기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Identity 및 Access Management와 Amazon CodeCatalyst

CodeCatalystAmazon에서는 스페이스와 프로젝트에 로그인하고 액세스하기 위해 AWS Builder ID를 생성하고 사용합니다. AWS 빌더 ID는 IAM AWS Identity and Access Management (ID) 이 아니며 IAM 내에 존재하지 않습니다. AWS 계정 CodeCatalyst 하지만 요금 청구를 위해 공간을 확인하고 해당 공간에 리소스를 생성하고 사용하기 위해 연결되면 IAM과 통합됩니다. AWS 계정 AWS 계정

AWS Identity and Access Management (IAM) 은 관리자가 리소스에 대한 액세스를 안전하게 제어할 수 AWS 서비스 있도록 도와줍니다. AWS IAM 관리자는 누가 리소스를 사용하도록 인증되고(로그인됨) 권한이 부여되는지(권한 있음)를 제어합니다. IAM은 추가 AWS 서비스 비용 없이 사용할 수 있습니다.

CodeCatalystAmazon에서 스페이스를 생성할 때는 를 공간 결제 계정으로 연결해야 합니다. AWS 계정 CodeCatalyst 공간을 AWS 계정 확인하려면 에서 관리자 권한이 있거나 권한이 있어야 합니다. 연결된 AWS 계정공간에서 리소스를 생성하고 액세스하는 데 사용할 CodeCatalyst 수 있는 IAM 역할을 추가할 수도 있습니다. 이를 서비스 역할이라고 합니다. 둘 AWS 계정 이상에 대한 연결을 생성하고 해당 계정 CodeCatalyst 각각에 대한 서비스 역할을 생성할 수 있습니다.

IAM의 자격 증명 기반 정책

자격 증명 기반 정책은 자격 증명에 연결할 수 있는 JSON 권한 정책 문서입니다. 해당 ID는 사용자, 사용자 그룹 또는 역할일 수 있습니다. 이러한 정책은 사용자와 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는 지를 제어합니다. 자격 증명 기반 정책을 생성하는 방법을 알아보려면 IAM 사용 설명서의 IAM 정책 생성을 참조하세요.

IAM 자격 증명 기반 정책을 사용하면 허용되거나 거부되는 작업와 리소스뿐 아니라 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. 자격 증명 기반 정책에서는 보안 주체가 연결된 사용자 또는 역할에 적용되므로 보안 주체를 지정할 수 없습니다. JSON 정책에서 사용하는 모든 요소에 대해 알아보려면 IAM 사용 설명서의 IAM JSON 정책 요소 참조를 참조하세요.

CodeCatalyst 자격 증명 기반 정책 예시

CodeCatalyst ID 기반 정책의 예를 보려면 을 참조하십시오. 연결에 대한 ID 기반 정책 예제 CodeCatalyst

IAM에서의 정책 조치

관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 주체가 어떤 리소스, 어떤 조건에서 어떤 작업을 수행할 수 있는지입니다.

JSON 정책의 Action요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 태스크를 설명합니다. 정책 조치는 일반적으로 관련 AWS API 작업과 이름이 같습니다. 일치하는 API 작업이 없는 권한 전용 작업 같은 몇 가지 예외도 있습니다. 정책에서 여러 작업이 필요한 몇 가지 작업도 있습니다. 이러한 추가 작업을 일컬어 종속 작업이라고 합니다.

단일 문에서 여러 작업을 지정하려면 다음과 같이 쉼표로 구분합니다.

"Action": [
      "prefix:action1",
      "prefix:action2"
         ]

IAM의 정책 리소스

관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 주체가 어떤 리소스, 어떤 조건에서 어떤 작업을 수행할 수 있는지입니다.

Resource JSON 정책 요소는 작업이 적용되는 하나 이상의 개체를 지정합니다. 문장에는 Resource또는 NotResource요소가 반드시 추가되어야 합니다. 모범 사례에 따라 Amazon 리소스 이름(ARN)을 사용하여 리소스를 지정합니다. 리소스 수준 권한이라고 하는 특정 리소스 타입을 지원하는 작업에 대해 이 작업을 수행할 수 있습니다.

작업 나열과 같이 리소스 수준 권한을 지원하지 않는 작업의 경우, 와일드카드(*)를 사용하여 해당 문이 모든 리소스에 적용됨을 나타냅니다.

"Resource": "*"

IAM의 정책 조건 키

관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 주체가 어떤 리소스, 어떤 조건에서 어떤 작업을 수행할 수 있는지입니다.

