Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concedi l'accesso alle AWS risorse del progetto con i ruoli IAM
CodeCatalyst puoi accedere alle AWS risorse collegando il tuo Account AWS a uno CodeCatalyst spazio. Puoi quindi creare i seguenti ruoli di servizio e associarli quando colleghi il tuo account.
Per ulteriori informazioni sugli elementi utilizzati in una policy JSON, consulta IAM JSON Policy Elements Reference nella IAM User Guide.
-
Per accedere alle risorse nei tuoi CodeCatalyst progetti e flussi di lavoro, devi prima concedere l'autorizzazione CodeCatalyst ad accedere a tali risorse per tuo conto. Account AWS A tale scopo, è necessario creare un ruolo di servizio in un ambiente connesso Account AWS che CodeCatalyst possa assumere per conto degli utenti e dei progetti dello spazio. Puoi scegliere di creare e utilizzare il ruolo di CodeCatalystWorkflowDevelopmentRole-
spaceName
servizio oppure puoi creare ruoli di servizio personalizzati e configurare queste politiche e ruoli IAM manualmente. Come best practice, assegna a questi ruoli il numero minimo di autorizzazioni necessarie.Nota
Per i ruoli di servizio personalizzati, è necessario il responsabile del CodeCatalyst servizio. Per ulteriori informazioni sul CodeCatalyst service principal e sul modello di fiducia, vedereComprendere il modello CodeCatalyst di fiducia.
-
Per gestire il supporto per uno spazio tramite Connected Account AWS, puoi scegliere di creare e utilizzare il ruolo di AWSRoleForCodeCatalystSupportservizio che consente CodeCatalyst agli utenti di accedere al supporto. Per ulteriori informazioni sul supporto per uno CodeCatalyst spazio, consultaAWS Supportper Amazon CodeCatalyst.
Comprensione del ruolo CodeCatalystWorkflowDevelopmentRole-spaceName
del servizio
Puoi aggiungere un ruolo IAM per il tuo spazio da CodeCatalyst utilizzare per creare e accedere a risorse in un ambiente connesso Account AWS. Questo è chiamato ruolo di servizio. Il modo più semplice per creare un ruolo di servizio è aggiungerne uno quando si crea lo spazio e scegliere l'CodeCatalystWorkflowDevelopmentRole-spaceName
opzione per quel ruolo. Questo non solo crea il ruolo di servizio con lo spazio AdministratorAccess
allegato, ma crea anche la politica di fiducia che CodeCatalyst consente di assumere il ruolo per conto degli utenti nei progetti nello spazio. Il ruolo di servizio è limitato allo spazio, non ai singoli progetti. Per creare questo ruolo, consulta Creazione del CodeCatalystWorkflowDevelopmentRole-spaceNameruolo per il tuo account e il tuo spazio. Puoi creare un solo ruolo per ogni spazio in ogni account.
Nota
Questo ruolo è consigliato solo per gli account di sviluppo e utilizza la politica AdministratorAccess
AWS gestita, che gli consente l'accesso completo alla creazione di nuove politiche e risorse Account AWS.
La politica allegata al CodeCatalystWorkflowDevelopmentRole-spaceName
ruolo è progettata per funzionare con progetti creati con progetti esistenti nello spazio. Consente agli utenti di tali progetti di sviluppare, creare, testare e distribuire codice utilizzando le risorse disponibili nella rete. Account AWS Per ulteriori informazioni, vedere Creazione di un ruolo per un AWS servizio.
La politica associata al CodeCatalystWorkflowDevelopmentRole-spaceName
ruolo è la politica AdministratorAccess
gestita in AWS. Questa è una politica che garantisce l'accesso completo a tutte le AWS azioni e le risorse. Per visualizzare il documento sulla policy JSON nella console IAM, consulta. AdministratorAccess
La seguente politica di fiducia consente di CodeCatalyst assumere il CodeCatalystWorkflowDevelopmentRole-spaceName
ruolo. Per ulteriori informazioni sul modello CodeCatalyst di fiducia, vedereComprendere il modello CodeCatalyst di fiducia.
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
Creazione del CodeCatalystWorkflowDevelopmentRole-spaceName
ruolo per il tuo account e il tuo spazio
Segui questi passaggi per creare il CodeCatalystWorkflowDevelopmentRole-
ruolo che verrà utilizzato per i flussi di lavoro nel tuo spazio. Per ogni account a cui desideri assegnare ruoli IAM da utilizzare nei progetti, nel tuo spazio, devi aggiungere un ruolo come il ruolo di sviluppatore. spaceName
Prima di iniziare, devi disporre dei privilegi amministrativi Account AWS o essere in grado di lavorare con il tuo amministratore. Per ulteriori informazioni su come Account AWS vengono utilizzati i ruoli IAM CodeCatalyst, consultaConsentire l'accesso alle AWS risorse con connessione Account AWS.
