Amazon non CodeCatalyst è più aperta a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [Come migrare da CodeCatalyst](migration.md).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management e Amazon CodeCatalyst
In Amazon CodeCatalyst, crei e utilizzi un AWS Builder ID per accedere ai tuoi spazi e ai tuoi progetti. Un AWS Builder ID non è un'identità in AWS Identity and Access Management (IAM) e non esiste in un. Account AWS Tuttavia, CodeCatalyst si integra con IAM durante la verifica di uno spazio a fini di fatturazione e quando è connesso a un per Account AWS creare e utilizzare le relative risorse. Account AWS
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (chi ha effettuato l'accesso) e *autorizzato* (chi dispone di autorizzazioni) a utilizzare le risorse. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
Quando crei uno spazio in Amazon CodeCatalyst, devi collegarne uno Account AWS come account di fatturazione per il tuo spazio. Per verificare lo CodeCatalyst spazio devi disporre delle autorizzazioni Account AWS di amministratore o disporre dell'autorizzazione. Hai anche la possibilità di aggiungere un ruolo IAM per il tuo spazio da CodeCatalyst utilizzare per creare e accedere alle risorse in quello connesso Account AWS. Questo è chiamato [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Puoi scegliere di creare connessioni a più di un account Account AWS e creare ruoli di servizio per CodeCatalyst ciascuno di questi account.
**Nota**
La fatturazione CodeCatalyst avviene nell'account Account AWS designato come fatturazione. Tuttavia, se crei un ruolo di CodeCatalyst servizio in questo ruolo Account AWS o in qualsiasi altro ruolo connesso Account AWS, le risorse create e utilizzate dal ruolo di CodeCatalyst servizio verranno fatturate in quel ruolo connesso. Account AWS Per ulteriori informazioni, consulta [Managing billing](https://docs.aws.amazon.com/codecatalyst/latest/adminguide/managing-billing.html) nella Amazon CodeCatalyst Administrator Guide.
**Topics**
+ [Politiche basate sull'identità in IAM](#id-based-policies)
+ [Azioni politiche in IAM](#id-based-policies-actions)
+ [Risorse politiche in IAM](#id-based-policies-resources)
+ [Chiavi relative alle condizioni delle politiche in IAM](#id-based-policies-conditionkeys)
+ [Esempi di politiche basate sull'identità per le connessioni CodeCatalyst](#id-based-policy-examples)
+ [Utilizzo dei tag per controllare l'accesso alle risorse di connessione dell'account](id-based-policy-examples-tags.md)
+ [CodeCatalyst riferimento alle autorizzazioni](#permissions-reference)
+ [Utilizzo di ruoli collegati ai servizi per CodeCatalyst](using-service-linked-roles.md)
+ [AWS politiche gestite per Amazon CodeCatalyst](security-iam-awsmanpol.md)
+ [Concedi l'accesso alle AWS risorse del progetto con i ruoli IAM](ipa-iam-roles.md)
## Politiche basate sull'identità in IAM
Le politiche basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità. Tale identità potrebbe essere un utente, un gruppo di utenti o un ruolo. Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l'utente IAM*.
Con le policy basate su identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Non è possibile specificare l’entità principale in una policy basata sull’identità perché si applica all’utente o al ruolo a cui è associato. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente di IAM*.
### Esempi di policy basate sull'identità per CodeCatalyst
Per visualizzare esempi di politiche basate sull' CodeCatalyst identità, vedere. [Esempi di politiche basate sull'identità per le connessioni CodeCatalyst](#id-based-policy-examples)
## Azioni politiche in IAM
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. **Cioè, quale **preside** può eseguire quali **azioni** su quali **risorse** e in quali condizioni.**
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Le azioni politiche di solito hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le *operazioni di sola autorizzazione* che non hanno un’operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate *operazioni dipendenti*.
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"prefix:action1",
"prefix:action2"
]
```
## Risorse politiche in IAM
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. **Cioè, quale **preside** può eseguire quali **azioni** su quali **risorse** e in quali condizioni.**
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Le istruzioni devono includere un elemento `Resource` o un elemento `NotResource`. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come *autorizzazioni a livello di risorsa*.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
## Chiavi relative alle condizioni delle politiche in IAM
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. **Cioè, quale **preside** può eseguire quali **azioni** su quali **risorse** e in quali condizioni.**
L’elemento `Condition` (o *blocco* `Condition`) consente di specificare le condizioni in cui un’istruzione è in vigore. L’elemento `Condition` è facoltativo. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi `Condition` in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS utilizzando un'operazione `AND` logica. Se specifichi più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione `OR` logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell’istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Per ulteriori informazioni, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente IAM*.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione globali di AWS , consulta [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
## Esempi di politiche basate sull'identità per le connessioni CodeCatalyst
Nel CodeCatalyst, Account AWS sono necessari per gestire la fatturazione di uno spazio e accedere alle risorse nei flussi di lavoro del progetto. Una connessione all'account viene utilizzata per autorizzare l'aggiunta Account AWS a uno spazio. Le politiche basate sull'identità vengono utilizzate nelle connessioni. Account AWS
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse CodeCatalyst. Inoltre, non possono eseguire attività utilizzando Console di gestione AWS, AWS Command Line Interface (AWS CLI) o l'API. AWS Un amministratore IAM deve creare policy IAM che concedano a utenti e ruoli l'autorizzazione per eseguire operazioni sulle risorse di cui hanno bisogno. L'amministratore deve quindi collegare queste policy agli utenti che ne hanno bisogno.
Il seguente esempio di policy IAM concede le autorizzazioni per le azioni relative alle connessioni degli account. Usali per limitare l'accesso a cui connettere gli CodeCatalyst account.
### Esempio 1: consenti a un utente di accettare richieste di connessione in un'unica soluzione Regione AWS
La seguente politica di autorizzazione consente solo agli utenti di visualizzare e accettare richieste di connessione tra CodeCatalyst e Account AWS. Inoltre, la politica utilizza una condizione per consentire solo le azioni nella regione us-west-2 e non da altre. Regioni AWS Per visualizzare e approvare la richiesta, l'utente accede Console di gestione AWS con lo stesso account specificato nella richiesta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:GetPendingConnection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
}
]
}
```
------
### Esempio 2: consentire la gestione delle connessioni nella console per una singola unità Regione AWS
La seguente politica di autorizzazione consente agli utenti di gestire le connessioni tra CodeCatalyst e Account AWS in una singola regione. La politica utilizza una condizione per consentire solo le azioni nella regione us-west-2 e non da altre. Regioni AWS Dopo aver creato una connessione, è possibile creare il **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo scegliendo l'opzione in. Console di gestione AWS Nella politica di esempio, la condizione per l'`iam:PassRole`azione include i principali del servizio per CodeCatalyst. Solo i ruoli con tale accesso verranno creati in. Console di gestione AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
### Esempio 3: Negare la gestione delle connessioni
La seguente politica di autorizzazione nega agli utenti la possibilità di gestire le connessioni tra e. CodeCatalyst Account AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codecatalyst:*"
],
"Resource": "*"
}
]
}
```
------
# Utilizzo dei tag per controllare l'accesso alle risorse di connessione dell'account
I tag possono essere allegati alla risorsa o passati nella richiesta ai servizi che supportano il tagging. Le risorse nelle politiche possono avere tag e alcune azioni nelle politiche possono includere tag. Le chiavi di condizione per l'etichettatura includono le chiavi di `aws:ResourceTag` condizione `aws:RequestTag` e. Quando si crea una policy IAM, è possibile utilizzare le chiavi di condizione di tag per controllare:
+ Quali utenti possono eseguire azioni su una risorsa di connessione, in base ai tag già presenti.
