기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 개발자 도구 콘솔의 기능에 대한 보안
의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.
보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이를 클라우드*의* 보안과 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는 AWS 클라우드에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 서드 파티 감사원은 정기적으로 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)의 일환으로 보안 효과를 테스트하고 검증합니다. AWS CodeStar Notifications 및 AWS CodeConnections에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 규정 [AWS 준수 프로그램 제공 범위 내 서비스를](https://aws.amazon.com/compliance/services-in-scope/) 참조하세요.
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 귀하는 귀사의 데이터 민감도, 귀사의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
이 설명서는 AWS CodeStar Notifications 및 AWS CodeConnections를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다. 다음 주제에서는 보안 및 규정 준수 목표에 맞게 AWS CodeStar Notifications 및 AWS CodeConnections를 구성하는 방법을 보여줍니다. 또한 AWS CodeStar Notifications 및CodeConnections AWS CodeConnections 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 알아봅니다.
개발자 도구 콘솔의 서비스 보안에 대한 자세한 내용은 다음을 참조하세요.
+ [CodeBuild 보안](https://docs.aws.amazon.com/codebuild/latest/userguide/security.html)
+ [CodeCommit 보안](https://docs.aws.amazon.com/codecommit/latest/userguide/security.html)
+ [CodeDeploy 보안](https://docs.aws.amazon.com/codedeploy/latest/userguide/security.html)
+ [CodePipeline 보안](https://docs.aws.amazon.com/codepipeline/latest/userguide/security.html)
## 알림 콘텐츠 및 보안 이해
알림은 구성한 알림 규칙 대상을 구독한 사용자에게 리소스 관련 정보를 제공합니다. 이 정보에는 리포지토리 콘텐츠, 빌드 상태, 배포 상태 및 파이프라인 실행을 포함한 개발자 도구 리소스 관련 세부 정보가 포함될 수 있습니다.
예를 들어 CodeCommit의 리포지토리에 대한 알림 규칙에 커밋 또는 풀 요청에 관한 설명이 포함되도록 구성할 수 있습니다. 이러한 경우 해당 규칙에 대한 응답으로 발송된 알림에는 이러한 설명에서 참조된 라인 또는 코드 라인이 포함될 수 있습니다. 이와 비슷하게 CodeBuild의 빌드 프로젝트에 대한 알림 규칙은 빌드 상태 및 단계에 대한 성공 또는 실패가 포함되도록 구성할 수 있습니다. 이 규칙에 대한 응답으로 발송된 알림에는 이러한 정보가 포함될 수 있습니다.
CodePipeline의 파이프라인에 대한 알림 규칙은 수동 승인에 관한 정보가 포함되도록 구성할 수 있습니다. 그리고 이 규칙에 대한 응답으로 발송된 알림에는 승인한 사람의 이름이 포함될 수 있습니다. CodeDeploy의 애플리케이션에 대한 알림 규칙은 배포 성공을 나타내도록 구성할 수 있으며 해당 규칙에 대한 응답으로 전송된 알림에는 배포 대상에 대한 정보가 포함될 수 있습니다.
알림에는 빌드 상태, 설명이 있는 코드 줄, 배포 상태 및 파이프라인 승인과 같은 프로젝트별 정보가 포함될 수 있습니다. 프로젝트의 보안을 보장하는 데 도움이 되려면 알림 규칙의 대상과 대상으로 지정된 Amazon SNS 주제의 구독자 목록 모두를 정기적으로 검토해야 합니다. 추가로 이벤트에 대한 응답으로 발송된 알림의 콘텐츠는 기본 서비스에 추가 기능이 추가되면 변경될 수 있습니다. 이러한 변경은 이미 존재하는 규칙 알림에 알리지 않고 발생할 수 있습니다. 알림 메시지의 콘텐츠를 주기적으로 검토하면 어떤 내용이 발송되고 누구에게 발송되는지 이해하는 데 도움이 됩니다.
알림 규칙에 대해 제공되는 이벤트 유형에 대한 자세한 내용은 [알림 관련 개념](concepts.md) 단원을 참조하십시오.
알림에 포함된 세부 정보를 이벤트에 포함된 세부 정보로만 제한하도록 선택할 수 있습니다. 이를 **기본** 세부 정보 유형이라고 합니다. 이러한 이벤트에는 Amazon EventBridge 및 Amazon CloudWatch Events로 전송되는 것과 정확히 일치하는 정보가 포함됩니다.
CodeCommit과 같은 개발자 도구 콘솔 서비스는 알림 메시지에 이벤트에서 사용 가능한 것 이상의 일부 또는 모든 이벤트 유형에 대한 정보를 추가하도록 선택할 수 있습니다. 이 보충 정보는 언제든지 추가하여 현재 이벤트 유형을 개선하거나 향후 이벤트 유형을 보완할 수 있습니다. **전체** 세부 정보 유형을 선택하여 이벤트에 대한 보충 정보를 알림에 포함하도록 선택할 수 있습니다(가능한 경우). 자세한 내용은 [세부 정보 유형](concepts.md#detail-type) 단원을 참조하십시오.
# in AWS CodeStar Notifications 및 AWS CodeConnections의 데이터 보호
AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/) in AWS CodeStar Notifications 및 AWS CodeConnections의 데이터 보호에 적용됩니다. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 인프라에서 호스팅되는 콘텐츠를 관리해야 합니다. 사용하는 AWS 서비스 의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 대한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.
데이터 보호를 위해 자격 증명을 보호하고 AWS 계정 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용하세요.
+ SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ 를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [ CloudTrail 추적 작업을](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) 참조하세요.