Per creare e aggiungere il CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName
-
Prima di iniziare a utilizzare la CodeCatalyst console, apri il AWS Management Console, quindi assicurati di aver effettuato l'accesso con lo stesso Account AWS nome del tuo spazio.
Apri la CodeCatalyst console all'indirizzo https://codecatalyst.aws/
. -
Accedi al tuo CodeCatalyst spazio. Selezionare Settings (Impostazioni), quindi scegliere Account AWS.
-
Scegli il link relativo alla Account AWS posizione in cui desideri creare il ruolo. Viene visualizzata la pagina dei Account AWS dettagli.
-
Scegli Gestisci ruoli da AWS Management Console.
La pagina Aggiungi ruolo IAM CodeCatalyst allo spazio Amazon si apre in AWS Management Console. Questa è la pagina di Amazon CodeCatalyst spaces. Potrebbe essere necessario effettuare il login per accedere alla pagina.
-
Scegli Crea il ruolo di amministratore CodeCatalyst dello sviluppo in IAM. Questa opzione crea un ruolo di servizio che contiene la politica di autorizzazioni e la politica di fiducia per il ruolo di sviluppo. Il ruolo avrà un nome
CodeCatalystWorkflowDevelopmentRole-
. Per ulteriori informazioni sul ruolo e sulla politica relativa ai ruoli, vedereComprensione del ruolo CodeCatalystWorkflowDevelopmentRole-spaceNamedel servizio.spaceName
Nota
Questo ruolo è consigliato solo per gli account degli sviluppatori e utilizza la politica
AdministratorAccess
AWS gestita, che gli consente l'accesso completo alla creazione di nuove politiche e risorse Account AWS. -
Scegli Crea ruolo di sviluppo.
-
Nella pagina delle connessioni, in Ruoli IAM disponibili per CodeCatalyst, visualizza il
CodeCatalystWorkflowDevelopmentRole-
ruolo nell'elenco dei ruoli IAM aggiunti al tuo account.spaceName
-
Per tornare al tuo spazio, scegli Vai su Amazon CodeCatalyst.
Comprensione del ruolo AWSRoleForCodeCatalystSupportdel servizio
Puoi aggiungere un ruolo IAM per il tuo spazio che CodeCatalyst gli utenti di uno spazio possono utilizzare per creare e accedere a casi di supporto. Questo è chiamato ruolo di servizio per il supporto. Il modo più semplice per creare un ruolo di servizio per l'assistenza è aggiungerne uno quando si crea lo spazio e scegliere l'AWSRoleForCodeCatalystSupport
opzione per quel ruolo. Questo non solo crea la politica e il ruolo, ma crea anche la politica di fiducia che consente di CodeCatalyst assumere il ruolo per conto degli utenti nei progetti dello spazio. Il ruolo di servizio è limitato allo spazio, non ai singoli progetti. Per creare questo ruolo, consulta Creazione del AWSRoleForCodeCatalystSupportruolo per il tuo account e il tuo spazio.
La politica allegata al AWSRoleForCodeCatalystSupport
ruolo è una politica gestita che fornisce l'accesso alle autorizzazioni di supporto. Per ulteriori informazioni, consulta AWSPolicy gestita: AmazonCodeCatalystSupportAccess.
Il ruolo di fiducia per la politica consente di CodeCatalyst assumere il ruolo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst.amazonaws.com", "codecatalyst-runner.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
Creazione del AWSRoleForCodeCatalystSupportruolo per il tuo account e il tuo spazio
Segui questi passaggi per creare il AWSRoleForCodeCatalystSupport
ruolo che verrà utilizzato per i casi di assistenza nel tuo spazio. Il ruolo deve essere aggiunto all'account di fatturazione designato per lo spazio.
Prima di iniziare, devi disporre dei privilegi amministrativi Account AWS o essere in grado di lavorare con il tuo amministratore. Per ulteriori informazioni su come Account AWS vengono utilizzati i ruoli IAM CodeCatalyst, consultaConsentire l'accesso alle AWS risorse con connessione Account AWS.
Per creare e aggiungere CodeCatalyst AWSRoleForCodeCatalystSupport
-
Prima di iniziare a utilizzare la CodeCatalyst console, apri il AWS Management Console, quindi assicurati di aver effettuato l'accesso con lo stesso Account AWS nome del tuo spazio.
-
Accedi al tuo CodeCatalyst spazio. Selezionare Settings (Impostazioni), quindi scegliere Account AWS.
-
Scegli il link relativo alla Account AWS posizione in cui desideri creare il ruolo. Viene visualizzata la pagina dei Account AWS dettagli.
