翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSCodeStar Notifications と AWSCodeConnections の Identity and Access Management
AWS Identity and Access Management(IAM) は、管理者が AWSリソースへのアクセスを安全に制御AWS のサービスするのに役立つ です。IAM 管理者は、誰を認証 (サインイン) し、誰に AWSCodeStar Notifications および AWSCodeConnections リソースの使用を許可する (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービスです。
注記
新しいサービスプレフィックスで作成されたリソースのアクションcodeconnectionsを使用できます。新しいサービスプレフィックスでリソースを作成すると、リソース ARN codeconnectionsで が使用されます。codestar-connections サービスプレフィックスのアクションとリソースは引き続き使用できます。IAM ポリシーでリソースを指定する場合、サービスプレフィックスはリソースのプレフィックスと一致する必要があります。
オーディエンス
AWS Identity and Access Management(IAM) の使用方法は、ロールによって異なります。
-
サービスユーザー - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「AWSCodeStar Notifications と AWSCodeConnections のアイデンティティとアクセスのトラブルシューティング」を参照)。
-
サービス管理者 - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「デベロッパーツールコンソールの機能と IAM との連携方法」を参照)
-
IAM 管理者 - アクセスを管理するためのポリシーを作成します (「アイデンティティベースのポリシーの例」を参照)
アイデンティティを使用した認証
認証とは、ID 認証情報AWSを使用して にサインインする方法です。、IAM ユーザーAWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター(IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「AWS サインイン ユーザーガイド」の「AWS アカウントにサインインする方法」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWSを提供してリクエストを暗号化して署名します。詳細については、「IAM ユーザーガイド」の「API リクエストに対する AWS 署名バージョン 4」を参照してください。
AWS アカウントのルートユーザー
を作成するときはAWS アカウント、まず、すべての AWS のサービスおよび リソースへの完全なアクセス権を持つ AWS アカウントroot ユーザーと呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「IAM ユーザーガイド」の「ルートユーザー認証情報が必要なタスク」を参照してください。
IAM ユーザーとグループ
IAM ユーザーは、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、IAM ユーザーガイドの「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間AWSのユーザーに要求する」を参照してください。
IAM グループは、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「IAM ユーザーガイド」の「IAM ユーザーに関するユースケース」を参照してください。
IAM ロール
IAM ロールは、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロールを引き受けることができます。AWS CLIAWS詳細については、「IAM ユーザーガイド」の「ロールを引き受けるための各種方法」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、IAM ユーザーガイド の IAM でのクロスアカウントリソースアクセス を参照してください。
ポリシーを使用したアクセスの管理
でアクセスを制御するAWSには、ポリシーを作成し、ID AWSまたはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられている場合のアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシーAWSを評価します。ほとんどのポリシーは JSON ドキュメントAWSとして に保存されます。JSON ポリシードキュメントの詳細については、「IAM ユーザーガイド」の「JSON ポリシー概要」を参照してください。
管理者は、ポリシーを使用して、どのプリンシパルがどのリソースに対して、どのような条件でアクションを実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、IAM ユーザーガイド の カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する を参照してください。
