Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Identity and Access Management e Amazon CodeCatalyst
In Amazon CodeCatalyst, crei e utilizzi un AWS Builder ID per accedere ai tuoi spazi e ai tuoi progetti. Un AWS Builder ID non è un'identità in AWS Identity and Access Management (IAM) e non esiste in un. Account AWS Tuttavia, CodeCatalyst si integra con IAM durante la verifica di uno spazio a fini di fatturazione e quando è connesso a un per Account AWS creare e utilizzare le relative risorse. Account AWS
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere autenticato (chi ha effettuato l'accesso) e autorizzato (chi dispone di autorizzazioni) a utilizzare le risorse. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
Quando crei uno spazio in Amazon CodeCatalyst, devi collegarne uno Account AWS come account di fatturazione per il tuo spazio. Per verificare lo CodeCatalyst spazio devi disporre delle autorizzazioni Account AWS di amministratore o disporre dell'autorizzazione. Hai anche la possibilità di aggiungere un ruolo IAM per il tuo spazio da CodeCatalyst utilizzare per creare e accedere alle risorse in quello connesso Account AWS. Questo è chiamato ruolo di servizio. Puoi scegliere di creare connessioni a più di un account Account AWS e creare ruoli di servizio per CodeCatalyst ciascuno di questi account.
Nota
La fatturazione CodeCatalyst avviene nell'account Account AWS designato come account di fatturazione. Tuttavia, se crei un ruolo di CodeCatalyst servizio in questo ruolo Account AWS o in qualsiasi altro ruolo connesso Account AWS, le risorse create e utilizzate dal ruolo di CodeCatalyst servizio verranno fatturate in quel ruolo connesso. Account AWS Per ulteriori informazioni, consulta Managing billing nella Amazon CodeCatalyst Administrator Guide.
Argomenti
- Politiche basate sull'identità in IAM
- Azioni politiche in IAM
- Risorse politiche in IAM
- Chiavi relative alle condizioni delle politiche in IAM
- Esempi di politiche basate sull'identità per le connessioni CodeCatalyst
- Utilizzo dei tag per controllare l'accesso alle risorse di connessione dell'account
- CodeCatalyst riferimento alle autorizzazioni
- Utilizzo di ruoli collegati ai servizi per CodeCatalyst
- AWSpolitiche gestite per Amazon CodeCatalyst
- Concedi l'accesso alle AWS risorse del progetto con i ruoli IAM
Politiche basate sull'identità in IAM
Le politiche basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità. Tale identità potrebbe essere un utente, un gruppo di utenti o un ruolo. Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta Creazione di policy IAM nella Guida per l'utente di IAM.
Con le policy basate su identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Non è possibile specificare l'entità principale in una policy basata sull'identità perché si applica all'utente o al ruolo a cui è associato. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta Guida di riferimento agli elementi delle policy JSON IAM nella Guida per l'utente di IAM.
Esempi di policy basate su identità per CodeCatalyst
Per visualizzare esempi di politiche CodeCatalyst basate sull'identità, vedere. Esempi di politiche basate sull'identità per le connessioni CodeCatalyst
Azioni politiche in IAM
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale preside può eseguire quali azioni su quali risorse e in quali condizioni.
L'elemento Action di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche di solito hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le azioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
"Action": [ "prefix:action1", "prefix:action2" ]
Risorse politiche in IAM
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale preside può eseguire quali azioni su quali risorse e in quali condizioni.
L'elemento JSON Resource della policy specifica l'oggetto o gli oggetti ai quali si applica l'azione. Le istruzioni devono includere un elemento Resource o un elemento NotResource. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.
"Resource": "*"
Chiavi relative alle condizioni delle politiche in IAM
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale preside può eseguire quali azioni su quali risorse e in quali condizioni.
L'elemento Condition (o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Condition è facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi Condition in un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione AND logica. Se specifichi più valori per una singola chiave di condizione, AWS
valuta la condizione utilizzando un'operazione OR logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione globali di AWS , consulta Chiavi di contesto delle condizioni globali di AWS nella Guida per l'utente di IAM.
Esempi di politiche basate sull'identità per le connessioni CodeCatalyst
Nel CodeCatalyst, Account AWS sono tenuti a gestire la fatturazione di uno spazio e ad accedere alle risorse nei flussi di lavoro del progetto. Una connessione all'account viene utilizzata per autorizzare l'aggiunta Account AWS a uno spazio. Le politiche basate sull'identità vengono utilizzate nelle connessioni. Account AWS
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse. CodeCatalyst Inoltre, non possono eseguire attività utilizzando AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS l'API. Un amministratore IAM deve creare policy IAM che concedano a utenti e ruoli l'autorizzazione per eseguire operazioni sulle risorse di cui hanno bisogno. L'amministratore deve quindi collegare queste policy agli utenti che ne hanno bisogno.
Il seguente esempio di policy IAM concede le autorizzazioni per le azioni relative alle connessioni degli account. Usali per limitare l'accesso a cui connettere gli CodeCatalyst account.