-
Scegli Gestisci ruoli da AWS Management Console.
La pagina Aggiungi ruolo IAM CodeCatalyst allo spazio Amazon si apre in AWS Management Console. Questa è la pagina Amazon CodeCatalyst Spaces. Potrebbe essere necessario effettuare il login per accedere alla pagina.
-
In Dettagli CodeCatalyst dello spazio, scegli Aggiungi ruolo CodeCatalyst Support. Questa opzione crea un ruolo di servizio che contiene la politica di autorizzazioni e la politica di fiducia per il ruolo di sviluppo in anteprima. Il ruolo avrà un nome AWSRoleForCodeCatalystSupportcon un identificatore univoco aggiunto. Per ulteriori informazioni sul ruolo e sulla politica relativa ai ruoli, vedere. Comprensione del ruolo AWSRoleForCodeCatalystSupportdel servizio
-
Nella pagina Aggiungi ruolo per CodeCatalyst Support, lascia selezionata l'impostazione predefinita, quindi scegli Crea ruolo.
-
In Ruoli IAM disponibili per CodeCatalyst, visualizza il
CodeCatalystWorkflowDevelopmentRole-
ruolo nell'elenco dei ruoli IAM aggiunti al tuo account.spaceName
-
Per tornare al tuo spazio, scegli Vai su Amazon CodeCatalyst.
Configurazione dei ruoli IAM per le azioni del flusso di lavoro in CodeCatalyst
Questa sezione descrive in dettaglio i ruoli e le policy IAM che puoi creare da utilizzare con il tuo CodeCatalyst account. Per istruzioni su come creare ruoli di esempio, consultaCreazione manuale di ruoli per le azioni del flusso di lavoro. Dopo aver creato il ruolo IAM, copia l'ARN del ruolo per aggiungere il ruolo IAM alla connessione del tuo account e associarlo all'ambiente del tuo progetto. Per ulteriori informazioni, consulta Aggiungere IAM ruoli alle connessioni degli account.
CodeCatalyst creare un ruolo per l'accesso ad Amazon S3
Per le azioni CodeCatalyst di creazione del flusso di lavoro, puoi utilizzare il ruolo CodeCatalystWorkflowDevelopmentRole-spaceName
di servizio predefinito oppure puoi creare un ruolo IAM denominato CodeCatalystBuildRoleforS3Access. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle AWS CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
-
Scrivi su bucket Amazon S3.
-
Supporta la creazione di risorse con AWS CloudFormation. Ciò richiede l'accesso ad Amazon S3.
Questo ruolo utilizza la seguente politica:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "
resource_ARN
", "Effect": "Allow" }] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
CodeCatalyst crea un ruolo per AWS CloudFormation
Per le azioni CodeCatalyst di creazione del flusso di lavoro, puoi utilizzare il ruolo di CodeCatalystWorkflowDevelopmentRole-spaceName
servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle AWS CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
-
Supporta la creazione di risorse con AWS CloudFormation. Questo è necessario insieme al ruolo di CodeCatalyst costruzione per l'accesso ad Amazon S3 e al ruolo di CodeCatalyst distribuzione per. AWS CloudFormation
A questo ruolo devono essere associate le seguenti politiche AWS gestite:
-
AWSCloudFormationFullAccess
-
IAM FullAccess
-
Amazon S3 FullAccess
-
API Amazon GatewayAdministrator
-
AWSLambdaFullAccess
CodeCatalyst crea un ruolo per CDK
Per CodeCatalyst i flussi di lavoro che eseguono azioni di compilazione CDK, come l'applicazione Web moderna a tre livelli, puoi utilizzare il ruolo di CodeCatalystWorkflowDevelopmentRole-spaceName
servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'avvio e l'esecuzione dei comandi di compilazione CDK per le risorse del tuo. AWS CloudFormation Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
-
Scrivi su bucket Amazon S3.
-
Supporta la creazione di costrutti CDK e stack di AWS CloudFormation risorse. Ciò richiede l'accesso ad Amazon S3 per lo storage degli artefatti, Amazon ECR per il supporto degli archivi di immagini e SSM per la governance e il monitoraggio del sistema per le istanze virtuali.