Condition 요소(또는 Condition 블록)를 사용하면 정책이 발효되는 조건을 지정할 수 있습니다. Condition 요소는 옵션입니다. 같거나 작음과 같은 조건 연산자를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다.

한 문에서 여러 Condition요소를 지정하거나 단일 Condition요소에서 여러 키를 지정하는 경우 AWS 는 논리적 AND태스크를 사용하여 평가합니다. 단일 조건 키의 여러 값을 지정하는 경우 AWS 는 논리적 OR태스크를 사용하여 조건을 평가합니다. 명문의 권한을 부여하기 전에 모든 조건을 충족해야 합니다.

조건을 지정할 때 자리 표시자 변수를 사용할 수도 있습니다. 자세한 정보는 IAM 사용 설명서의 IAM 정책 요소: 변수 및 태그를 참조하세요.

AWS 글로벌 조건 키 및 서비스별 조건 키를 지원합니다. 모든 AWS 전역 조건 키를 보려면 IAM 사용 설명서의 AWS 전역 조건 컨텍스트 키를 참조하세요.

연결에 대한 ID 기반 정책 예제 CodeCatalyst

에서 CodeCatalyst, AWS 계정 공간 청구를 관리하고 프로젝트 워크플로의 리소스에 액세스하려면 필요합니다. 계정 연결은 공간 추가를 AWS 계정 승인하는 데 사용됩니다. ID 기반 정책은 커넥티드 환경에서 사용됩니다. AWS 계정

기본적으로 사용자와 역할에는 리소스를 만들거나 수정할 권한이 없습니다. CodeCatalyst 또한 AWS Management Console, AWS Command Line Interface (AWS CLI) 또는 AWS API를 사용하여 작업을 수행할 수 없습니다. IAM 관리자는 리소스에서 작업을 수행할 수 있는 권한을 사용자와 역할에게 부여하는 IAM 정책을 생성해야 합니다. 그런 다음 관리자는 해당 권한이 필요한 사용자에 이러한 정책을 연결해야 합니다.

다음 예제 IAM 정책은 계정 연결과 관련된 작업에 대한 권한을 부여합니다. 이를 사용하여 계정 연결에 대한 액세스를 제한할 수 CodeCatalyst 있습니다.

예 1: 사용자가 한 번에 연결 요청을 수락하도록 허용 AWS 리전

다음 권한 정책은 사용자가 CodeCatalyst 및 사이의 연결 요청을 보고 수락하는 것만 허용합니다 AWS 계정. 또한 정책에서는 us-west-2 지역에서의 작업만 허용하고 다른 지역의 작업은 허용하지 않는 조건을 사용합니다. AWS 리전요청을 보고 승인하려면 사용자는 요청에 지정된 AWS Management Console 계정과 동일한 계정으로 로그인합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:GetPendingConnection"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": "us-west-2"
        }
      }
    }
  ]
}

예 2: 콘솔에서 단일 연결을 관리할 수 있도록 허용 AWS 리전

다음 권한 정책을 통해 사용자는 단일 지역 간 CodeCatalyst 및 지역 AWS 계정 내 연결을 관리할 수 있습니다. 이 정책에서는 us-west-2 지역에서의 작업만 허용하고 다른 지역의 작업은 허용하지 않는 조건을 사용합니다. AWS 리전연결을 생성한 후 에서 옵션을 선택하여 CodeCatalystWorkflowDevelopmentRole-spaceName역할을 생성할 수 있습니다. AWS Management Console예제 정책의 iam:PassRole 작업 조건에는 에 대한 서비스 주체가 포함됩니다. CodeCatalyst 해당 액세스 권한을 가진 역할만 에서 생성됩니다. AWS Management Console

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codecatalyst:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": "us-west-2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "codecatalyst.amazonaws.com",
                        "codecatalyst-runner.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

예 3: 연결 관리 거부

다음 권한 정책은 사용자가 및 사이의 CodeCatalyst 연결을 관리할 수 있는 권한을 거부합니다. AWS 계정

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "codecatalyst:*"
            ],
            "Resource": "*"
        }
    ]
}

CodeCatalyst 권한 참조

이 섹션에서는 연결된 계정 연결 리소스와 함께 사용되는 작업에 대한 AWS 계정 권한 참조를 제공합니다 CodeCatalyst. 다음 섹션에서는 계정 연결과 관련된 권한 전용 작업에 대해 설명합니다.

계정 연결에 필요한 권한

계정 연결 작업에 필요한 권한은 다음과 같습니다.

IAM ID 센터 애플리케이션에 필요한 권한

IAM ID 센터 애플리케이션을 사용하려면 다음 권한이 필요합니다.