumber daya AWS CodeStar Pemberitahuan yang digunakan oleh AWSService RoleForCodeStarNotifications**
1. Buka konsol Alat AWS Pengembang di [https://console.aws.amazon.com/codesuite/pengaturan/pemberitahuan](https://console.aws.amazon.com/codesuite/settings/notifications/).
**catatan**
Aturan pemberitahuan berlaku untuk AWS Wilayah tempat mereka dibuat. Jika Anda memiliki aturan pemberitahuan di lebih dari satu AWS Wilayah, gunakan pemilih Wilayah untuk mengubah. Wilayah AWS
1. Pilih semua aturan notifikasi yang muncul dalam daftar, dan kemudian pilih **Hapus**.
1. Ulangi langkah-langkah ini di semua AWS Wilayah tempat Anda membuat aturan notifikasi.
**Untuk **menggunakan IAM** untuk menghapus peran terkait layanan**
Gunakan konsol IAM AWS CLI, atau AWS Identity and Access Management API untuk menghapus peran AWSService RoleForCodeStarNotifications terkait layanan. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang didukung untuk peran AWS CodeStar terkait layanan Pemberitahuan
AWS CodeStar Pemberitahuan mendukung penggunaan peran terkait layanan di semua AWS Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan Titik Akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html) dan [AWS CodeStar Pemberitahuan](https://docs.aws.amazon.com/general/latest/gr/codestar_notifications.html).
# Menggunakan peran terkait layanan untuk AWS CodeConnections
AWS CodeConnections menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS CodeConnections Peran terkait layanan telah ditentukan sebelumnya oleh AWS CodeConnections dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. Peran ini dibuat untuk Anda saat pertama kali Anda membuat koneksi. Anda tidak perlu membuat peran.
Peran terkait layanan membuat pengaturan AWS CodeConnections lebih mudah karena Anda tidak perlu menambahkan izin secara manual. AWS CodeConnections mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS CodeConnections dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk menghapus peran tertaut layanan, Anda harus menghapus sumber daya terkaitnya terlebih dahulu. Ini melindungi AWS CodeConnections sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran yang terhubung dengan layanan, lihat [AWS Layanan yang Bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**catatan**
Tindakan untuk sumber daya yang dibuat di bawah awalan layanan baru `codeconnections` tersedia. Membuat sumber daya di bawah awalan layanan baru akan digunakan `codeconnections` di sumber daya ARN. Tindakan dan sumber daya untuk awalan `codestar-connections` layanan tetap tersedia. Saat menentukan sumber daya dalam kebijakan IAM, awalan layanan harus sesuai dengan sumber daya.
## Izin peran terkait layanan untuk AWS CodeConnections
AWS CodeConnections menggunakan peran AWSService RoleForGitSync terkait layanan untuk menggunakan sinkronisasi Git dengan repositori berbasis Git yang terhubung.
Peran AWSService RoleForGitSync terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `repository.sync.codeconnections.amazonaws.com`
Kebijakan izin peran bernama AWSGit SyncServiceRolePolicy memungkinkan AWS CodeConnections untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: Memberikan izin untuk memungkinkan pengguna membuat koneksi ke repositori berbasis Git eksternal dan menggunakan sinkronisasi Git dengan repositori tersebut.
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk AWS CodeConnections
Anda tidak perlu membuat peran terkait layanan secara manual. Anda membuat peran saat membuat sumber daya untuk proyek yang disinkronkan GIT dengan API. CreateRepositoryLink
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda.
## Mengedit peran terkait layanan untuk AWS CodeConnections
Setelah membuat peran terkait layanan, Anda tidak dapat mengubah namanya karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menggunakan IAM untuk mengedit deskripsi peran. Untuk informasi selengkapnya, lihat [Mengedit Peran yang Terhubung dengan Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) di *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk AWS CodeConnections
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda menghapus peran itu. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya. Ini berarti menghapus semua koneksi yang menggunakan peran layanan di AWS akun Anda.
**catatan**
Jika AWS CodeConnections layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus AWS CodeConnections sumber daya yang digunakan oleh AWSService RoleForGitSync**
1. Buka konsol Alat Pengembang, lalu pilih **Pengaturan**.
1. Pilih semua koneksi yang muncul dalam daftar, lalu pilih **Hapus**.
1. Ulangi langkah-langkah ini di semua AWS Wilayah tempat Anda membuat koneksi.
**Untuk **menggunakan IAM** untuk menghapus peran terkait layanan**
Gunakan konsol IAM AWS CLI, atau AWS Identity and Access Management API untuk menghapus peran AWSService RoleForGitSync terkait layanan. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang didukung untuk AWS CodeConnections peran terkait layanan
AWS CodeConnections mendukung penggunaan peran terkait layanan di semua AWS Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [Wilayah dan Titik Akhir AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# AWS kebijakan terkelola untuk AWS CodeConnections
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
**catatan**
Tindakan untuk sumber daya yang dibuat di bawah awalan layanan baru `codeconnections` tersedia. Membuat sumber daya di bawah awalan layanan baru akan digunakan `codeconnections` di sumber daya ARN. Tindakan dan sumber daya untuk awalan `codestar-connections` layanan tetap tersedia. Saat menentukan sumber daya dalam kebijakan IAM, awalan layanan harus sesuai dengan sumber daya.
## AWS kebijakan terkelola: AWSGit SyncServiceRolePolicy
Anda tidak dapat melampirkan AWSGit SyncServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan AWS CodeConnections untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk AWS CodeConnections](service-linked-role-connections.md).