Questo ruolo utilizza la seguente politica:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
CodeCatalyst distribuisci il ruolo per AWS CloudFormation
Per le azioni CodeCatalyst di distribuzione del flusso di lavoro che utilizzano AWS CloudFormation, puoi utilizzare il ruolo di CodeCatalystWorkflowDevelopmentRole-spaceName
servizio predefinito oppure puoi utilizzare una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle AWS CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
-
Consente di CodeCatalyst richiamare una funzione λ per eseguire la distribuzione in blu e verde. AWS CloudFormation
-
Permette di CodeCatalyst creare e aggiornare stack e changeset in. AWS CloudFormation
Questo ruolo utilizza la seguente politica:
{"Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "
resource_ARN
", "Effect": "Allow" }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
CodeCatalyst ruolo di implementazione per Amazon EC2
CodeCatalyst le azioni di distribuzione del flusso di lavoro utilizzano un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon EC2 del tuo. Account AWS La politica predefinita per il CodeCatalystWorkflowDevelopmentRole-spaceName
ruolo non include le autorizzazioni per Amazon EC2 o Amazon EC2 Auto Scaling.
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
-
Crea distribuzioni Amazon EC2.
-
Leggi i tag su un'istanza o identifica un'istanza Amazon EC2 tramite i nomi dei gruppi di Auto Scaling.
-
Leggi, crea, aggiorna ed elimina i gruppi, gli hook del ciclo di vita e le politiche di scalabilità di Amazon EC2 Auto Scaling.
-
Pubblica informazioni su argomenti di Amazon SNS.
-
Recupera informazioni sugli CloudWatch allarmi.
-
Leggi e aggiorna Elastic Load Balancing.
Questo ruolo utilizza la seguente politica:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:CompleteLifecycleAction", "autoscaling:DeleteLifecycleHook", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLifecycleHooks", "autoscaling:PutLifecycleHook", "autoscaling:RecordLifecycleActionHeartbeat", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:EnableMetricsCollection", "autoscaling:DescribePolicies", "autoscaling:DescribeScheduledActions", "autoscaling:DescribeNotificationConfigurations", "autoscaling:SuspendProcesses", "autoscaling:ResumeProcesses", "autoscaling:AttachLoadBalancers", "autoscaling:AttachLoadBalancerTargetGroups", "autoscaling:PutScalingPolicy", "autoscaling:PutScheduledUpdateGroupAction", "autoscaling:PutNotificationConfiguration", "autoscaling:PutWarmPool", "autoscaling:DescribeScalingActivities", "autoscaling:DeleteAutoScalingGroup", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:TerminateInstances", "tag:GetResources", "sns:Publish", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets" ], "Resource": "
resource_ARN
" } ] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
CodeCatalyst ruolo di implementazione per Amazon ECS
Per le azioni relative al CodeCatalyst flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Puoi utilizzare il ruolo di CodeCatalystWorkflowDevelopmentRole-spaceName
servizio predefinito oppure puoi creare un ruolo IAM per le azioni di distribuzione da utilizzare per le CodeCatalyst distribuzioni Lambda. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon ECS del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
-
Avvia la distribuzione continua di Amazon ECS per conto di un CodeCatalyst utente, in un account specificato nella CodeCatalyst connessione.
-
Leggi, aggiorna ed elimina i set di attività di Amazon ECS.
-
Aggiorna i gruppi target, gli ascoltatori e le regole di Elastic Load Balancing.
-
Richiama le funzioni Lambda.
-
Accedi ai file di revisione nei bucket Amazon S3.
-
Recupera informazioni sugli allarmi. CloudWatch
-
Pubblica informazioni su argomenti di Amazon SNS.
Questo ruolo utilizza la seguente politica:
{ "Version": "2012-10-17", "Statement": [{ "Action":[ "ecs:DescribeServices", "ecs:CreateTaskSet", "ecs:DeleteTaskSet", "ecs:ListClusters", "ecs:RegisterTaskDefinition", "ecs:UpdateServicePrimaryTaskSet", "ecs:UpdateService", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:ModifyListener", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:ModifyRule", "lambda:InvokeFunction", "lambda:ListFunctions", "cloudwatch:DescribeAlarms", "sns:Publish", "sns:ListTopics", "s3:GetObject", "s3:GetObjectVersion", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetDeployment", "codedeploy:GetDeploymentGroup", "codedeploy:ListApplications", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:StopDeployment", "codedeploy:GetDeploymentTarget", "codedeploy:ListDeploymentTargets", "codedeploy:GetDeploymentConfig", "codedeploy:GetApplicationRevision", "codedeploy:RegisterApplicationRevision", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:BatchGetApplications", "codedeploy:ListApplicationRevisions", "codedeploy:ListDeploymentConfigs", "codedeploy:ContinueDeployment" ], "Resource":"*", "Effect":"Allow" },{"Action":[ "iam:PassRole" ], "Effect":"Allow", "Resource":"*", "Condition":{"StringLike":{"iam:PassedToService":[ "ecs-tasks.amazonaws.com", "codedeploy.amazonaws.com" ] } } }] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
CodeCatalyst ruolo di implementazione per Lambda
Per le azioni relative al CodeCatalyst flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Puoi utilizzare il ruolo di CodeCatalystWorkflowDevelopmentRole-spaceName
servizio predefinito oppure creare un ruolo IAM per le azioni di distribuzione da utilizzare per le CodeCatalyst distribuzioni Lambda. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Lambda del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
-
Leggi, aggiorna e richiama funzioni e alias Lambda.