アイデンティティベースのポリシーは、インラインポリシー (単一の ID に直接埋め込む) または管理ポリシー (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「IAM ユーザーガイド」の「管理ポリシーとインラインポリシーのいずれかを選択する」を参照してください。
AWSCodeConnections アクセス許可リファレンス
次の表に、各AWSCodeConnections API オペレーション、アクセス許可を付与できる対応するアクション、およびアクセス許可を付与するために使用するリソース ARN の形式を示します。AWSCodeConnections APIsは、その API で許可されるアクションの範囲に基づいてテーブルにグループ化されます。IAM アイデンティティ (アイデンティティベースのポリシー) にアタッチできるアクセス許可ポリシーを作成する際、参照してください。
アクセス許可ポリシーを作成するときに、ポリシーの Action フィールドでアクションを指定します。ポリシーの Resource フィールドで、ワイルドカード文字 (*) を使用して、または使用せずに、ARN としてリソース値を指定します。
接続ポリシーで条件を示すには、ここで説明され、条件キー に一覧表示されている条件キーを使用します。AWS全体の条件キーを使用することもできます。AWS全体のキーの完全なリストについては、IAM ユーザーガイドの「使用可能なキー」を参照してください。
アクションを指定するには、API オペレーション名 (例えば、codeconnections や codeconnections:ListConnections) の前に codeconnections:CreateConnection プレフィックスを使用します。
ワイルドカードの使用
複数のアクションまたはリソースを指定するには、ARN でワイルドカード文字 (*) を使用します。たとえば、 codeconnections:*は allAWSCodeConnections アクションを指定し、 という単語で始まる allAWSCodeConnections アクションcodeconnections:Get*を指定しますGet。次の例では、MyConnection で始まる名前のすべてのリソースへのアクセスを許可します。
arn:aws:codeconnections:us-west-2:account-ID:connection/*
次のテーブルに示されている 接続リソースでのみワイルドカードを使用できます。ワイルドカードを region または account-id リソースで使用することはできません。ワイルドカードの詳細については、IAM ユーザーガイドの IAM ID を参照してください。
トピック
接続を管理するアクセス許可
AWS CLIまたは SDK を使用して接続を表示、作成、または削除するように指定されたロールまたはユーザーには、以下に制限されたアクセス許可が必要です。
注記
次のアクセス許可のみでは、コンソールでの接続を完了または使用することはできません。接続を完了するためのアクセス許可 でアクセス許可を追加する必要があります。
codeconnections:CreateConnection codeconnections:DeleteConnection codeconnections:GetConnection codeconnections:ListConnections
スクロールバーを使用して、テーブルの残りの部分を確認します。
| AWSCodeConnections アクション | 必要な許可 | リソース |
|---|---|---|
|
CreateConnection |
CLI またはコンソールを使用して接続を作成するために必要です。 |
arn:aws:codeconnections: |
|
DeleteConnection |
CLI またはコンソールを使用して接続を削除するために必要です。 |
arn:aws:codeconnections: |
|
GetConnection |
CLI またはコンソールを使用して接続の詳細を表示するために必要です。 |
arn:aws:codeconnections: |
|
ListConnections |
CLI またはコンソールを使用してアカウント内のすべての接続を一覧表示するために必要です。 |
arn:aws:codeconnections: |
これらのオペレーションでは、次の条件キーがサポートされます。
| アクション | 条件キー |
|---|---|
|
|
|
codeconnections:DeleteConnection |
該当なし |
codeconnections:GetConnection |
該当なし |
codeconnections:ListConnections |
codeconnections:ProviderTypeFilter |
ホストを管理するためのアクセス許可
AWS CLIまたは SDK を使用してホストを表示、作成、または削除するように指定されたロールまたはユーザーには、以下に制限されたアクセス許可が必要です。
注記
次のアクセス許可のみでは、ホストでの接続を完了または使用することはできません。ホスト設定のアクセス許可 でアクセス許可を追加する必要があります。
codeconnections:CreateHost codeconnections:DeleteHost codeconnections:GetHost codeconnections:ListHosts
スクロールバーを使用して、テーブルの残りの部分を確認します。
| AWSCodeConnections アクション | 必要な許可 | リソース |
|---|---|---|
|
CreateHost |