+ Quali tag possono essere passati in una richiesta di operazione.
+ Se delle chiavi di tag specifiche possono essere utilizzate in una richiesta.
Gli esempi seguenti mostrano come specificare le condizioni dei tag nelle politiche per gli utenti che utilizzano le connessioni degli CodeCatalyst account. Per ulteriori informazioni su queste chiavi di condizione, consulta [Chiavi relative alle condizioni delle politiche in IAM](security-iam.md#id-based-policies-conditionkeys).
## Esempio 1: consenti azioni basate sui tag nella richiesta
La seguente politica concede agli utenti l'autorizzazione ad approvare le connessioni all'account.
A questo scopo, consente le operazioni `AcceptConnection`e `TagResource` se la richiesta specifica un tag denominato `Project` con il valore `ProjectA`. La chiave di condizione `aws:RequestTag` viene utilizzata per controllare quali tag possono essere passati in una richiesta IAM. La condizione `aws:TagKeys` garantisce che la chiave tag rileva la distinzione tra maiuscole e minuscole.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
------
## Esempio 2: consenti azioni basate sui tag delle risorse
La seguente politica concede agli utenti il permesso di eseguire azioni sulle risorse di connessione all'account e ottenere informazioni sulle stesse.
A tal fine, consente azioni specifiche se la connessione ha un tag denominato `Project` con lo stesso valore`ProjectA`. La chiave di condizione `aws:ResourceTag` viene utilizzata per controllare quali tag possono essere passati in una richiesta IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:GetConnection",
"codecatalyst:DeleteConnection",
"codecatalyst:AssociateIamRoleToConnection",
"codecatalyst:DisassociateIamRoleFromConnection",
"codecatalyst:ListIamRolesForConnection",
"codecatalyst:PutBillingAuthorization"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "ProjectA"
}
}
}
]
}
```
------
## CodeCatalyst riferimento alle autorizzazioni
Questa sezione fornisce un riferimento alle autorizzazioni per le azioni utilizzate con la risorsa di connessione dell'account a Account AWS cui si è connessi. CodeCatalyst La sezione seguente descrive le azioni basate solo sulle autorizzazioni correlate alla connessione degli account.
### Autorizzazioni richieste per le connessioni agli account
Le seguenti autorizzazioni sono necessarie per utilizzare le connessioni degli account.
****
| CodeCatalyst autorizzazioni per le connessioni degli account | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| AcceptConnection | Necessario per accettare una richiesta di connessione di questo account a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | Supporta solo un carattere jolly (\$1) nell'elemento `Resource` della policy. |
| AssociateIamRoleToConnection | Necessario per associare un ruolo IAM a una connessione di account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DeleteConnection | Necessario per eliminare una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DisassociateIamRoleFromConnection | Necessario per dissociare un ruolo IAM da una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetBillingAuthorization | Necessario per descrivere l'autorizzazione di fatturazione per una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetConnection | Necessario per stabilire una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetPendingConnection | Necessario per ricevere una richiesta in sospeso per connettere questo account a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | Supporta solo un carattere jolly (\$1) nell'elemento `Resource` della policy. |
| ListConnections | Necessario per elencare le connessioni tra account che non sono in sospeso. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | Supporta solo un carattere jolly (\$1) nell'elemento `Resource` della policy. |
| ListIamRolesForConnection | Necessario per elencare i ruoli IAM associati a una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| ListTagsForResource | Necessario per elencare i tag associati a una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| PutBillingAuthorization | Necessario per creare o aggiornare l'autorizzazione di fatturazione per la connessione di un account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| RejectConnection | Necessario per rifiutare una richiesta di connessione di questo account a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | Supporta solo un carattere jolly (\$1) nell'elemento `Resource` della policy. |
| TagResource | Necessario per creare o modificare i tag associati alla connessione di un account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| UntagResource | Necessario per rimuovere i tag associati a una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
### Autorizzazioni richieste per le applicazioni IAM Identity Center
Le seguenti autorizzazioni sono necessarie per lavorare con le applicazioni IAM Identity Center.
****
| CodeCatalyst autorizzazioni per le applicazioni IAM Identity Center | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| AssociateIdentityCenterApplicationToSpace | Necessario per associare un'applicazione IAM Identity Center a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| AssociateIdentityToIdentityCenterApplication | Necessario per associare un'identità a un'applicazione IAM Identity Center per uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchAssociateIdentitiesToIdentityCenterApplication | Necessario per associare più identità a un'applicazione IAM Identity Center per uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchDisassociateIdentitiesFromIdentityCenterApplication | Necessario per dissociare più identità da un'applicazione IAM Identity Center per uno spazio. CodeCatalyst Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateIdentityCenterApplication | Necessario per creare un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateSpaceAdminRoleAssignment | Necessario per creare un'assegnazione di ruolo di amministratore per un determinato CodeCatalyst spazio e un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DeleteIdentityCenterApplication | Necessario per eliminare un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityCenterApplicationFromSpace | Necessario per dissociare un'applicazione IAM Identity Center da uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityFromIdentityCenterApplication | Necessario per dissociare un'identità da un'applicazione IAM Identity Center per uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| GetIdentityCenterApplication | Necessario per ottenere informazioni su un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListIdentityCenterApplications | Necessario per visualizzare un elenco di tutte le applicazioni IAM Identity Center presenti nell'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | Supporta solo un carattere jolly (\$1) nell'elemento `Resource` della policy. |
| ListIdentityCenterApplicationsForSpace | Necessario per visualizzare un elenco di applicazioni IAM Identity Center per CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListSpacesForIdentityCenterApplication | Necessario per visualizzare un elenco di CodeCatalyst spazi in base all'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| SynchronizeIdentityCenterApplication | Necessario per sincronizzare un'applicazione IAM Identity Center con l'archivio di identità di supporto. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| UpdateIdentityCenterApplication | Necessario per aggiornare un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
# Utilizzo di ruoli collegati ai servizi per CodeCatalyst
Amazon CodeCatalyst utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. CodeCatalyst I ruoli collegati ai servizi sono predefiniti CodeCatalyst e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione CodeCatalyst perché non è necessario aggiungere manualmente le autorizzazioni necessarie. CodeCatalyst definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. CodeCatalyst Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi CodeCatalyst le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per CodeCatalyst
CodeCatalyst utilizza il ruolo collegato al servizio denominato **AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**: consente ad Amazon l'accesso in CodeCatalyst sola lettura ai profili delle istanze dell'applicazione e agli utenti e ai gruppi di directory associati per tuo conto.