-
Accedi ai file di revisione nei bucket Amazon S3.
-
Recupera informazioni sugli allarmi Events. CloudWatch
-
Pubblica informazioni su argomenti di Amazon SNS.
Questo ruolo utilizza la seguente politica:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "
resource_ARN
", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
CodeCatalyst ruolo di implementazione per Lambda
Per le azioni del CodeCatalyst flusso di lavoro, puoi utilizzare il ruolo CodeCatalystWorkflowDevelopmentRole-spaceName
di servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Lambda del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
-
Leggi, aggiorna e richiama funzioni e alias Lambda.
-
Accedi ai file di revisione nei bucket Amazon S3.
-
Recupera informazioni sugli allarmi. CloudWatch
-
Pubblica informazioni su argomenti di Amazon SNS.
Questo ruolo utilizza la seguente politica:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "
resource_ARN
", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
CodeCatalyst distribuisci il ruolo per AWS SAM
Per le azioni del CodeCatalyst flusso di lavoro, puoi utilizzare il ruolo di CodeCatalystWorkflowDevelopmentRole-spaceName
servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività AWS SAM e AWS CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
-
Consenti CodeCatalyst di richiamare una funzione Lambda per eseguire la distribuzione di applicazioni serverless AWS SAM e CLI.
-
Consenti di CodeCatalyst creare e aggiornare stack e changeset in. AWS CloudFormation
Questo ruolo utilizza la seguente politica:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
CodeCatalyst ruolo di sola lettura per Amazon EC2
Per le azioni CodeCatalyst del flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon EC2 del tuo. Account AWS Il ruolo CodeCatalystWorkflowDevelopmentRole-spaceName
di servizio non include le autorizzazioni per Amazon EC2 o le azioni descritte per Amazon. CloudWatch
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
-
Ottieni lo stato delle istanze Amazon EC2.
-
Ottieni i CloudWatch parametri per le istanze Amazon EC2.
Questo ruolo utilizza la seguente politica:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe", "Resource": "
resource_ARN
" }, { "Effect": "Allow", "Action": "elasticloadbalancing:Describe", "Resource": "resource_ARN
" }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:Describe" ], "Resource": "resource_ARN
" }, { "Effect": "Allow", "Action": "autoscaling:Describe", "Resource": "resource_ARN
" } ] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
CodeCatalyst ruolo di sola lettura per Amazon ECS
Per le azioni CodeCatalyst del flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon ECS del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
-
Leggi i set di attività di Amazon ECS.
-
Recupera informazioni sugli CloudWatch allarmi.
Questo ruolo utilizza la seguente politica:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:DescribeServices", "cloudwatch:DescribeAlarms" ], "Resource": "
resource_ARN
", "Effect": "Allow" }, { "Action": [ "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeRules" ], "Resource": "resource_ARN
", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam:::role/ecsTaskExecutionRole", "arn:aws:iam:::role/ECSTaskExecution" ], "Condition": { "StringLike": { "iam:PassedToService": [ "ecs-tasks.amazonaws.com" ] } } } ] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
CodeCatalyst ruolo di sola lettura per Lambda
Per le azioni CodeCatalyst del flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Lambda del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per quanto segue:
-
Leggi le funzioni e gli alias Lambda.
-
Accedi ai file di revisione nei bucket Amazon S3.
-
Recupera informazioni sugli allarmi. CloudWatch
Questo ruolo utilizza la policy seguente .
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig" ], "Resource": "
resource_ARN
", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" } ] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni sul flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
Creazione manuale di ruoli per le azioni del flusso di lavoro
CodeCatalyst le azioni del flusso di lavoro utilizzano i ruoli IAM creati dall'utente, denominati build role, deploy role e stack role.
Segui questi passaggi per creare questi ruoli in IAM.
Per creare un ruolo di distribuzione
-
Crea una politica per il ruolo, come segue:
-
Accedi a AWS.
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione, selezionare Policies (Policy).
-
Scegli Create Policy (Crea policy).
-
Scegliere la scheda JSON.
-
Eliminare il codice esistente.
-
Incolla il codice seguente:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
-
Scegliere Next: Tags (Successivo: Tag).
-
Scegliere Next:Review (Successivo: Rivedi).
-
In Nome, inserisci:
codecatalyst-deploy-policy
-
Scegli Crea policy.
Ora hai creato una politica di autorizzazioni.