CLI またはコンソールを使用してホストを作成するために必要です。 |
arn:aws:codeconnections: |
|
DeleteHost |
CLI またはコンソールを使用してホストを削除するために必要です。 |
codeconnections: |
|
GetHost |
CLI またはコンソールを使用してホストの詳細を表示するために必要です。 |
arn:aws:codeconnections: |
|
ListHosts |
CLI またはコンソールを使用してアカウント内のすべてのホストを一覧表示するために必要です。 |
arn:aws:codeconnections: |
これらのオペレーションでは、次の条件キーがサポートされます。
| アクション | 条件キー |
|---|---|
|
|
|
codeconnections:DeleteHost |
該当なし |
codeconnections:GetHost |
該当なし |
codeconnections:ListHosts |
codeconnections:ProviderTypeFilter |
VpcId 条件キーを使用するポリシーの例については、「」を参照してください例: VpcId コンテキストキーを使用してホスト VPC アクセス許可を制限する。
接続を完了するためのアクセス許可
コンソールで接続を管理するように指定されたロールまたはユーザーは、コンソールで接続を完了し、インストールを作成するために必要なアクセス許可を持っている必要があります。これには、プロバイダーへのハンドシェイクの許可と、使用する接続用のインストールの作成が含まれます。上記のアクセス許可に加えて、次のアクセス許可を使用します。
ブラウザベースのハンドシェイクを実行する際に、コンソールは、次の IAM オペレーションを使用します。ListInstallationTargets、GetInstallationUrl、StartOAuthHandshake、UpdateConnectionInstallation、GetIndividualAccessToken は IAM ポリシーアクセス許可です。API アクションではありません。
codeconnections:GetIndividualAccessToken codeconnections:GetInstallationUrl codeconnections:ListInstallationTargets codeconnections:StartOAuthHandshake codeconnections:UpdateConnectionInstallation
これに基づいて、コンソールで接続を使用、作成、更新、または削除するには、次のアクセス許可が必要です。
codeconnections:CreateConnection codeconnections:DeleteConnection codeconnections:GetConnection codeconnections:ListConnections codeconnections:UseConnection codeconnections:ListInstallationTargets codeconnections:GetInstallationUrl codeconnections:StartOAuthHandshake codeconnections:UpdateConnectionInstallation codeconnections:GetIndividualAccessToken
スクロールバーを使用して、テーブルの残りの部分を確認します。
| AWSCodeConnections アクション | 必要な許可 | リソース |
|---|---|---|
|
|
コンソールを使用接続を完了するために必要です。これは単なる IAM ポリシーのアクセス許可であり、API アクションではありません。 |
arn:aws:codeconnections: |
|
|
コンソールを使用して接続を完了するために必要です。これは単なる IAM ポリシーのアクセス許可であり、API アクションではありません。 |
arn:aws:codeconnections: |
|
|
コンソールを使用して接続を完了するために必要です。これは単なる IAM ポリシーのアクセス許可であり、API アクションではありません。 |
arn:aws:codeconnections: |
|
|
コンソールを使用して接続を完了するために必要です。これは単なる IAM ポリシーのアクセス許可であり、API アクションではありません。 |
arn:aws:codeconnections: |
|
|
コンソールを使用して接続を完了するために必要です。これは単なる IAM ポリシーのアクセス許可であり、API アクションではありません。 |
arn:aws:codeconnections: |
これらのオペレーションでは、次の条件キーがサポートされます。
| アクション | 条件キー |
|---|---|
codeconnections:GetIndividualAccessToken |
codeconnections:ProviderType |
codeconnections:GetInstallationUrl |
codeconnections:ProviderType |
|
|
該当なし |
codeconnections:StartOAuthHandshake |
codeconnections:ProviderType |
codeconnections:UpdateConnectionInstallation |
codeconnections:InstallationId |