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization considera attendibili i seguenti servizi:
+ `codecatalyst.amazonaws.com`
La politica di autorizzazione dei ruoli denominata AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy consente di CodeCatalyst completare le seguenti azioni sulle risorse specificate:
+ Azione: `View application instance profiles and associated directory users and groups` per `CodeCatalyst spaces that support identity federation and SSO users and groups`
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per CodeCatalyst
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei uno spazio nella Console di gestione AWS, o nell' AWS API AWS CLI, CodeCatalyst crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il CodeCatalyst servizio prima del 17 novembre 2023, quando ha iniziato a supportare i ruoli collegati al servizio, hai CodeCatalyst creato il AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization ruolo nel tuo account. Per ulteriori informazioni, vedi [A new role appeared in my](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Account AWS
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei uno spazio, CodeCatalyst crea nuovamente il ruolo collegato al servizio per te.
Puoi anche utilizzare la console IAM per creare un ruolo collegato ai servizi con lo use case **View application instance profiles e gli utenti e i gruppi di directory associati**. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `codecatalyst.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato al servizio per CodeCatalyst
CodeCatalyst non consente di modificare il ruolo collegato al AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per CodeCatalyst
Non è necessario eliminare manualmente il ruolo AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization. Quando elimini uno spazio nell'API Console di gestione AWS, l'o l' AWS API AWS CLI, CodeCatalyst pulisce le risorse ed elimina automaticamente il ruolo collegato al servizio.
Puoi anche utilizzare la console IAM, the AWS CLI o l' AWS API per eliminare manualmente il ruolo collegato al servizio. Per farlo, sarà necessario prima eseguire manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi eliminarlo manualmente.
**Nota**
Se il CodeCatalyst servizio utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare CodeCatalyst le risorse utilizzate da AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**
+ [Eliminare lo spazio](https://docs.aws.amazon.com/codecatalyst/latest/userguide/spaces-delete.htm).
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi CodeCatalyst
CodeCatalyst supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per maggiori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
CodeCatalyst non supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Il ruolo AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization può essere utilizzato nelle regioni seguenti.
****
| Nome della Regione | Identità della Regione | Support in CodeCatalyst |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | No |
| Stati Uniti orientali (Ohio) | us-east-2 | No |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | No |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Africa (Città del Capo) | af-south-1 | No |
| Asia Pacific (Hong Kong) | ap-east-1 | No |
| Asia Pacifico (Giacarta) | ap-southeast-3 | No |
| Asia Pacifico (Mumbai) | ap-south-1 | No |
| Asia Pacifico (Osaka-Locale) | ap-northeast-3 | No |
| Asia Pacific (Seoul) | ap-northeast-2 | No |
| Asia Pacifico (Singapore) | ap-southeast-1 | No |
| Asia Pacifico (Sydney) | ap-southeast-2 | No |
| Asia Pacifico (Tokyo) | ap-northeast-1 | No |
| Canada (Centrale) | ca-central-1 | No |
| Europa (Francoforte) | eu-central-1 | No |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europa (Londra) | eu-west-2 | No |
| Europe (Milan) | eu-south-1 | No |
| Europa (Parigi) | eu-west-3 | No |
| Europa (Stoccolma) | eu-north-1 | No |
| Medio Oriente (Bahrein) | me-south-1 | No |
| Medio Oriente (Emirati Arabi Uniti) | me-central-1 | No |
| Sud America (San Paolo) | sa-east-1 | No |
| AWS GovCloud (Stati Uniti orientali) | us-gov-east-1 | No |
| AWS GovCloud (Stati Uniti occidentali) | us-gov-west-1 | No |
# AWS politiche gestite per Amazon CodeCatalyst
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AmazonCodeCatalystSupportAccess
Si tratta di una politica che concede a tutti gli amministratori e i membri dello spazio le autorizzazioni per utilizzare il piano di supporto premium Business o Enterprise associato all'account di fatturazione dello spazio. Queste autorizzazioni consentono agli amministratori dello spazio e ai membri di utilizzare il piano di supporto premium per le risorse a cui dispongono delle autorizzazioni nell'ambito delle politiche di autorizzazione. CodeCatalyst
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `support`— Concede le autorizzazioni per consentire agli utenti di cercare, creare e risolvere casi di AWS Supporto. Concede inoltre le autorizzazioni per descrivere le comunicazioni, i livelli di gravità, gli allegati e i dettagli dei relativi casi di supporto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeAttachment",
"support:DescribeCaseAttributes",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeIssueTypes",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:DescribeSupportLevel",
"support:SearchForCases",
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:InitiateCallForCase",
"support:InitiateChatForCase",
"support:PutCaseAttributes",
"support:RateCaseCommunication",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonCodeCatalystFullAccess
Si tratta di una politica che concede le autorizzazioni per gestire il tuo CodeCatalyst spazio e gli account connessi nella pagina Amazon CodeCatalyst Spaces del. Console di gestione AWS Questa applicazione viene utilizzata per configurare Account AWS la connessione al tuo spazio in. CodeCatalyst
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `codecatalyst`— Concede le autorizzazioni complete per la pagina Amazon CodeCatalyst Spaces nel. Console di gestione AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeCatalystResourceAccess",
"Effect": "Allow",
"Action": [
"codecatalyst:*",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "CodeCatalystAssociateIAMRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politica gestita: AmazonCodeCatalystReadOnlyAccess
Si tratta di una politica che concede le autorizzazioni per visualizzare ed elencare le informazioni per gli spazi e gli account connessi nella pagina Amazon CodeCatalyst Spaces del. Console di gestione AWS Questa applicazione viene utilizzata per configurare Account AWS la connessione al tuo spazio in. CodeCatalyst
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `codecatalyst`— Concede autorizzazioni di sola lettura per la pagina Amazon CodeCatalyst Spaces in. Console di gestione AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:Get*",
"codecatalyst:List*"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy
Non puoi allegareAmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy; alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di CodeCatalyst eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per CodeCatalyst](using-service-linked-roles.md).