-
-
Crea il ruolo di distribuzione, come segue:
-
Nel riquadro di navigazione, scegli Ruoli e quindi Crea ruolo.
-
Scegli una politica di fiducia personalizzata.
-
Elimina la politica di fiducia personalizzata esistente.
-
Aggiungi la seguente politica di fiducia personalizzata:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Seleziona Successivo.
-
Nelle politiche di autorizzazione, cerca
codecatalyst-deploy-policy
e seleziona la relativa casella di controllo. -
Seleziona Successivo.
-
Per il nome del ruolo, inserisci:
codecatalyst-deploy-role
-
Per la descrizione del ruolo, inserisci:
CodeCatalyst deploy role
-
Scegli Crea ruolo.
Ora hai creato un ruolo di distribuzione con una politica di fiducia e una politica di autorizzazioni.
-
-
Ottenere l'ARN del ruolo di distribuzione, come segue:
-
Nel riquadro di navigazione, seleziona Ruoli.
-
Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato ()
codecatalyst-deploy-role
. -
Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di riepilogo del ruolo.
-
In alto, copia il valore ARN.
Ora hai creato il ruolo di distribuzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
-
Per creare un ruolo di costruzione
-
Crea una politica per il ruolo, come segue:
-
Accedi a AWS.
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione, selezionare Policies (Policy).
-
Scegli Create Policy (Crea policy).
-
Scegliere la scheda JSON.
-
Eliminare il codice esistente.
-
Incolla il codice seguente:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
-
Scegliere Next: Tags (Successivo: Tag).
-
Scegliere Next:Review (Successivo: Rivedi).
-
In Nome, inserisci:
codecatalyst-build-policy
-
Scegli Crea policy.
Ora hai creato una politica di autorizzazioni.
-
-
Crea il ruolo di costruzione, come segue:
-
Nel riquadro di navigazione, scegli Ruoli e quindi Crea ruolo.
-
Scegli una politica di fiducia personalizzata.
-
Elimina la politica di fiducia personalizzata esistente.
-
Aggiungi la seguente politica di fiducia personalizzata:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Seleziona Successivo.
-
Nelle politiche di autorizzazione, cerca
codecatalyst-build-policy
e seleziona la relativa casella di controllo. -
Seleziona Successivo.
-
Per il nome del ruolo, inserisci:
codecatalyst-build-role
-
Per la descrizione del ruolo, inserisci:
CodeCatalyst build role
-
Scegli Crea ruolo.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
-
-
Ottieni l'ARN del ruolo di costruzione, come segue:
-
Nel riquadro di navigazione, seleziona Ruoli.
-
Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (
codecatalyst-build-role
). -
Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di riepilogo del ruolo.
-
In alto, copia il valore ARN.
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
-
Per creare un ruolo stack
Nota
Non è necessario creare un ruolo stack, sebbene sia consigliabile farlo per motivi di sicurezza. Se non crei il ruolo stack, dovrai aggiungere al ruolo di distribuzione le politiche di autorizzazione descritte più avanti in questa procedura.
-
Accedi AWS utilizzando l'account in cui desideri distribuire il tuo stack.
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, scegli Ruoli, quindi scegli Crea ruolo.
-
Nella parte superiore, scegli AWS servizio.
-
Dall'elenco dei servizi, scegli CloudFormation.
-
Scegli Successivo: autorizzazioni.
-
Nella casella di ricerca, aggiungi le politiche necessarie per accedere alle risorse del tuo stack. Ad esempio, se lo stack include una AWS Lambda funzione, è necessario aggiungere una policy che garantisca l'accesso a Lambda.
Suggerimento
Se non sei sicuro delle politiche da aggiungere, puoi ometterle per ora. Quando provi l'azione, se non disponi delle autorizzazioni giuste, AWS CloudFormation genera errori che mostrano quali autorizzazioni devi aggiungere.
-
Scegliere Next: Tags (Successivo: Tag).
-
Scegliere Next:Review (Successivo: Rivedi).
-
Per Nome ruolo, inserisci:
codecatalyst-stack-role
-
Scegli Crea ruolo.
-
Per ottenere l'ARN del ruolo stack, procedi come segue:
-
Nel riquadro di navigazione, seleziona Ruoli.
-
Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato ()
codecatalyst-stack-role
. -
Scegli il ruolo dall'elenco.
-
Nella pagina Riepilogo, copia il valore Role ARN.
-
Utilizzo AWS CloudFormation per creare politiche e ruoli in IAM
Puoi scegliere di creare e utilizzare AWS CloudFormation modelli per creare le politiche e i ruoli necessari per accedere alle risorse in e Account AWS per i tuoi CodeCatalyst progetti e flussi di lavoro. AWS CloudFormation è un servizio che ti aiuta a modellare e configurare AWS le tue risorse in modo da poter dedicare meno tempo alla gestione di tali risorse e più tempo a concentrarti sulle applicazioni che girano su AWS. Se intendi creare ruoli in più ruoli Account AWS, la creazione di un modello può aiutarti a svolgere questa attività più rapidamente.