Kebijakan ini memungkinkan pelanggan untuk mengakses repositori berbasis Git untuk digunakan dengan koneksi. Pelanggan akan mengakses sumber daya ini setelah menggunakan CreateRepositoryLink API.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `codeconnections`— Memberikan izin untuk memungkinkan pengguna membuat koneksi ke repositori berbasis Git eksternal.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessGitRepos",
"Effect": "Allow",
"Action": [
"codestar-connections:UseConnection",
"codeconnections:UseConnection"
],
"Resource": [
"arn:aws:codestar-connections:*:*:connection/*",
"arn:aws:codeconnections:*:*:connection/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS CodeConnections pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola AWS CodeConnections sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [Riwayat AWS CodeConnections dokumen](doc-history.md).
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AWSGitSyncServiceRolePolicy](#security-iam-awsmanpol-AWSGitSyncServiceRolePolicy)— Kebijakan yang diperbarui | Nama layanan AWS CodeStar Connections diubah menjadi AWS CodeConnections. Memperbarui kebijakan untuk sumber daya ARNs yang berisi kedua awalan layanan. | April 26, 2024 |
| [AWSGitSyncServiceRolePolicy](#security-iam-awsmanpol-AWSGitSyncServiceRolePolicy) – Kebijakan baru | AWS CodeStar Connections menambahkan kebijakan. Memberikan izin untuk memungkinkan pengguna koneksi menggunakan sinkronisasi Git dengan repositori berbasis Git yang terhubung. | 26 November 2023 |
| AWS CodeConnections mulai melacak perubahan | AWS CodeConnections mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 26 November 2023 |
# Validasi kepatuhan untuk AWS CodeStar Pemberitahuan dan AWS CodeConnections
Untuk daftar AWS layanan dalam lingkup program kepatuhan tertentu, lihat [AWS layanan dalam lingkup oleh program kepatuhan](https://aws.amazon.com/compliance/services-in-scope/). Untuk informasi umum, lihat [Program kepatuhan AWS](https://aws.amazon.com/compliance/programs/).
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh laporan di AWS Artifak](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Tanggung jawab kepatuhan Anda saat menggunakan AWS CodeStar Pemberitahuan dan AWS CodeConnections ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, serta hukum dan peraturan yang berlaku. AWS menyediakan sumber daya berikut untuk membantu kepatuhan:
+ [Panduan memulai cepat keamanan dan kepatuhan — Panduan](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) penerapan ini membahas pertimbangan arsitektur dan memberikan langkah-langkah untuk menerapkan lingkungan dasar yang berfokus pada keamanan dan kepatuhan. AWS
+ [AWS sumber daya kepatuhan](https://aws.amazon.com/compliance/resources/) - Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) AWS Layanan ini menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— AWS Layanan ini memberikan pandangan komprehensif tentang keadaan keamanan Anda di dalamnya AWS yang membantu Anda memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik.
# Ketahanan dalam AWS CodeStar Pemberitahuan dan AWS CodeConnections
Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. AWS Wilayah menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.
Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [infrastruktur AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
+ Aturan pemberitahuan khusus untuk Wilayah AWS tempat pembuatannya. Jika Anda memiliki aturan notifikasi di lebih dari satu Wilayah AWS, gunakan pemilih Wilayah untuk meninjau aturan notifikasi di masing-masing Wilayah AWS aturan.
+ AWS CodeStar Notifikasi bergantung pada topik Amazon Simple Notification Service (Amazon SNS) sebagai target aturan notifikasi. Informasi tentang topik Amazon SNS dan target aturan notifikasi mungkin disimpan di Wilayah AWS yang berbeda dari Wilayah di mana Anda mengonfigurasi aturan notifikasi.
# Keamanan infrastruktur dalam AWS CodeStar Pemberitahuan dan AWS CodeConnections
Sebagai fitur dalam layanan terkelola, AWS CodeStar Pemberitahuan dan AWS CodeConnections dilindungi oleh prosedur keamanan jaringan AWS global yang dijelaskan dalam [Amazon Web Services: Ringkasan proses keamanan](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) whitepaper.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS CodeStar Notifikasi dan AWS CodeConnections melalui jaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.0 atau versi yang lebih baru. Klien juga harus support suite cipher dengan Perfect Forward Secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem modern mendukung mode ini.
Permintaan harus ditandatangani menggunakan access key ID dan secret access key yang terkait dengan prinsipal IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk membuat kredensial keamanan sementara untuk menandatangani permintaan.
## Lalu lintas antar AWS CodeConnections sumber daya lintas Wilayah
Jika Anda menggunakan fitur koneksi untuk mengaktifkan koneksi sumber daya Anda, Anda menyetujui dan menginstruksikan kami untuk menyimpan dan memproses informasi yang terkait dengan sumber daya koneksi tersebut di Wilayah AWS luar Wilayah AWS tempat Anda menggunakan layanan yang mendasarinya, semata-mata sehubungan dengan, dan untuk tujuan tunggal, menyediakan koneksi ke sumber daya tersebut di Wilayah selain tempat sumber daya dibuat.
Untuk informasi selengkapnya, lihat [Sumber daya global di AWS CodeConnections](welcome-connections-how-it-works-global.md).
**catatan**
Jika Anda menggunakan fitur koneksi untuk mengaktifkan koneksi sumber daya Anda di Wilayah yang tidak perlu diaktifkan terlebih dahulu, kami akan menyimpan dan memproses informasi sebagaimana dirinci dalam topik sebelumnya.
Untuk koneksi yang dibuat di Wilayah yang harus diaktifkan terlebih dahulu, seperti Wilayah Eropa (Milan), kami hanya akan menyimpan dan memproses informasi untuk koneksi tersebut di Wilayah tersebut.