Questa policy consente ai clienti di visualizzare i profili delle istanze dell'applicazione e gli utenti e i gruppi delle directory associate durante la gestione degli spazi in. CodeCatalyst I clienti visualizzeranno queste risorse durante la gestione di spazi che supportano la federazione delle identità e gli utenti e i gruppi SSO.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `sso`— Concede le autorizzazioni per consentire agli utenti di visualizzare i profili delle istanze dell'applicazione gestiti in IAM Identity Center per gli spazi associati in. CodeCatalyst
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:ListApplications",
"sso:ListApplicationAssignments",
"sso:DescribeInstance",
"sso:DescribeApplication"
],
"Resource": "*"
}
]
}
```
------
## CodeCatalyst aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite CodeCatalyst da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei CodeCatalyst documenti](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy](#security-iam-awsmanpol-AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy): nuova policy | CodeCatalyst ha aggiunto la politica. Concede le autorizzazioni per consentire agli CodeCatalyst utenti di visualizzare i profili delle istanze dell'applicazione e gli utenti e i gruppi delle directory associate. | 17 novembre 2023 |
| [AmazonCodeCatalystSupportAccess](#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess): nuova policy | CodeCatalyst ha aggiunto la politica. Concede le autorizzazioni per consentire agli CodeCatalyst utenti di cercare, creare e risolvere casi di supporto, nonché di visualizzare le comunicazioni e i dettagli correlati. | 20 aprile 2023 |
| [AmazonCodeCatalystFullAccess](#security-iam-awsmanpol-AmazonCodeCatalystFullAccess): nuova policy | CodeCatalyst ha aggiunto la politica. Garantisce l'accesso completo a. CodeCatalyst | 20 aprile 2023 |
| [AmazonCodeCatalystReadOnlyAccess](#security-iam-awsmanpol-AmazonCodeCatalystReadOnlyAccess): nuova policy | CodeCatalyst ha aggiunto la politica. Concede l'accesso in sola lettura a. CodeCatalyst | 20 aprile 2023 |
| CodeCatalyst ha iniziato a tenere traccia delle modifiche | CodeCatalyst ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 20 aprile 2023 |
# Concedi l'accesso alle AWS risorse del progetto con i ruoli IAM
CodeCatalyst puoi accedere alle AWS risorse collegando il tuo Account AWS a uno CodeCatalyst spazio. È quindi possibile creare i seguenti ruoli di servizio e associarli quando si collega l'account.
Per ulteriori informazioni sugli elementi utilizzati in una policy JSON, consulta [IAM JSON Policy Elements Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *IAM User* Guide.
+ Per accedere alle risorse nei tuoi CodeCatalyst progetti e flussi di lavoro, devi prima concedere l'autorizzazione CodeCatalyst ad accedere a tali risorse per tuo conto. Account AWS A tale scopo, è necessario creare un ruolo di servizio in un ambiente connesso Account AWS che CodeCatalyst possa assumere per conto degli utenti e dei progetti dello spazio. Puoi scegliere di creare e utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio oppure puoi creare ruoli di servizio personalizzati e configurare queste politiche e ruoli IAM manualmente. Come best practice, assegna a questi ruoli il numero minimo di autorizzazioni necessarie.
**Nota**
Per i ruoli di servizio personalizzati, è necessario il responsabile del CodeCatalyst servizio. Per ulteriori informazioni sul CodeCatalyst service principal e sul modello di fiducia, vedere[Comprendere il modello CodeCatalyst di fiducia](trust-model.md).
+ Per gestire il supporto per uno spazio tramite Connected Account AWS, puoi scegliere di creare e utilizzare il ruolo di **AWSRoleForCodeCatalystSupport**servizio che consente CodeCatalyst agli utenti di accedere al supporto. Per ulteriori informazioni sul supporto per uno CodeCatalyst spazio, consulta[Supporto per Amazon CodeCatalyst](support.md).
## Comprensione del ruolo **CodeCatalystWorkflowDevelopmentRole-*spaceName***del servizio
Puoi aggiungere un ruolo IAM per il tuo spazio da CodeCatalyst utilizzare per creare e accedere a risorse in un ambiente connesso Account AWS. Questo è chiamato [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Il modo più semplice per creare un ruolo di servizio è aggiungerne uno quando si crea lo spazio e scegliere l'**CodeCatalystWorkflowDevelopmentRole-*spaceName***opzione per quel ruolo. Questo non solo crea il ruolo di servizio con lo spazio `AdministratorAccess` allegato, ma crea anche la politica di fiducia che CodeCatalyst consente di assumere il ruolo per conto degli utenti nei progetti nello spazio. Il ruolo di servizio è limitato allo spazio, non ai singoli progetti. Per creare questo ruolo, consulta [Creazione del **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo per il tuo account e il tuo spazio](#ipa-iam-roles-service-create). Puoi creare un solo ruolo per ogni spazio in ogni account.
**Nota**
Questo ruolo è consigliato solo per gli account di sviluppo e utilizza la politica `AdministratorAccess` AWS gestita, che gli consente l'accesso completo alla creazione di nuove politiche e risorse Account AWS.
La politica allegata al **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo è progettata per funzionare con progetti creati con progetti esistenti nello spazio. Consente agli utenti di tali progetti di sviluppare, creare, testare e distribuire codice utilizzando le risorse disponibili nella rete. Account AWS Per ulteriori informazioni, vedere [Creazione di un ruolo per un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
La politica associata al **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo è la politica `AdministratorAccess` gestita in AWS. Si tratta di una politica che garantisce l'accesso completo a tutte le AWS azioni e le risorse. Per visualizzare il documento sulla policy JSON nella console IAM, consulta. [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
La seguente politica di fiducia consente di CodeCatalyst assumere il **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo. Per ulteriori informazioni sul modello CodeCatalyst di fiducia, vedere[Comprendere il modello CodeCatalyst di fiducia](trust-model.md).
```
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst-runner.amazonaws.com",
"codecatalyst.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
}
}
}
]
```
## Creazione del **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo per il tuo account e il tuo spazio
Segui questi passaggi per creare il `CodeCatalystWorkflowDevelopmentRole-spaceName` ruolo che verrà utilizzato per i flussi di lavoro nel tuo spazio. Per ogni account a cui desideri assegnare ruoli IAM da utilizzare nei progetti, nel tuo spazio, devi aggiungere un ruolo come il ruolo di sviluppatore.
Prima di iniziare, devi disporre dei privilegi di amministratore Account AWS o essere in grado di lavorare con il tuo amministratore. Per ulteriori informazioni su come Account AWS vengono utilizzati i ruoli IAM CodeCatalyst, consulta[Consentire l'accesso alle AWS risorse con connessione Account AWS](ipa-connect-account.md).
**Per creare e aggiungere il CodeCatalyst **CodeCatalystWorkflowDevelopmentRole-*spaceName*****
1. Prima di iniziare a utilizzare la CodeCatalyst console, apri il Console di gestione AWS, quindi assicurati di aver effettuato l'accesso con lo stesso Account AWS nome del tuo spazio.
1. Apri la CodeCatalyst console all'indirizzo [https://codecatalyst.aws/](https://codecatalyst.aws/).
1. Accedi al tuo CodeCatalyst spazio. Selezionare **Settings (Impostazioni)**, quindi scegliere **Account AWS**.
1. Scegli il link relativo alla Account AWS posizione in cui desideri creare il ruolo. Viene visualizzata la pagina dei **Account AWS dettagli**.
