接続されたアカウントに対する IAM ロールの設定 - Amazon CodeCatalyst

接続されたアカウントに対する IAM ロールの設定

CodeCatalyst に追加するアカウントのロールを AWS Identity and Access Management (IAM) で作成します。請求アカウントを追加する場合、ロールを作成する必要はありません。

AWS アカウントで、スペースに追加する AWS アカウントに対してロールを作成するためのアクセス許可が必要です。IAM リファレンスやポリシーの例など、IAM ロールとポリシーの詳細については、「Identity and Access Management と Amazon CodeCatalyst」を参照してください。CodeCatalyst で使用される信頼ポリシーとサービスプリンシパルの詳細については、「CodeCatalyst 信頼モデルについて」を参照してください。

CodeCatalyst で、スペース管理者ロールでサインインし、スペースにアカウント (および該当する場合はロール) を追加する手順を完了する必要があります。

次のいずれかの方法で、アカウント接続にロールを追加できます。

CodeCatalystWorkflowDevelopmentRole-spaceName ロール

IAM でデベロッパーロールを 1-Click ロールとして作成します。アカウントを追加するスペースでのスペース管理者ロールまたはパワーユーザーロールが必要です。また、追加する AWS アカウントには管理アクセス許可が必要です。

以下の手順を開始する前に、CodeCatalyst スペースに追加するのと同じアカウントで AWS Management Consoleにログインする必要があります。そうしない場合、コンソールで不明なアカウントエラーが返されます。

CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName を作成して追加するには
  1. CodeCatalyst コンソールで操作を開始する前に、AWS Management Consoleを開き、スペースと同じ AWS アカウントでログインしていることを確認します。

  2. https://codecatalyst.aws/ で CodeCatalyst コンソールを開きます。

  3. CodeCatalyst スペースに移動します。[設定][AWS アカウント] の順に選択します。

  4. ロールを作成する AWS アカウントのリンクを選択します。[AWS アカウントの詳細] ページが表示されます。

  5. [AWS Management Consoleからロールを管理] を選択します。

    AWS Management Consoleで [Amazon CodeCatalyst スペースに IAM ロールを追加] ページが開きます。これは [Amazon CodeCatalyst スペース] ページです。ページにアクセスするには、ログインが必要な場合があります。

  6. [IAM で CodeCatalyst 開発管理者ロールを作成] を選択します。このオプションでは、開発ロールのための許可ポリシーと信頼ポリシーを含むサービスロールを作成します。ロールには CodeCatalystWorkflowDevelopmentRole-spaceName という名前が付けられます。ロールとロールポリシーの詳細については、「CodeCatalystWorkflowDevelopmentRole-spaceName サービスロールについて」を参照してください。

    注記

    このロールはデベロッパーアカウントで使用し、AdministratorAccess AWS マネージドポリシーを使用することが推奨されます。これにより、この AWS アカウントで新しいポリシーとリソースを作成するためのフルアクセスが付与されます。

  7. [開発ロールを作成] を選択します。

  8. [接続] ページの [CodeCatalyst で使用できる IAM ロール] で、アカウントに追加された IAM ロールの一覧に CodeCatalystWorkflowDevelopmentRole-spaceName ロールが表示されます。

  9. スペースに戻るには、[Amazon CodeCatalyst に移動] を選択します。

AWSRoleForCodeCatalystSupport ロール

IAM でサポートロールを 1-Click ロールとして作成します。アカウントを追加するスペースでのスペース管理者ロールまたはパワーユーザーロールが必要です。また、追加する AWS アカウントには管理アクセス許可が必要です。

以下の手順を開始する前に、CodeCatalyst スペースに追加するのと同じアカウントで AWS Management Consoleにログインする必要があります。そうしない場合、コンソールで不明なアカウントエラーが返されます。

CodeCatalyst AWSRoleForCodeCatalystSupport を作成して追加するには
  1. CodeCatalyst コンソールで操作を開始する前に、AWS Management Consoleを開き、スペースと同じ AWS アカウントでログインしていることを確認します。

  2. CodeCatalyst スペースに移動します。[設定][AWS アカウント] の順に選択します。

  3. ロールを作成する AWS アカウントのリンクを選択します。[AWS アカウントの詳細] ページが表示されます。

  4. [AWS Management Consoleからロールを管理] を選択します。

    AWS Management Consoleで [Amazon CodeCatalyst スペースに IAM ロールを追加] ページが開きます。これは [Amazon CodeCatalyst スペース] ページです。ページにアクセスするには、サインインが必要な場合があります。

  5. [CodeCatalyst スペースの詳細] で、[CodeCatalyst サポートロールの追加] を選択します。このオプションでは、プレビュー開発ロールのための許可ポリシーと信頼ポリシーを含むサービスロールを作成します。ロールには、一意の識別子が付加された AWSRoleForCodeCatalystSupport という名前が付けられます。ロールとロールポリシーの詳細については、「AWSRoleForCodeCatalystSupport サービスロールについて」を参照してください。

  6. [CodeCatalyst サポートのロールを追加] ページで、デフォルトを選択したままにし、[ロールを作成] を選択します。

  7. [CodeCatalyst で使用できる IAM ロール] で、アカウントに追加された IAM ロールの一覧に CodeCatalystWorkflowDevelopmentRole-spaceName ロールが表示されます。

  8. スペースに戻るには、[Amazon CodeCatalyst に移動] を選択します。

IAM ロールの作成と CodeCatalyst 信頼ポリシーの使用

CodeCatalyst の AWS アカウント接続で使用する IAM ロールは、ここで提供されている信頼ポリシーを使用するように設定する必要があります。以下の手順で IAM ロールを作成し、CodeCatalyst のブループリントを元にプロジェクトを作成するためのポリシーをアタッチします。

または、CodeCatalystWorkflowDevelopmentRole-spaceName ロールのための許可ポリシーと信頼ポリシーを含むサービスロールを作成することもできます。詳細については、「IAM ロールをアカウント接続に追加する」を参照してください。

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [ロール]、[ロールの作成] の順に選択します。

  3. [カスタム信頼ポリシー] を選択します。

  4. [カスタム信頼ポリシー] フォーム内に、次の信頼ポリシーを貼り付けます。

    "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
  5. [次へ] を選択します。

  6. [許可を追加] で、IAM で作成したカスタムポリシーを検索して選択します。

  7. [次へ] を選択します。

  8. [ロール名] に、codecatalyst-project-role などのロール名を入力します。

  9. [ロールの作成] を選択します。

  10. Amazon リソースネーム (ARN) ロールをコピーします。アカウント接続または環境にロールを追加するときは、この情報を提供する必要があります。