Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprendere il modello CodeCatalyst di fiducia
Il modello di CodeCatalyst fiducia di Amazon CodeCatalyst consente di assumere il ruolo di servizio nel mondo connesso Account AWS. Il modello collega il ruolo IAM, i responsabili del CodeCatalyst servizio e lo CodeCatalyst spazio. La policy di fiducia utilizza la chiave di aws:SourceArn condizione per concedere le autorizzazioni allo CodeCatalyst spazio specificato nella chiave di condizione. Per ulteriori informazioni su questa chiave di condizione, consulta aws: SourceArn nella IAM User Guide.
Una policy di attendibilità documento di policy JSON in cui si definiscono i principali considerati attendibili per assumere il ruolo. Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo in IAM. Per ulteriori informazioni, consulta Termini e concetti nella Guida per l'utente IAM. Per dettagli sui principali servizi per CodeCatalyst, consultaPrincipali del servizio per CodeCatalyst.
Nella seguente politica di attendibilità, ai principali di servizio elencati nell'Principalelemento vengono concesse le autorizzazioni previste dalla politica basata sulle risorse e il Condition blocco viene utilizzato per limitare l'accesso alla risorsa limitata.
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
Nella politica di fiducia, i responsabili del CodeCatalyst servizio hanno accesso tramite la chiave di aws:SourceArn condizione, che contiene l'Amazon Resource Name (ARN) per CodeCatalyst l'ID dello spazio. L'ARN utilizza il seguente formato:
arn:aws:codecatalyst:::space/spaceId/project/*
Importante
Utilizzate l'ID dello spazio solo nei tasti di condizione, ad esempioaws:SourceArn. Non utilizzare l'ID dello spazio nelle istruzioni delle politiche IAM come ARN di risorse.
Come best practice, riduci il più possibile le autorizzazioni nella policy.
-
È possibile utilizzare il carattere jolly (*) nella chiave di
aws:SourceArncondizione per specificare tutti i progetti nello spazio con.project/* -
È possibile specificare le autorizzazioni a livello di risorsa nella chiave di
aws:SourceArncondizione per un progetto specifico nello spazio con.project/projectId
Principali del servizio per CodeCatalyst
Si utilizza l'Principalelemento in una policy JSON basata sulle risorse per specificare il principale a cui è consentito o negato l'accesso a una risorsa. I principali che è possibile specificare nella policy di attendibilità includono utenti, ruoli, account e servizi. Non è possibile utilizzare l'Principalelemento in una policy basata sull'identità; allo stesso modo, non è possibile identificare un gruppo di utenti come principale in una policy (ad esempio una policy basata sulle risorse) perché i gruppi si riferiscono alle autorizzazioni, non all'autenticazione, e i principali sono entità IAM autenticate.
Nella policy di fiducia, è possibile specificare l'Principalelemento di una policy basata sulle Servizi AWS risorse o le chiavi di condizione che supportano i principali. I principali del servizio sono definiti dal servizio. Di seguito sono riportati i principali di servizio definiti per: CodeCatalyst
-
codecatalyst.amazonaws.com - Questo responsabile del servizio viene utilizzato per un ruolo a cui verrà concesso l'accesso. CodeCatalyst AWS
-
codecatalyst-runner.amazonaws.com - Questo responsabile del servizio viene utilizzato per un ruolo che garantirà l'accesso alle risorse nelle distribuzioni per i flussi di lavoro. CodeCatalyst AWS CodeCatalyst
Per ulteriori informazioni, consulta Elementi della policy JSON: Principal nella IAM User Guide.AWS