1. Scegli **Gestisci ruoli da Console di gestione AWS**.
La pagina **Aggiungi ruolo IAM CodeCatalyst allo spazio Amazon** si apre in Console di gestione AWS. Questa è la pagina **Amazon CodeCatalyst Spaces**. Potrebbe essere necessario effettuare il login per accedere alla pagina.
1. Scegli **Crea il ruolo di amministratore CodeCatalyst dello sviluppo in IAM**. Questa opzione crea un ruolo di servizio che contiene la politica di autorizzazioni e la politica di fiducia per il ruolo di sviluppo. Il ruolo avrà un nome`CodeCatalystWorkflowDevelopmentRole-spaceName`. Per ulteriori informazioni sul ruolo e sulla politica relativa ai ruoli, vedere[Comprensione del ruolo **CodeCatalystWorkflowDevelopmentRole-*spaceName***del servizio](#ipa-iam-roles-service-role).
**Nota**
Questo ruolo è consigliato solo per gli account sviluppatore e utilizza la politica `AdministratorAccess` AWS gestita, che gli consente l'accesso completo alla creazione di nuove politiche e risorse Account AWS.
1. Scegli **Crea ruolo di sviluppo**.
1. Nella pagina delle connessioni, in **Ruoli IAM disponibili per CodeCatalyst**, visualizza il `CodeCatalystWorkflowDevelopmentRole-spaceName` ruolo nell'elenco dei ruoli IAM aggiunti al tuo account.
1. Per tornare al tuo spazio, scegli **Vai su Amazon CodeCatalyst**.
## Comprendere il ruolo **AWSRoleForCodeCatalystSupport**del servizio
Puoi aggiungere un ruolo IAM per il tuo spazio che CodeCatalyst gli utenti di uno spazio possono utilizzare per creare e accedere a casi di supporto. Questo è chiamato [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per il supporto. Il modo più semplice per creare un ruolo di servizio per l'assistenza è aggiungerne uno quando si crea lo spazio e scegliere l'`AWSRoleForCodeCatalystSupport`opzione per quel ruolo. Questo non solo crea la politica e il ruolo, ma crea anche la politica di fiducia che consente di CodeCatalyst assumere il ruolo per conto degli utenti nei progetti dello spazio. Il ruolo di servizio è limitato allo spazio, non ai singoli progetti. Per creare questo ruolo, consulta [Creazione del **AWSRoleForCodeCatalystSupport**ruolo per il tuo account e il tuo spazio](#ipa-iam-roles-support-create).
La politica allegata al `AWSRoleForCodeCatalystSupport` ruolo è una politica gestita che fornisce l'accesso alle autorizzazioni di supporto. Per ulteriori informazioni, consulta [AWS politica gestita: AmazonCodeCatalystSupportAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess).
Il ruolo di fiducia per la politica consente di CodeCatalyst assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Creazione del **AWSRoleForCodeCatalystSupport**ruolo per il tuo account e il tuo spazio
Segui questi passaggi per creare il `AWSRoleForCodeCatalystSupport` ruolo che verrà utilizzato per i casi di assistenza nel tuo spazio. Il ruolo deve essere aggiunto all'account di fatturazione designato per lo spazio.
Prima di iniziare, devi disporre dei privilegi amministrativi Account AWS o essere in grado di lavorare con il tuo amministratore. Per ulteriori informazioni su come Account AWS vengono utilizzati i ruoli IAM CodeCatalyst, consulta[Consentire l'accesso alle AWS risorse con connessione Account AWS](ipa-connect-account.md).
**Per creare e aggiungere il CodeCatalyst **AWSRoleForCodeCatalystSupport****
1. Prima di iniziare a utilizzare la CodeCatalyst console, apri il Console di gestione AWS, quindi assicurati di aver effettuato l'accesso con lo stesso Account AWS nome del tuo spazio.
1. Accedi al tuo CodeCatalyst spazio. Selezionare **Settings (Impostazioni)**, quindi scegliere **Account AWS**.
1. Scegli il link relativo alla Account AWS posizione in cui desideri creare il ruolo. Viene visualizzata la pagina dei **Account AWS dettagli**.
1. Scegli **Gestisci ruoli da Console di gestione AWS**.
La pagina **Aggiungi ruolo IAM CodeCatalyst allo spazio Amazon** si apre in Console di gestione AWS. Questa è la pagina **Amazon CodeCatalyst Spaces**. Potrebbe essere necessario effettuare il login per accedere alla pagina.
1. In **Dettagli CodeCatalyst dello spazio**, scegli **Aggiungi ruolo CodeCatalyst Support**. Questa opzione crea un ruolo di servizio che contiene la politica di autorizzazioni e la politica di attendibilità per il ruolo di sviluppo in anteprima. Il ruolo avrà un nome **AWSRoleForCodeCatalystSupport**con un identificatore univoco aggiunto. Per ulteriori informazioni sul ruolo e sulla politica relativa ai ruoli, vedere. [Comprendere il ruolo **AWSRoleForCodeCatalystSupport**del servizio](#ipa-iam-roles-support-role)
1. Nella pagina **Aggiungi ruolo per CodeCatalyst Support**, lascia selezionata l'impostazione predefinita, quindi scegli **Crea ruolo**.
1. In **Ruoli IAM disponibili per CodeCatalyst**, visualizza il `CodeCatalystWorkflowDevelopmentRole-spaceName` ruolo nell'elenco dei ruoli IAM aggiunti al tuo account.
1. Per tornare al tuo spazio, scegli **Vai su Amazon CodeCatalyst**.
## Configurazione dei ruoli IAM per le azioni del flusso di lavoro in CodeCatalyst
Questa sezione descrive in dettaglio i ruoli e le policy IAM che puoi creare da utilizzare con il tuo CodeCatalyst account. Per istruzioni su come creare ruoli di esempio, consulta[Creazione manuale di ruoli per le azioni del flusso di lavoro](#ipa-iam-roles-actions). Dopo aver creato il ruolo IAM, copia l'ARN del ruolo per aggiungere il ruolo IAM alla connessione dell'account e associarlo all'ambiente del progetto. Per ulteriori informazioni, consulta [Aggiunta di ruoli IAM alle connessioni degli account](ipa-connect-account-addroles.md).
### CodeCatalyst creare un ruolo per l'accesso ad Amazon S3
Per le azioni CodeCatalyst di creazione del flusso di lavoro, puoi utilizzare il ruolo **CodeCatalystWorkflowDevelopmentRole-*spaceName***di servizio predefinito oppure puoi creare un ruolo IAM denominato **CodeCatalystBuildRoleforS3Access**. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Scrivi su bucket Amazon S3.