ホスト設定のアクセス許可
コンソールで接続を管理するように指定されたロールまたはユーザーは、コンソールでホストをセットアップするために必要なアクセス許可が必要です。これには、プロバイダーへのハンドシェイクの許可とホストアプリのインストールが含まれます。上記のホストのアクセス許可に加えて、次のアクセス許可を使用します。
ブラウザベースのホスト登録を実行するときに、次の IAM オペレーションがコンソールで使用されます。RegisterAppCode および StartAppRegistrationHandshake は IAM ポリシーのアクセス許可です。API アクションではありません。
codeconnections:RegisterAppCode codeconnections:StartAppRegistrationHandshake
これに基づき、以下のアクセス許可を使用して、コンソールでホストを必要とする接続 (インストール済プロバイダータイプなど) を使用、作成、更新、または削除します。
codeconnections:CreateConnection codeconnections:DeleteConnection codeconnections:GetConnection codeconnections:ListConnections codeconnections:UseConnection codeconnections:ListInstallationTargets codeconnections:GetInstallationUrl codeconnections:StartOAuthHandshake codeconnections:UpdateConnectionInstallation codeconnections:GetIndividualAccessToken codeconnections:RegisterAppCode codeconnections:StartAppRegistrationHandshake
スクロールバーを使用して、テーブルの残りの部分を確認します。
| 接続アクション | 必要な許可 | リソース |
|---|---|---|
|
|
コンソールを使用してホストのセットアップを完了するために必要です。これは単なる IAM ポリシーのアクセス許可であり、API アクションではありません。 |
arn:aws:codeconnections: |
|
|
コンソールを使用してホストのセットアップを完了するために必要です。これは単なる IAM ポリシーのアクセス許可であり、API アクションではありません。 |
arn:aws:codeconnections: |
これらのオペレーションでは、次の条件キーがサポートされます。
サービスに接続を渡す
サービスに接続を渡す際 (例えば、パイプラインを作成または更新するためにパイプライン定義で接続 ARN が提供されるなど)、ユーザーには codeconnections:PassConnection のアクセス許可が必要です。
スクロールバーを使用して、テーブルの残りの部分を確認します。
| AWSCodeConnections アクション | 必要な許可 | リソース |
|---|---|---|
|
|
サービスに接続を渡すために必要です。 |
arn:aws:codeconnections: |
このオペレーションでは、次の条件キーもサポートされます。
-
codeconnections:PassedToService
| キー | 有効なアクションプロバイダー |
|---|---|
|
|
|
接続の使用
CodePipeline のようなサービスが接続を使用する場合、サービスロールは特定の接続に対する codeconnections:UseConnection のアクセス許可を持っている必要があります。
コンソールで接続を管理するには、ユーザーポリシーに codeconnections:UseConnection アクセス許可が必要です。
スクロールバーを使用して、テーブルの残りの部分を確認します。
| AWSCodeConnections アクション | 必要な許可 | リソース |
|---|---|---|
|
|
接続を使用するために必要です。 |
arn:aws:codeconnections: |
このオペレーションでは、次の条件キーもサポートされます。
-
codeconnections:BranchName -
codeconnections:FullRepositoryId -
codeconnections:OwnerId -
codeconnections:ProviderAction -
codeconnections:ProviderPermissionsRequired -
codeconnections:RepositoryName
| キー | 有効なアクションプロバイダー |
|---|---|
|
|
ユーザー名とリポジトリ名 ( |
|
|
read_only または read_write |
|
|
詳細については、次のセクションをご覧ください。 |
一部の機能に必要な条件キーは、時間の経過とともに変化する可能性があります。アクセスコントロールの要件で、異なるアクセス許可が必要でない限り、codeconnections:UseConnection を使用して接続へのアクセスを制御することをお勧めします。
ProviderAction でサポートされるアクセスタイプ
AWSサービスで接続を使用すると、ソースコードプロバイダーに対して API コールが行われます。例えば、https://api.bitbucket.org/2.0/repositories/ API をコールすることによって、サービスは、Bitbucket 接続のリポジトリを一覧表示できます。username