Esempio 1: consenti a un utente di accettare richieste di connessione in un'unica soluzione Regione AWS
La seguente politica di autorizzazioni consente solo agli utenti di visualizzare e accettare richieste di connessione tra CodeCatalyst e Account AWS. Inoltre, la politica utilizza una condizione per consentire solo le azioni nella regione us-west-2 e non da altre. Regioni AWS Per visualizzare e approvare la richiesta, l'utente accede AWS Management Console con lo stesso account specificato nella richiesta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codecatalyst:AcceptConnection", "codecatalyst:GetPendingConnection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "us-west-2" } } } ] }
Esempio 2: consenti la gestione delle connessioni nella console per una singola Regione AWS
La seguente politica di autorizzazioni consente agli utenti di gestire le connessioni tra CodeCatalyst e Account AWS in una singola regione. La politica utilizza una condizione per consentire solo le azioni nella regione us-west-2 e non da altre. Regioni AWS Dopo aver creato una connessione, è possibile creare il CodeCatalystWorkflowDevelopmentRole-spaceNameruolo scegliendo l'opzione in. AWS Management Console Nella politica di esempio, la condizione per l'iam:PassRoleazione include i principali del servizio per CodeCatalyst. Solo i ruoli con tale accesso verranno creati in. AWS Management Console
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codecatalyst:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "us-west-2" } } }, { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "codecatalyst.amazonaws.com", "codecatalyst-runner.amazonaws.com" ] } } } ] }
Esempio 3: Negare la gestione delle connessioni
La seguente politica di autorizzazione nega agli utenti la possibilità di gestire le connessioni tra e. CodeCatalyst Account AWS
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "codecatalyst:*" ], "Resource": "*" } ] }
CodeCatalyst riferimento alle autorizzazioni
Questa sezione fornisce un riferimento alle autorizzazioni per le azioni utilizzate con la risorsa di connessione dell'account a Account AWS cui si è connessi. CodeCatalyst La sezione seguente descrive le azioni basate solo sulle autorizzazioni correlate alla connessione degli account.
Autorizzazioni richieste per le connessioni agli account
Le seguenti autorizzazioni sono necessarie per utilizzare le connessioni degli account.
| CodeCatalyst autorizzazioni per le connessioni degli account | Autorizzazioni richieste | Risorse |
|---|---|---|
| AcceptConnection | Necessario per accettare una richiesta di connessione di questo account a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. |
Supporta solo un carattere jolly (*) nell'elemento |
| AssociateIamRoleToConnection | Necessario per associare un ruolo IAM a una connessione di account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| DeleteConnection | Necessario per eliminare una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| DisassociateIamRoleFromConnection | Necessario per dissociare un ruolo IAM da una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| GetBillingAuthorization | Necessario per descrivere l'autorizzazione di fatturazione per una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| GetConnection | Necessario per stabilire una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| GetPendingConnection | Necessario per ricevere una richiesta in sospeso per connettere questo account a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. |
Supporta solo un carattere jolly (*) nell'elemento |
| ListConnections | Necessario per elencare le connessioni tra account che non sono in sospeso. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. |
Supporta solo un carattere jolly (*) nell'elemento |
| ListIamRolesForConnection | Necessario per elencare i ruoli IAM associati a una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| ListTagsForResource | Necessario per elencare i tag associati a una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| PutBillingAuthorization | Necessario per creare o aggiornare l'autorizzazione di fatturazione per la connessione di un account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| RejectConnection | Necessario per rifiutare una richiesta di connessione di questo account a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. |
Supporta solo un carattere jolly (*) nell'elemento |
| TagResource | Necessario per creare o modificare i tag associati alla connessione di un account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| UntagResource | Necessario per rimuovere i tag associati a una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
Autorizzazioni richieste per le applicazioni IAM Identity Center
Le seguenti autorizzazioni sono necessarie per lavorare con le applicazioni IAM Identity Center.
| CodeCatalyst autorizzazioni per le applicazioni IAM Identity Center | Autorizzazioni richieste | Risorse |
|---|---|---|
| AssociateIdentityCenterApplicationToSpace | Necessario per associare un'applicazione IAM Identity Center a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| AssociateIdentityToIdentityCenterApplication | Necessario per associare un'identità a un'applicazione IAM Identity Center per uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| BatchAssociateIdentitiesToIdentityCenterApplication | Necessario per associare più identità a un'applicazione IAM Identity Center per uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| BatchDisassociateIdentitiesFromIdentityCenterApplication | Necessario per dissociare più identità da un'applicazione IAM Identity Center per uno spazio. CodeCatalyst Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| CreateIdentityCenterApplication | Necessario per creare un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| CreateSpaceAdminRoleAssignment | Necessario per creare un'assegnazione di ruolo di amministratore per un determinato CodeCatalyst spazio e un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| DeleteIdentityCenterApplication | Necessario per eliminare un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| DisassociateIdentityCenterApplicationFromSpace | Necessario per dissociare un'applicazione IAM Identity Center da uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| DisassociateIdentityFromIdentityCenterApplication | Necessario per dissociare un'identità da un'applicazione IAM Identity Center per uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| GetIdentityCenterApplication | Necessario per ottenere informazioni su un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| ListIdentityCenterApplications | Necessario per visualizzare un elenco di tutte le applicazioni IAM Identity Center presenti nell'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. |
Supporta solo un carattere jolly (*) nell'elemento |
| ListIdentityCenterApplicationsForSpace | Necessario per visualizzare un elenco di applicazioni IAM Identity Center suddivise per CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| ListSpacesForIdentityCenterApplication | Necessario per visualizzare un elenco di CodeCatalyst spazi in base all'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| SynchronizeIdentityCenterApplication | Necessario per sincronizzare un'applicazione IAM Identity Center con l'archivio di identità di supporto. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
| UpdateIdentityCenterApplication | Necessario per aggiornare un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region: |