+ Supporta la creazione di risorse con CloudFormation. Ciò richiede l'accesso ad Amazon S3.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst crea un ruolo per CloudFormation
Per le azioni CodeCatalyst di creazione del flusso di lavoro, puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Supporta la creazione di risorse con CloudFormation. Questo è necessario insieme al ruolo di CodeCatalyst costruzione per l'accesso ad Amazon S3 e al ruolo di CodeCatalyst distribuzione per. CloudFormation
A questo ruolo devono essere associate le seguenti politiche AWS gestite:
+ **AWSCloudFormationFullAccess**
+ **IAMFullAccesso**
+ **Amazon S3 FullAccess**
+ **APIGatewayAmministratore Amazon**
+ **AWSLambdaFullAccess**
### CodeCatalyst crea un ruolo per CDK
Per CodeCatalyst i flussi di lavoro che eseguono azioni di compilazione CDK, come l'applicazione Web moderna a tre livelli, puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'avvio e l'esecuzione dei comandi di compilazione CDK per le risorse del tuo. CloudFormation Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Scrivi su bucket Amazon S3.
+ Supporta la creazione di costrutti CDK e stack di CloudFormation risorse. Ciò richiede l'accesso ad Amazon S3 per lo storage degli artefatti, Amazon ECR per il supporto degli archivi di immagini e SSM per la governance e il monitoraggio del sistema per le istanze virtuali.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst distribuisci ruolo per CloudFormation
Per le azioni CodeCatalyst di distribuzione del flusso di lavoro che utilizzano CloudFormation, puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure puoi utilizzare una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Consente di CodeCatalyst richiamare una funzione λ tramite la quale eseguire la blue/green distribuzione. CloudFormation
+ Consenti CodeCatalyst di creare e aggiornare stack e changeset in. CloudFormation
Questo ruolo utilizza la seguente politica:
```
{"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:Describe*",
"cloudformation:UpdateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:SetStackPolicy",
"cloudformation:ValidateTemplate",
"cloudformation:List*",
"iam:PassRole"
],
"Resource": "resource_ARN",
"Effect": "Allow"
}
```
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di implementazione per Amazon EC2
CodeCatalyst le azioni di distribuzione del flusso di lavoro utilizzano un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon EC2 del tuo. Account AWS La politica predefinita per il **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo non include le autorizzazioni per Amazon EC2 o Amazon EC2 Auto Scaling.
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Crea distribuzioni Amazon EC2.
+ Leggi i tag su un'istanza o identifica un'istanza Amazon EC2 tramite i nomi dei gruppi di Auto Scaling.
+ Leggi, crea, aggiorna ed elimina i gruppi, gli hook del ciclo di vita e le politiche di scalabilità di Amazon EC2 Auto Scaling.
+ Pubblica informazioni su argomenti di Amazon SNS.
+ Recupera informazioni sugli CloudWatch allarmi.
+ Leggi e aggiorna Elastic Load Balancing.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di implementazione per Amazon ECS
Per le azioni relative al CodeCatalyst flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure puoi creare un ruolo IAM per le azioni di distribuzione da utilizzare per le CodeCatalyst distribuzioni Lambda. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon ECS del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Avvia la distribuzione continua di Amazon ECS per conto di un CodeCatalyst utente, in un account specificato nella CodeCatalyst connessione.
+ Leggi, aggiorna ed elimina i set di attività di Amazon ECS.
+ Aggiorna i gruppi target, gli ascoltatori e le regole di Elastic Load Balancing.
+ Richiama le funzioni Lambda.
+ Accedi ai file di revisione nei bucket Amazon S3.
+ Recupera informazioni sugli allarmi. CloudWatch
+ Pubblica informazioni su argomenti di Amazon SNS.
Questo ruolo utilizza la seguente politica:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action":[
"ecs:DescribeServices",
"ecs:CreateTaskSet",
"ecs:DeleteTaskSet",
"ecs:ListClusters",
"ecs:RegisterTaskDefinition",
"ecs:UpdateServicePrimaryTaskSet",
"ecs:UpdateService",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:ModifyRule",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"cloudwatch:DescribeAlarms",
"sns:Publish",
"sns:ListTopics",
"s3:GetObject",
"s3:GetObjectVersion",
"codedeploy:CreateApplication",
"codedeploy:CreateDeployment",
"codedeploy:CreateDeploymentGroup",
"codedeploy:GetApplication",
"codedeploy:GetDeployment",
"codedeploy:GetDeploymentGroup",
"codedeploy:ListApplications",
"codedeploy:ListDeploymentGroups",
"codedeploy:ListDeployments",
"codedeploy:StopDeployment",
"codedeploy:GetDeploymentTarget",
"codedeploy:ListDeploymentTargets",
"codedeploy:GetDeploymentConfig",
"codedeploy:GetApplicationRevision",
"codedeploy:RegisterApplicationRevision",
"codedeploy:BatchGetApplicationRevisions",
"codedeploy:BatchGetDeploymentGroups",
"codedeploy:BatchGetDeployments",
"codedeploy:BatchGetApplications",
"codedeploy:ListApplicationRevisions",
"codedeploy:ListDeploymentConfigs",
"codedeploy:ContinueDeployment"
],
"Resource":"*",
"Effect":"Allow"
},{"Action":[
"iam:PassRole"
],
"Effect":"Allow",
"Resource":"*",
"Condition":{"StringLike":{"iam:PassedToService":[
"ecs-tasks.amazonaws.com",
"codedeploy.amazonaws.com"
]
}
}
}]
}
```
------
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di implementazione per Lambda
Per le azioni relative al CodeCatalyst flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure creare un ruolo IAM per le azioni di distribuzione da utilizzare per le CodeCatalyst distribuzioni Lambda. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Lambda del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Leggi, aggiorna e richiama funzioni e alias Lambda.
+ Accedi ai file di revisione nei bucket Amazon S3.
+ Recupera informazioni sugli allarmi Events. CloudWatch
+ Pubblica informazioni su argomenti di Amazon SNS.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di implementazione per Lambda
Per le azioni del CodeCatalyst flusso di lavoro, puoi utilizzare il ruolo **CodeCatalystWorkflowDevelopmentRole-*spaceName***di servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Lambda del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Leggi, aggiorna e richiama funzioni e alias Lambda.
+ Accedi ai file di revisione nei bucket Amazon S3.
+ Recupera informazioni sugli allarmi. CloudWatch
+ Pubblica informazioni su argomenti di Amazon SNS.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst distribuisci ruolo per AWS SAM
Per le azioni del CodeCatalyst flusso di lavoro, puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività AWS SAM e CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Consenti CodeCatalyst di richiamare una funzione Lambda per eseguire la distribuzione di applicazioni serverless AWS SAM e CLI.
+ Consenti di CodeCatalyst creare e aggiornare stack e changeset in. CloudFormation
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di sola lettura per Amazon EC2
Per le azioni CodeCatalyst del flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon EC2 del tuo. Account AWS Il ruolo **CodeCatalystWorkflowDevelopmentRole-*spaceName***di servizio non include le autorizzazioni per Amazon EC2 o le azioni descritte per Amazon. CloudWatch
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Ottieni lo stato delle istanze Amazon EC2.
+ Ottieni i CloudWatch parametri per le istanze Amazon EC2.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di sola lettura per Amazon ECS
Per le azioni CodeCatalyst del flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon ECS del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Leggi i set di attività di Amazon ECS.
