翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のアクセス許可と例 AWS CodeConnections
以下のポリシーステートメントと例は、 AWS CodeConnectionsの管理に役立ちます。
これらのサンプル IAM ポリシードキュメントを使用して JSON アイデンティティベースのポリシーを作成する方法については、「Word IAMユーザーガイド」のJSON タブでのポリシーの作成」を参照してください。
例: CLI AWS CodeConnections で を作成し、コンソールで表示するためのポリシー
AWS CLI または SDK を使用して接続を表示、作成、タグ付け、または削除するように指定されたロールまたはユーザーには、以下に限定されるアクセス許可が必要です。
注記
次のアクセス許可のみでは、コンソールでの接続を完了することはできません。次のセクションでアクセス許可を追加する必要があります。
コンソールを使用して、使用可能な接続の一覧を表示し、タグを表示し、接続を使用するには、次のポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConnectionsFullAccess", "Effect": "Allow", "Action": [ "codeconnections:CreateConnection", "codeconnections:DeleteConnection", "codeconnections:UseConnection", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:TagResource", "codeconnections:ListTagsForResource", "codeconnections:UntagResource" ], "Resource": "*" } ] }
例: コンソール AWS CodeConnections で を作成するためのポリシー
コンソールで接続を管理するように指定されたロールまたはユーザーは、コンソールで接続を完了し、インストールを作成するために必要なアクセス許可を持っている必要があります。これには、プロバイダーへのハンドシェイクの許可と、使用する接続用のインストールの作成が含まれます。UseConnection もまたコンソールで接続を使用するために追加する必要があります。コンソールで接続を表示、使用、作成、タグ付け、または削除するには、次のポリシーを使用します。
注記
2024 年 7 月 1 日以降、コンソールはリソース ARN codeconnectionsで との接続を作成します。両方のサービスプレフィックスを持つリソースは、コンソールに引き続き表示されます。
注記
コンソールを使用して作成されたリソースの場合、次の例に示すように、ポリシーステートメントアクションにサービスプレフィックスcodestar-connectionsとして を含める必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codestar-connections:CreateConnection", "codestar-connections:DeleteConnection", "codestar-connections:GetConnection", "codestar-connections:ListConnections", "codestar-connections:GetInstallationUrl", "codestar-connections:GetIndividualAccessToken", "codestar-connections:ListInstallationTargets", "codestar-connections:StartOAuthHandshake", "codestar-connections:UpdateConnectionInstallation", "codestar-connections:UseConnection", "codestar-connections:TagResource", "codestar-connections:ListTagsForResource", "codestar-connections:UntagResource" ], "Resource": [ "*" ] } ] }
例: を管理するための管理者レベルのポリシー AWS CodeConnections
この例では、 AWS アカウント内の IAM ユーザーに CodeConnections へのフルアクセスを付与して、ユーザーが接続を追加、更新、削除できるようにします。これは、AWSCodePipeline_FullAccess マネージドポリシーに相当するフルアクセスポリシーです。その管理ポリシーと同様に、この種のポリシーステートメントは、 AWS アカウント間の接続への完全な管理アクセスを必要とする IAM ユーザー、グループ、またはロールにのみアタッチする必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConnectionsFullAccess", "Effect": "Allow", "Action": [ "codeconnections:CreateConnection", "codeconnections:DeleteConnection", "codeconnections:UseConnection", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListInstallationTargets", "codeconnections:GetInstallationUrl", "codeconnections:StartOAuthHandshake", "codeconnections:UpdateConnectionInstallation", "codeconnections:GetIndividualAccessToken", "codeconnections:TagResource", "codeconnections:ListTagsForResource", "codeconnections:UntagResource" ], "Resource": "*" } ] }
例: を使用するためのコントリビューターレベルのポリシー AWS CodeConnections
この例では、接続の詳細の作成や表示など CodeConnections day-to-day の使用状況へのアクセスを許可しますが、接続の削除など、より破壊的なアクションには許可しません。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCodeConnectionsPowerUserAccess", "Effect": "Allow", "Action": [ "codeconnections:CreateConnection", "codeconnections:UseConnection", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListInstallationTargets", "codeconnections:GetInstallationUrl", "codeconnections:GetIndividualAccessToken", "codeconnections:StartOAuthHandshake", "codeconnections:UpdateConnectionInstallation", "codeconnections:ListTagsForResource" ], "Resource": "*" } ] }
例: を使用する A read-only-level ポリシー AWS CodeConnections
この例では、アカウントの IAM ユーザーに、 AWS アカウントの接続への読み取り専用アクセスを付与します。この例は、これらの項目の表示を許可するポリシーの作成方法を示しています。
{ "Version": "2012-10-17", "Id": "Connections__ReadOnly", "Statement": [ { "Sid": "Reads_API_Access", "Effect": "Allow", "Action": [ "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListInstallationTargets", "codeconnections:GetInstallationUrl", "codeconnections:ListTagsForResource" ], "Resource": "*" } ] }
例: 指定されたリポジトリ AWS CodeConnections で を使用するためのスコープダウンポリシー
次の例では、お客様は CodeBuild サービスロールが指定された Bitbucket リポジトリにアクセスすることを希望しています。 CodeBuild サービスロールのポリシー:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "codeconnections:UseConnection" ], "Resource": "arn:aws:codeconnections:us-west-2:connection:3dee99b9-172f-4ebe-a257-722365a39557", "Condition": {"ForAllValues:StringEquals": {"codeconnections:FullRepositoryId": "myrepoowner/myreponame"}} } }
例: CodePipeline との接続を使用するポリシー
次の例では、管理者はユーザーに CodePipeline との接続の使用を求めます。 ユーザーにアタッチされたポリシー:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "codeconnections:PassConnection" ], "Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f", "Condition": {"ForAllValues:StringEquals": {"codeconnections:PassedToService": "codepipeline.amazonaws.com"}} } }
例: で Bitbucket 読み取りオペレーションに a CodeBuild サービスロールを使用する AWS CodeConnections
次の例では、お客様は、リポジトリに関係なく CodeBuild サービスロールが Bitbucket で読み取りオペレーションを実行したいと考えています。 CodeBuild サービスロールのポリシー:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "codeconnections:UseConnection" ], "Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f", "Condition": {"ForAllValues:StringEquals": {"codeconnections:ProviderPermissionsRequired": "read_only"}} } }
例: CodeBuild Word サービスロールがオペレーションを実行できないようにする AWS CodeConnections
次の例では、お客様は CodeBuild サービスロールが のようなオペレーションを実行できないようにしたいと考えていますCreateRepository。 CodeBuild サービスロールのポリシー:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "codeconnections:UseConnection" ], "Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f", "Condition": {"ForAllValues:StringNotEquals": {"codeconnections:ProviderAction": "CreateRepository"}} } }