Il modello di esempio seguente crea un ruolo e una politica di implementazione.
Parameters: CodeCatalystAccountId: Type: String Description: Account ID from the connections page ExternalId: Type: String Description: External ID from the connections page Resources: CrossAccountRole: Type: 'AWS::IAM::Role' Properties: AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Principal: AWS: - !Ref CodeCatalystAccountId Action: - 'sts:AssumeRole' Condition: StringEquals: sts:ExternalId: !Ref ExternalId Path: / Policies: - PolicyName: CodeCatalyst-CloudFormation-action-policy PolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Action: - 'cloudformation:CreateStack' - 'cloudformation:DeleteStack' - 'cloudformation:Describe*' - 'cloudformation:UpdateStack' - 'cloudformation:CreateChangeSet' - 'cloudformation:DeleteChangeSet' - 'cloudformation:ExecuteChangeSet' - 'cloudformation:SetStackPolicy' - 'cloudformation:ValidateTemplate' - 'cloudformation:List*' - 'iam:PassRole' Resource: '*'
Creazione manuale del ruolo per il blueprint dell'applicazione Web
Il blueprint dell'applicazione CodeCatalyst Web utilizza i ruoli IAM creati dall'utente, denominati build role for CDK, deploy role e stack role.
Segui questi passaggi per creare il ruolo in IAM.
Per creare un ruolo di costruzione
-
Crea una politica per il ruolo, come segue:
-
Accedi a AWS.
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione, selezionare Policies (Policy).
-
Scegliere Create Policy (Crea policy).
-
Scegliere la scheda JSON.
-
Eliminare il codice esistente.
-
Incolla il codice seguente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
-
Scegliere Next: Tags (Successivo: Tag).
-
Scegliere Next:Review (Successivo: Rivedi).
-
In Nome, inserisci:
codecatalyst-webapp-build-policy
-
Scegli Crea policy.
Ora hai creato una politica di autorizzazioni.
-
-
Crea il ruolo di costruzione, come segue:
-
Nel riquadro di navigazione, scegli Ruoli e quindi Crea ruolo.
-
Scegli una politica di fiducia personalizzata.
-
Elimina la politica di fiducia personalizzata esistente.
-
Aggiungi la seguente politica di fiducia personalizzata:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Seleziona Successivo.
-
Allega la politica delle autorizzazioni al ruolo di costruzione. Nella pagina Aggiungi autorizzazioni, nella sezione Politiche di autorizzazione, cerca
codecatalyst-webapp-build-policy
e seleziona la relativa casella di controllo. -
Seleziona Successivo.
-
Per Nome del ruolo, inserisci:
codecatalyst-webapp-build-role
-
Per la descrizione del ruolo, inserisci:
CodeCatalyst Web app build role
-
Scegli Crea ruolo.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
-
-
Allega la politica delle autorizzazioni al ruolo di compilazione, come segue:
-
Nel riquadro di navigazione, scegli Ruoli, quindi cerca
codecatalyst-webapp-build-role
. -
Scegli
codecatalyst-webapp-build-role
di visualizzarne i dettagli. -
Nella scheda Autorizzazioni, scegli Aggiungi autorizzazioni, quindi scegli Allega criteri.
-
Cerca
codecatalyst-webapp-build-policy
, seleziona la relativa casella di controllo, quindi scegli Allega politiche.Ora hai allegato la politica delle autorizzazioni al ruolo di compilazione. Il ruolo build ora ha due politiche: una politica di autorizzazioni e una politica di fiducia.
-
-
Ottieni l'ARN del ruolo di costruzione, come segue:
-
Nel riquadro di navigazione, seleziona Ruoli.
-
Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (
codecatalyst-webapp-build-role
). -
Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di riepilogo del ruolo.
-
In alto, copia il valore ARN.
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
-
Creazione manuale di ruoli per il blueprint SAM
Il blueprint CodeCatalyst SAM utilizza i ruoli IAM creati dall'utente, denominati build role for CloudFormation e deploy role for SAM.
Segui questi passaggi per creare i ruoli in IAM.
Per creare un ruolo di costruzione per CloudFormation
-
Crea una politica per il ruolo, come segue:
-
Accedi a AWS.
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione, selezionare Policies (Policy).
-
Scegliere Create Policy (Crea policy).
-
Scegliere la scheda JSON.
-
Eliminare il codice esistente.