+ Recupera informazioni sugli CloudWatch allarmi.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di sola lettura per Lambda
Per le azioni CodeCatalyst del flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Lambda del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per quanto segue:
+ Leggi le funzioni e gli alias Lambda.
+ Accedi ai file di revisione nei bucket Amazon S3.
+ Recupera informazioni sugli allarmi. CloudWatch
Questo ruolo utilizza la policy seguente .
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni sul flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
## Creazione manuale di ruoli per le azioni del flusso di lavoro
CodeCatalyst le azioni del flusso di lavoro utilizzano i ruoli IAM creati dall'utente, denominati **build role**, **deploy role** e **stack** role.
Segui questi passaggi per creare questi ruoli in IAM.
**Per creare un ruolo di distribuzione**
1. Crea una politica per il ruolo, come segue:
1. Accedi a AWS.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Scegliere la scheda **JSON**.
1. Eliminare il codice esistente.
1. Incolla il codice seguente:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. In **Nome**, inserisci:
```
codecatalyst-deploy-policy
```
1. Scegli **Crea policy**.
Ora hai creato una politica di autorizzazioni.
1. Crea il ruolo di distribuzione, come segue:
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Scegli una **politica di fiducia personalizzata**.
1. Elimina la politica di fiducia personalizzata esistente.
1. Aggiungi la seguente politica di fiducia personalizzata:
1. Scegli **Next (Successivo)**.
1. Nelle **politiche di autorizzazione**, cerca `codecatalyst-deploy-policy` e seleziona la relativa casella di controllo.
1. Scegli **Next (Successivo)**.
1. Per **Nome del ruolo**, inserisci:
```
codecatalyst-deploy-role
```
1. Per la **descrizione del ruolo**, inserisci:
```
CodeCatalyst deploy role
```
1. Scegli **Crea ruolo**.
Ora hai creato un ruolo di distribuzione con una politica di fiducia e una politica di autorizzazioni.
1. Ottenere l'ARN del ruolo di distribuzione, come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato ()`codecatalyst-deploy-role`.
1. Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di **riepilogo** del ruolo.
1. In alto, copia il valore **ARN.**
Ora hai creato il ruolo di distribuzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
**Per creare un ruolo di costruzione**
1. Crea una politica per il ruolo, come segue:
1. Accedi a AWS.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Scegliere la scheda **JSON**.
1. Eliminare il codice esistente.
1. Incolla il codice seguente:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. In **Nome**, inserisci:
```
codecatalyst-build-policy
```
1. Scegli **Crea policy**.
Ora hai creato una politica di autorizzazioni.
1. Crea il ruolo di costruzione, come segue:
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Scegli una **politica di fiducia personalizzata**.
1. Elimina la politica di fiducia personalizzata esistente.
1. Aggiungi la seguente politica di fiducia personalizzata:
1. Scegli **Next (Successivo)**.
1. Nelle **politiche di autorizzazione**, cerca `codecatalyst-build-policy` e seleziona la relativa casella di controllo.
1. Scegli **Next (Successivo)**.
1. Per **Nome del ruolo**, inserisci:
```
codecatalyst-build-role
```
1. Per la **descrizione del ruolo**, inserisci:
```
CodeCatalyst build role
```
1. Scegli **Crea ruolo**.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
1. Ottieni l'ARN del ruolo di costruzione, come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (`codecatalyst-build-role`).
1. Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di **riepilogo** del ruolo.
1. In alto, copia il valore **ARN.**
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
**Per creare un ruolo stack**
**Nota**
Non è necessario creare un ruolo stack, sebbene sia consigliabile farlo per motivi di sicurezza. Se non crei il ruolo stack, dovrai aggiungere al ruolo di distribuzione le politiche di autorizzazione descritte più avanti in questa procedura.
1. Accedi per AWS utilizzare l'account in cui desideri distribuire il tuo stack.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Ruoli, quindi scegli **Crea** ruolo**.
1. Nella parte superiore, scegli **AWS servizio**.
1. Dall'elenco dei servizi, scegli **CloudFormation**.
1. Scegli **Successivo: autorizzazioni**.
1. Nella casella di ricerca, aggiungi le politiche necessarie per accedere alle risorse del tuo stack. Ad esempio, se lo stack include una AWS Lambda funzione, è necessario aggiungere una policy che garantisca l'accesso a Lambda.
**Suggerimento**
Se non sei sicuro delle politiche da aggiungere, puoi ometterle per ora. Quando provi l'azione, se non disponi delle autorizzazioni corrette, CloudFormation genera errori che mostrano quali autorizzazioni devi aggiungere.
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. Per il **nome del ruolo, inserisci**:
```
codecatalyst-stack-role
```
1. Scegli **Crea ruolo**.
1. Per ottenere l'ARN del ruolo stack, procedi come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato ()`codecatalyst-stack-role`.
1. Scegli il ruolo dall'elenco.
1. Nella pagina **Riepilogo**, copia il valore **Role ARN.**
## Utilizzo AWS CloudFormation per creare politiche e ruoli in IAM
Puoi scegliere di creare e utilizzare AWS CloudFormation modelli per creare le politiche e i ruoli necessari per accedere alle risorse in e Account AWS per i tuoi CodeCatalyst progetti e flussi di lavoro. CloudFormation è un servizio che ti aiuta a modellare e configurare AWS le tue risorse in modo da poter dedicare meno tempo alla gestione di tali risorse e più tempo a concentrarti sulle applicazioni che girano su AWS. Se intendi creare ruoli in più ruoli Account AWS, la creazione di un modello può aiutarti a svolgere questa attività più rapidamente.
Il modello di esempio seguente crea un ruolo e una politica di implementazione.
```
Parameters:
CodeCatalystAccountId:
Type: String
Description: Account ID from the connections page
ExternalId:
Type: String
Description: External ID from the connections page
Resources:
CrossAccountRole:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref CodeCatalystAccountId
Action:
- 'sts:AssumeRole'
Condition:
StringEquals:
sts:ExternalId: !Ref ExternalId
Path: /
Policies:
- PolicyName: CodeCatalyst-CloudFormation-action-policy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- 'cloudformation:CreateStack'
- 'cloudformation:DeleteStack'
- 'cloudformation:Describe*'
- 'cloudformation:UpdateStack'
- 'cloudformation:CreateChangeSet'
- 'cloudformation:DeleteChangeSet'
- 'cloudformation:ExecuteChangeSet'
- 'cloudformation:SetStackPolicy'
- 'cloudformation:ValidateTemplate'
- 'cloudformation:List*'
- 'iam:PassRole'
Resource: '*'
```
## Creazione manuale del ruolo per il blueprint dell'applicazione Web
**Il blueprint dell'applicazione CodeCatalyst Web utilizza i ruoli IAM creati dall'utente, denominati **build role for CDK**, **deploy role e stack role**.**
Segui questi passaggi per creare il ruolo in IAM.