ProviderAction 条件キーを使用すると、プロバイダのどの API をコールすることができるかを制限できます。API パスは動的に生成される場合があり、パスはプロバイダーによって異なるため、ProviderAction 値は API の URL ではなく抽象アクション名にマッピングされます。これにより、接続のプロバイダーの種類に関係なく、同じ効果を持つポリシーを書くことができます。
サポートされている各 ProviderAction 値に対して許可されるアクセスタイプは次のとおりです。以下は IAM ポリシーアクセス許可です。API アクションではありません。
スクロールバーを使用して、テーブルの残りの部分を確認します。
| AWSCodeConnections アクセス許可 | 必要な許可 | リソース |
|---|---|---|
|
|
リポジトリにブランチを作成するのに必要です。 |
arn:aws:codeconnections: |
|
|
リポジトリのコミットを作成するために必要です。 |
arn:aws:codeconnections: |
|
|
コミットのコミットステータスを作成するために必要です。 |
arn:aws:codeconnections: |
|
|
リポジトリにプルリクエストを作成するのに必要です。 |
arn:aws:codeconnections: |
|
|
プルリクエストにコメントを作成するために必要です。 |
arn:aws:codeconnections: |
|
|
プルリクエスト差分にインラインコメントを作成するために必要です。 |
arn:aws:codeconnections: |
|
|
リポジトリを作成するのに必要です。 |
arn:aws:codeconnections: |
|
|
リポジトリを削除するのに必要です。 |
arn:aws:codeconnections: |
|
|
リファレンスリンクを生成するために必要です。 |
arn:aws:codeconnections: |
|
|
ブランチの最新のコミットなど、ブランチに関する情報にアクセスするために必要です。 |
arn:aws:codeconnections: |
|
|
コミットの詳細を表示するために必要です。 |
arn:aws:codeconnections: |
|
|
コミットの差分を表示するために必要です。 |
arn:aws:codeconnections: |
|
|
リポジトリ内のファイルの内容を表示するために必要です。 |
arn:aws:codeconnections: |
|
|
リポジトリ内のフォルダの内容を表示するために必要です。 |
arn:aws:codeconnections: |
|
|
プルリクエストの詳細を表示するために必要です。 |
arn:aws:codeconnections: |
|
|
リポジトリの詳細を表示するために必要です。 |
arn:aws:codeconnections: |
|
|
|
arn:aws:codeconnections: |
|
|
Git を使用してリポジトリから読み込むために必要です。 |
arn:aws:codeconnections: |
|
|
Git を使用してリポジトリに書き込むために必要です。 |
arn:aws:codeconnections: |
|
|
リポジトリが空かどうかを確認するために必要です。 |
arn:aws:codeconnections: |
|
|
リポジトリブランチのコミットのリストを表示するために必要です。 |
arn:aws:codeconnections: |
|
|
指定したリポジトリに存在するブランチのリストにアクセスするために必要です。 |
arn:aws:codeconnections: |
|
|
コミットのファイルのリストを表示するために必要です。 |
arn:aws:codeconnections: |
|
|
コミットのコミットステータスのリストを表示するために必要です。 |
arn:aws:codeconnections: |
|
|
コミットの差分のリストを表示するために必要です。 |
arn:aws:codeconnections: |
|
|
リポジトリの問題のリストを表示するために必要です。 |
arn:aws:codeconnections: |
|
|
接続がアクセスできる所有者のリストにアクセスするために必要です。 |
arn:aws:codeconnections: |
|
|
プルリクエストのコメントのリストを表示するために必要です。 |
arn:aws:codeconnections: |
|
|
プルリクエストのコミットのリストを表示するために必要です。 |
arn:aws:codeconnections: |
|
|
プルリクエストの差分のリストを表示するために必要です。 |
arn:aws:codeconnections: |
|
|
リポジトリのプルリクエストのリストを表示するために必要です。 |
arn:aws:codeconnections: |
|
|
所有者に属する公開および非公開リポジトリーのリストにアクセスするために必要です。 |
arn:aws:codeconnections: |
|
|
ソースコードを読み取り、Amazon S3 にアップロードするために必要です。 |
arn:aws:codeconnections: |
|
|
プルリクエストを更新するために必要です。 |
arn:aws:codeconnections: |
接続リソースにタグ付けするためにサポートされているアクセス許可
次の IAM オペレーションは、接続リソースをタグ付けするときに使用されます。