-
Incolla il codice seguente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:*", "cloudformation:*" ], "Resource": "*" } ] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
-
Scegliere Next: Tags (Successivo: Tag).
-
Scegliere Next:Review (Successivo: Rivedi).
-
In Nome, inserisci:
codecatalyst-SAM-build-policy
-
Scegli Crea policy.
Ora hai creato una politica di autorizzazioni.
-
-
Crea il ruolo di costruzione, come segue:
-
Nel riquadro di navigazione, scegli Ruoli e quindi Crea ruolo.
-
Scegli una politica di fiducia personalizzata.
-
Elimina la politica di fiducia personalizzata esistente.
-
Aggiungi la seguente politica di fiducia personalizzata:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Seleziona Successivo.
-
Allega la politica delle autorizzazioni al ruolo di costruzione. Nella pagina Aggiungi autorizzazioni, nella sezione Politiche di autorizzazione, cerca
codecatalyst-SAM-build-policy
e seleziona la relativa casella di controllo. -
Seleziona Successivo.
-
Per Nome del ruolo, inserisci:
codecatalyst-SAM-build-role
-
Per la descrizione del ruolo, inserisci:
CodeCatalyst SAM build role
-
Scegli Crea ruolo.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
-
-
Allega la politica delle autorizzazioni al ruolo di compilazione, come segue:
-
Nel riquadro di navigazione, scegli Ruoli, quindi cerca
codecatalyst-SAM-build-role
. -
Scegli
codecatalyst-SAM-build-role
di visualizzarne i dettagli. -
Nella scheda Autorizzazioni, scegli Aggiungi autorizzazioni, quindi scegli Allega criteri.
-
Cerca
codecatalyst-SAM-build-policy
, seleziona la relativa casella di controllo, quindi scegli Allega politiche.Ora hai allegato la politica delle autorizzazioni al ruolo di compilazione. Il ruolo build ora ha due politiche: una politica di autorizzazioni e una politica di fiducia.
-
-
Ottieni l'ARN del ruolo di costruzione, come segue:
-
Nel riquadro di navigazione, seleziona Ruoli.
-
Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (
codecatalyst-SAM-build-role
). -
Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di riepilogo del ruolo.
-
In alto, copia il valore ARN.
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
-
Per creare un ruolo di distribuzione per SAM
-
Crea una politica per il ruolo, come segue:
-
Accedi a AWS.
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione, selezionare Policies (Policy).
-
Scegliere Create Policy (Crea policy).
-
Scegliere la scheda JSON.
-
Eliminare il codice esistente.
-
Incolla il codice seguente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }
Nota
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
"Resource": "*"
-
Scegliere Next: Tags (Successivo: Tag).
-
Scegliere Next:Review (Successivo: Rivedi).
-
In Nome, inserisci:
codecatalyst-SAM-deploy-policy
-
Scegli Crea policy.
Ora hai creato una politica di autorizzazioni.
-
-
Crea il ruolo di costruzione, come segue:
-
Nel riquadro di navigazione, scegli Ruoli e quindi Crea ruolo.
-
Scegli una politica di fiducia personalizzata.
-
Elimina la politica di fiducia personalizzata esistente.
-
Aggiungi la seguente politica di fiducia personalizzata:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Seleziona Successivo.
-
Allega la politica delle autorizzazioni al ruolo di costruzione. Nella pagina Aggiungi autorizzazioni, nella sezione Politiche di autorizzazione, cerca
codecatalyst-SAM-deploy-policy
e seleziona la relativa casella di controllo. -
Seleziona Successivo.
-
Per Nome del ruolo, inserisci:
codecatalyst-SAM-deploy-role
-
Per la descrizione del ruolo, inserisci:
CodeCatalyst SAM deploy role
-
Scegli Crea ruolo.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
-
-
Allega la politica delle autorizzazioni al ruolo di compilazione, come segue:
-
Nel riquadro di navigazione, scegli Ruoli, quindi cerca
codecatalyst-SAM-deploy-role
. -
Scegli
codecatalyst-SAM-deploy-role
di visualizzarne i dettagli. -
Nella scheda Autorizzazioni, scegli Aggiungi autorizzazioni, quindi scegli Allega criteri.
-
Cerca
codecatalyst-SAM-deploy-policy
, seleziona la relativa casella di controllo, quindi scegli Allega politiche.Ora hai allegato la politica delle autorizzazioni al ruolo di compilazione. Il ruolo build ora ha due politiche: una politica di autorizzazioni e una politica di fiducia.
-
-
Ottieni l'ARN del ruolo di costruzione, come segue:
-
Nel riquadro di navigazione, seleziona Ruoli.
-
Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (
codecatalyst-SAM-deploy-role
). -
Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di riepilogo del ruolo.
-
In alto, copia il valore ARN.
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
-