**Per creare un ruolo di costruzione**
1. Crea una politica per il ruolo, come segue:
1. Accedi a AWS.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegliere **Create Policy (Crea policy)**.
1. Scegliere la scheda **JSON**.
1. Eliminare il codice esistente.
1. Incolla il codice seguente:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. In **Nome**, inserisci:
```
codecatalyst-webapp-build-policy
```
1. Scegli **Crea policy**.
Ora hai creato una politica di autorizzazioni.
1. Crea il ruolo di costruzione, come segue:
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Scegli una **politica di fiducia personalizzata**.
1. Elimina la politica di fiducia personalizzata esistente.
1. Aggiungi la seguente politica di fiducia personalizzata:
1. Scegli **Next (Successivo)**.
1. Allega la politica delle autorizzazioni al ruolo di costruzione. Nella pagina **Aggiungi autorizzazioni**, nella sezione **Politiche di autorizzazione**, cerca `codecatalyst-webapp-build-policy` e seleziona la relativa casella di controllo.
1. Scegli **Next (Successivo)**.
1. Per **Nome del ruolo, inserisci**:
```
codecatalyst-webapp-build-role
```
1. Per la **descrizione del ruolo**, inserisci:
```
CodeCatalyst Web app build role
```
1. Scegli **Crea ruolo**.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
1. Allega la politica delle autorizzazioni al ruolo di compilazione, come segue:
1. Nel riquadro di navigazione, scegli **Ruoli**, quindi cerca`codecatalyst-webapp-build-role`. ``
1. Scegli `codecatalyst-webapp-build-role` di visualizzarne i dettagli. ``
1. Nella scheda **Autorizzazioni**, scegli **Aggiungi autorizzazioni**, quindi scegli **Allega** criteri.
1. Cerca`codecatalyst-webapp-build-policy`, seleziona la relativa casella di controllo, quindi scegli **Allega** politiche.
Ora hai allegato la politica delle autorizzazioni al ruolo di costruzione. Il ruolo build ora ha due politiche: una politica di autorizzazioni e una politica di fiducia.
1. Ottieni l'ARN del ruolo di costruzione, come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (`codecatalyst-webapp-build-role`).
1. Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di **riepilogo** del ruolo.
1. In alto, copia il valore **ARN.**
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
## Creazione manuale di ruoli per il blueprint SAM
Il blueprint CodeCatalyst SAM utilizza i ruoli IAM creati dall'utente, denominati **build role for CloudFormation** e **deploy role** for SAM.
Segui questi passaggi per creare i ruoli in IAM.
**Per creare un ruolo di costruzione per CloudFormation**
1. Crea una politica per il ruolo, come segue:
1. Accedi a AWS.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegliere **Create Policy (Crea policy)**.
1. Scegliere la scheda **JSON**.
1. Eliminare il codice esistente.
1. Incolla il codice seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*",
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. In **Nome**, inserisci:
```
codecatalyst-SAM-build-policy
```
1. Scegli **Crea policy**.
Ora hai creato una politica di autorizzazioni.
1. Crea il ruolo di costruzione, come segue:
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Scegli una **politica di fiducia personalizzata**.
1. Elimina la politica di fiducia personalizzata esistente.
1. Aggiungi la seguente politica di fiducia personalizzata:
1. Scegli **Next (Successivo)**.
1. Allega la politica delle autorizzazioni al ruolo di costruzione. Nella pagina **Aggiungi autorizzazioni**, nella sezione **Politiche di autorizzazione**, cerca `codecatalyst-SAM-build-policy` e seleziona la relativa casella di controllo.
1. Scegli **Next (Successivo)**.
1. Per **Nome del ruolo, inserisci**:
```
codecatalyst-SAM-build-role
```
1. Per la **descrizione del ruolo**, inserisci:
```
CodeCatalyst SAM build role
```
1. Scegli **Crea ruolo**.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
1. Allega la politica delle autorizzazioni al ruolo di compilazione, come segue:
1. Nel riquadro di navigazione, scegli **Ruoli**, quindi cerca`codecatalyst-SAM-build-role`. ``
1. Scegli `codecatalyst-SAM-build-role` di visualizzarne i dettagli. ``
1. Nella scheda **Autorizzazioni**, scegli **Aggiungi autorizzazioni**, quindi scegli **Allega** criteri.
1. Cerca`codecatalyst-SAM-build-policy`, seleziona la relativa casella di controllo, quindi scegli **Allega** politiche.
Ora hai allegato la politica delle autorizzazioni al ruolo di costruzione. Il ruolo build ora ha due politiche: una politica di autorizzazioni e una politica di fiducia.
1. Ottieni l'ARN del ruolo di costruzione, come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (`codecatalyst-SAM-build-role`).
1. Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di **riepilogo** del ruolo.
1. In alto, copia il valore **ARN.**
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
**Per creare un ruolo di distribuzione per SAM**
1. Crea una politica per il ruolo, come segue:
1. Accedi a AWS.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegliere **Create Policy (Crea policy)**.
1. Scegliere la scheda **JSON**.
1. Eliminare il codice esistente.
1. Incolla il codice seguente:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. In **Nome**, inserisci:
```
codecatalyst-SAM-deploy-policy
```
1. Scegli **Crea policy**.
Ora hai creato una politica di autorizzazioni.
1. Crea il ruolo di costruzione, come segue:
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Scegli una **politica di fiducia personalizzata**.
1. Elimina la politica di fiducia personalizzata esistente.
1. Aggiungi la seguente politica di fiducia personalizzata:
1. Scegli **Next (Successivo)**.
1. Allega la politica delle autorizzazioni al ruolo di costruzione. Nella pagina **Aggiungi autorizzazioni**, nella sezione **Politiche di autorizzazione**, cerca `codecatalyst-SAM-deploy-policy` e seleziona la relativa casella di controllo.
1. Scegli **Next (Successivo)**.
1. Per **Nome del ruolo, inserisci**:
```
codecatalyst-SAM-deploy-role
```
1. Per la **descrizione del ruolo**, inserisci:
```
CodeCatalyst SAM deploy role
```
1. Scegli **Crea ruolo**.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
1. Allega la politica delle autorizzazioni al ruolo di compilazione, come segue:
1. Nel riquadro di navigazione, scegli **Ruoli**, quindi cerca`codecatalyst-SAM-deploy-role`. ``
1. Scegli `codecatalyst-SAM-deploy-role` di visualizzarne i dettagli. ``
1. Nella scheda **Autorizzazioni**, scegli **Aggiungi autorizzazioni**, quindi scegli **Allega** criteri.
1. Cerca`codecatalyst-SAM-deploy-policy`, seleziona la relativa casella di controllo, quindi scegli **Allega** politiche.
Ora hai allegato la politica delle autorizzazioni al ruolo di costruzione. Il ruolo build ora ha due politiche: una politica di autorizzazioni e una politica di fiducia.
1. Ottieni l'ARN del ruolo di costruzione, come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (`codecatalyst-SAM-deploy-role`).
1. Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di **riepilogo** del ruolo.
1. In alto, copia il valore **ARN.**
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.