codeconnections:ListTagsForResource codeconnections:TagResource codeconnections:UntagResource
スクロールバーを使用して、テーブルの残りの部分を確認します。
| AWSCodeConnections アクション | 必要な許可 | リソース |
|---|---|---|
|
|
接続リソースに関連付けられているタグのリストを表示するために必要です。 |
arn:aws:codeconnections: arn:aws:codeconnections: |
|
|
接続リソースにタグを付けるために必要です。 |
arn:aws:codeconnections: arn:aws:codeconnections: |
|
|
接続リソースからタグを解除するために必要です。 |
arn:aws:codeconnections: arn:aws:codeconnections: |
リポジトリリンクに接続を渡す
同期設定でリポジトリリンクを提供する場合、ユーザーにはリポジトリリンク ARN/リソースに対する codeconnections:PassRepository アクセス許可が必要です。
スクロールバーを使用して、テーブルの残りの部分を確認します。
| AWSCodeConnections アクション | 必要な許可 | リソース |
|---|---|---|
|
|
リポジトリリンクを同期設定に渡すために必要です。 |
arn:aws:codeconnections: |
このオペレーションでは、次の条件キーもサポートされます。
-
codeconnections:PassedToService
| キー | 有効なアクションプロバイダー |
|---|---|
|
|
|
リポジトリリンクでサポートされる条件キー
リポジトリリンクと同期設定リソースの操作は、以下の条件キーでサポートされています。
-
codeconnections:Branchリクエストで渡されたブランチ名でアクセスをフィルタリングします
| キー | 有効値 |
|---|---|
|
|
以下のアクションが、この条件キーに対してサポートされています。
|
接続共有でサポートされているアクセス許可
接続を共有するときは、次の IAM オペレーションが使用されます。
codeconnections:GetResourcePolicy
スクロールバーを使用して、テーブルの残りの部分を確認します。
| AWSCodeConnections アクション | 必要な許可 | リソース |
|---|---|---|
|
|
リソースポリシーに関する情報にアクセスするために必要です。 |
arn:aws:codeconnections: |
接続共有の詳細については、「」を参照してくださいと接続を共有する AWS アカウント。
コンソールでの通知と接続の使用
この通知エクスペリエンスは、CodeBuild、CodeCommit、CodeDeploy、CodePipeline の各コンソールの他、[設定] ナビゲーションバー自体のデベロッパーツールコンソールにも組み込まれています。コンソールで通知にアクセスするには、それらのサービスにいずれかの管理ポリシーを適用するか、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、AWSアカウントの AWSCodeStar Notifications および AWSCodeConnections リソースの詳細を一覧表示および表示できます。最小限必要な許可よりも厳しく制限されたアイデンティティベースポリシーを作成すると、そのポリシーを添付したエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。これらのコンソールへのアクセスの許可AWS CodeBuildAWS CodeCommitAWS CodeDeploy、およびそれらのコンソールへのアクセスの許可の詳細についてはAWS CodePipeline、以下のトピックを参照してください。
-
CodeBuild: CodeBuild のアイデンティティベースのポリシーの使用
-
CodeCommit: CodeCommit のアイデンティティベースのポリシーの使用
-
AWS CodeDeploy: の ID とアクセスの管理AWS CodeDeploy
-
CodePipeline: IAM ポリシーを使用したアクセスコントロール
AWSCodeStar Notifications にはAWS管理ポリシーはありません。通知機能へのアクセスを提供するには、上記のいずれかのサービスに対する管理ポリシーの 1 つを適用するか、ユーザーまたはエンティティに付与するアクセス許可のレベルでポリシーを作成してから、これらのアクセス許可が必要なユーザー、グループ、またはロールにそれらのポリシーをアタッチする必要があります。詳細については、次の例を参照してください。
AWSCodeConnections にはAWS管理ポリシーはありません。接続を完了するためのアクセス許可 で詳しく説明している許可など、アクセスの許可や許可の組み合わせを使用します。
詳細については次を参照してください:
AWS CLIまたは AWSAPI のみを呼び出すユーザーにコンソールのアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
ユーザーが自分の許可を表示できるようにする
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLIまたは AWSAPI を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }