接続されたアカウントに対する IAM ロールの設定
CodeCatalyst に追加するアカウントのロールを AWS Identity and Access Management (IAM) で作成します。請求アカウントを追加する場合、ロールを作成する必要はありません。
AWS アカウントで、スペースに追加する AWS アカウントに対してロールを作成するためのアクセス許可が必要です。IAM リファレンスやポリシーの例など、IAM ロールとポリシーの詳細については、「Identity and Access Management と Amazon CodeCatalyst」を参照してください。CodeCatalyst で使用される信頼ポリシーとサービスプリンシパルの詳細については、「CodeCatalyst 信頼モデルについて」を参照してください。
CodeCatalyst で、スペース管理者ロールでサインインし、スペースにアカウント (および該当する場合はロール) を追加する手順を完了する必要があります。
次のいずれかの方法で、アカウント接続にロールを追加できます。
-
CodeCatalystWorkflowDevelopmentRole-
spaceName
ロールのための許可ポリシーと信頼ポリシーを含むサービスロールを作成するには、「CodeCatalystWorkflowDevelopmentRole-spaceName ロール」を参照してください。 -
ロールを作成し、ブループリントを元にプロジェクトを作成するためのポリシーを追加する例については、「IAM ロールの作成と CodeCatalyst 信頼ポリシーの使用」を参照してください。
-
IAM ロールの作成時に使用するロールポリシーのサンプルのリストについては、「IAM ロールを持つプロジェクト AWS リソースへのアクセスを許可する」を参照してください。
-
ワークフローアクション用のロールを作成するための詳細な手順については、以下のとおり、該当アクションに関するワークフローのチュートリアルを参照してください。
トピック
CodeCatalystWorkflowDevelopmentRole-spaceName
ロール
IAM でデベロッパーロールを 1-Click ロールとして作成します。アカウントを追加するスペースでのスペース管理者ロールまたはパワーユーザーロールが必要です。また、追加する AWS アカウントには管理アクセス許可が必要です。
以下の手順を開始する前に、CodeCatalyst スペースに追加するのと同じアカウントで AWS Management Consoleにログインする必要があります。そうしない場合、コンソールで不明なアカウントエラーが返されます。
CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName
を作成して追加するには
-
CodeCatalyst コンソールで操作を開始する前に、AWS Management Consoleを開き、スペースと同じ AWS アカウントでログインしていることを確認します。
https://codecatalyst.aws/
で CodeCatalyst コンソールを開きます。 -
CodeCatalyst スペースに移動します。[設定]、[AWS アカウント] の順に選択します。
-
ロールを作成する AWS アカウントのリンクを選択します。[AWS アカウントの詳細] ページが表示されます。
-
[AWS Management Consoleからロールを管理] を選択します。
AWS Management Consoleで [Amazon CodeCatalyst スペースに IAM ロールを追加] ページが開きます。これは [Amazon CodeCatalyst スペース] ページです。ページにアクセスするには、ログインが必要な場合があります。
-
[IAM で CodeCatalyst 開発管理者ロールを作成] を選択します。このオプションでは、開発ロールのための許可ポリシーと信頼ポリシーを含むサービスロールを作成します。ロールには
CodeCatalystWorkflowDevelopmentRole-
という名前が付けられます。ロールとロールポリシーの詳細については、「CodeCatalystWorkflowDevelopmentRole-spaceName サービスロールについて」を参照してください。spaceName
注記
このロールはデベロッパーアカウントで使用し、
AdministratorAccess
AWS マネージドポリシーを使用することが推奨されます。これにより、この AWS アカウントで新しいポリシーとリソースを作成するためのフルアクセスが付与されます。 -
[開発ロールを作成] を選択します。
-
[接続] ページの [CodeCatalyst で使用できる IAM ロール] で、アカウントに追加された IAM ロールの一覧に
CodeCatalystWorkflowDevelopmentRole-
ロールが表示されます。spaceName
-
スペースに戻るには、[Amazon CodeCatalyst に移動] を選択します。
AWSRoleForCodeCatalystSupport ロール
IAM でサポートロールを 1-Click ロールとして作成します。アカウントを追加するスペースでのスペース管理者ロールまたはパワーユーザーロールが必要です。また、追加する AWS アカウントには管理アクセス許可が必要です。
以下の手順を開始する前に、CodeCatalyst スペースに追加するのと同じアカウントで AWS Management Consoleにログインする必要があります。そうしない場合、コンソールで不明なアカウントエラーが返されます。
CodeCatalyst AWSRoleForCodeCatalystSupport を作成して追加するには
-
CodeCatalyst コンソールで操作を開始する前に、AWS Management Consoleを開き、スペースと同じ AWS アカウントでログインしていることを確認します。
-
CodeCatalyst スペースに移動します。[設定]、[AWS アカウント] の順に選択します。
-
ロールを作成する AWS アカウントのリンクを選択します。[AWS アカウントの詳細] ページが表示されます。
-
[AWS Management Consoleからロールを管理] を選択します。
AWS Management Consoleで [Amazon CodeCatalyst スペースに IAM ロールを追加] ページが開きます。これは [Amazon CodeCatalyst スペース] ページです。ページにアクセスするには、サインインが必要な場合があります。
-
[CodeCatalyst スペースの詳細] で、[CodeCatalyst サポートロールの追加] を選択します。このオプションでは、プレビュー開発ロールのための許可ポリシーと信頼ポリシーを含むサービスロールを作成します。ロールには、一意の識別子が付加された AWSRoleForCodeCatalystSupport という名前が付けられます。ロールとロールポリシーの詳細については、「AWSRoleForCodeCatalystSupport サービスロールについて」を参照してください。
-
[CodeCatalyst サポートのロールを追加] ページで、デフォルトを選択したままにし、[ロールを作成] を選択します。
-
[CodeCatalyst で使用できる IAM ロール] で、アカウントに追加された IAM ロールの一覧に
CodeCatalystWorkflowDevelopmentRole-
ロールが表示されます。spaceName
-
スペースに戻るには、[Amazon CodeCatalyst に移動] を選択します。
IAM ロールの作成と CodeCatalyst 信頼ポリシーの使用
CodeCatalyst の AWS アカウント接続で使用する IAM ロールは、ここで提供されている信頼ポリシーを使用するように設定する必要があります。以下の手順で IAM ロールを作成し、CodeCatalyst のブループリントを元にプロジェクトを作成するためのポリシーをアタッチします。
または、CodeCatalystWorkflowDevelopmentRole-
ロールのための許可ポリシーと信頼ポリシーを含むサービスロールを作成することもできます。詳細については、「IAM ロールをアカウント接続に追加する」を参照してください。spaceName
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
[ロール]、[ロールの作成] の順に選択します。
-
[カスタム信頼ポリシー] を選択します。
-
[カスタム信頼ポリシー] フォーム内に、次の信頼ポリシーを貼り付けます。
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
-
[次へ] を選択します。
-
[許可を追加] で、IAM で作成したカスタムポリシーを検索して選択します。
-
[次へ] を選択します。
-
[ロール名] に、
codecatalyst-project-role
などのロール名を入力します。 -
[ロールの作成] を選択します。
-
Amazon リソースネーム (ARN) ロールをコピーします。アカウント接続または環境にロールを追加するときは、この情報を提供する必要があります。