+ AWS 암호화 솔루션과 내부의 모든 기본 보안 제어를 사용합니다 AWS 서비스.
+ Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용하세요.
+ 명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [Federal Information Processing Standard(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 콘솔 AWS CLI, API 또는 AWS SDKs를 사용하여 AWS CodeStar Notifications 및 AWS CodeConnections 또는 기타 AWS 서비스 로 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버로 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명 정보를 URL에 포함해서는 안 됩니다.
# AWS CodeStar Notifications 및 AWS CodeConnections에 대한 자격 증명 및 액세스 관리
AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 AWS 서비스 되는 입니다. IAM 관리자는 누가 AWS CodeStar Notifications 및 AWS CodeConnections 리소스를 사용할 수 있는 *인증*(로그인) 및 *권한*(권한 있음)을 받을 수 있는지 제어합니다. IAM은 추가 비용 없이 사용할 수 AWS 서비스 있는 입니다.
**참고**
새 서비스 접두사로 생성된 리소스에 대한 작업을 `codeconnections` 사용할 수 있습니다. 새 서비스 접두사 아래에 리소스를 생성하면 리소스 ARN`codeconnections`에가 사용됩니다. `codestar-connections` 서비스 접두사에 대한 작업 및 리소스는 계속 사용할 수 있습니다. IAM 정책에서 리소스를 지정할 때 서비스 접두사는 리소스의 접두사와 일치해야 합니다.
**Topics**
+ [대상](#security_iam_audience)
+ [ID를 통한 인증](#security_iam_authentication)
+ [정책을 사용하여 액세스 관리](#security_iam_access-manage)
+ [개발자 도구 콘솔의 기능이 IAM에서 작동하는 방식](security_iam_service-with-iam.md)
+ [AWS CodeConnections 권한 참조](#permissions-reference-connections)
+ [ID 기반 정책 예시](security_iam_id-based-policy-examples.md)
+ [태그를 사용하여 AWS CodeConnections 리소스에 대한 액세스 제어](connections-tag-based-access-control.md)
+ [콘솔에서 알림 및 연결 사용](#security_iam_id-based-policy-examples-console)
+ [사용자가 자신이 권한을 볼 수 있도록 허용](#security_iam_id-based-policy-examples-view-own-permissions)
+ [문제 해결 AWS CodeStar 알림 및 AWS CodeConnections 자격 증명 및 액세스](security_iam_troubleshoot.md)
+ [AWS CodeStar Notifications에 서비스 연결 역할 사용](using-service-linked-roles.md)
+ [에 대한 서비스 연결 역할 사용 AWS CodeConnections](service-linked-role-connections.md)
+ [AWS 에 대한 관리형 정책 AWS CodeConnections](security-iam-awsmanpol.md)
## 대상
AWS Identity and Access Management (IAM)를 사용하는 방법은 역할에 따라 다릅니다.
+ **서비스 사용자** - 기능에 액세스할 수 없는 경우 관리자에게 권한 요청(참조[문제 해결 AWS CodeStar 알림 및 AWS CodeConnections 자격 증명 및 액세스](security_iam_troubleshoot.md))
+ **서비스 관리자** - 사용자 액세스 결정 및 권한 요청 제출([개발자 도구 콘솔의 기능이 IAM에서 작동하는 방식](security_iam_service-with-iam.md) 참조)
+ **IAM 관리자** - 액세스를 관리하기 위한 정책 작성([ID 기반 정책 예시](security_iam_id-based-policy-examples.md) 참조)
## ID를 통한 인증
인증은 자격 증명 자격 증명을 AWS 사용하여에 로그인하는 방법입니다. AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할을 수임하여 인증되어야 합니다.
AWS IAM Identity Center (IAM Identity Center), Single Sign-On 인증 또는 Google/Facebook 자격 증명과 같은 자격 증명 소스의 자격 증명을 사용하여 페더레이션 자격 증명으로 로그인할 수 있습니다. 로그인하는 방법에 대한 자세한 내용은 *AWS Sign-In 사용 설명서*의 [AWS 계정에 로그인하는 방법](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 섹션을 참조하세요.
프로그래밍 방식 액세스를 위해는 요청에 암호화 방식으로 서명할 수 있는 SDK 및 CLI를 AWS 제공합니다. 자세한 내용은 *IAM 사용 설명서*의 [API 요청용AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) 섹션을 참조하세요.
### AWS 계정 루트 사용자
를 생성할 때 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 AWS 계정 *theroot 사용자*라는 하나의 로그인 자격 증명으로 AWS 계정시작합니다. 일상적인 태스크에 루트 사용자를 사용하지 않을 것을 강력히 권장합니다. 루트 사용자가 필요한 작업 목록은 *IAM 사용자 설명서*의 [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 참조하세요.
### IAM 사용자 및 그룹
*[IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가진 ID입니다. 장기 자격 증명이 있는 IAM 사용자 대신 임시 자격 증명을 사용하는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 자격 [증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 AWS 사용하여에 액세스하도록 인간 사용자에게 요구](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 섹션을 참조하세요.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)은 IAM 사용자 모음을 지정하고 대규모 사용자 집합에 대한 관리 권한을 더 쉽게 만듭니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 사용자 사용 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) 섹션을 참조하세요.
### IAM 역할
*[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*은 임시 자격 증명을 제공하는 특정 권한이 있는 자격 증명입니다. [사용자에서 IAM 역할(콘솔)로 전환하거나 또는 API 작업을 호출하여 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) 수임할 수 있습니다. AWS CLI AWS 자세한 내용은 *IAM 사용 설명서*의 [역할 수임 방법](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)을 참조하세요.
IAM 역할은 페더레이션 사용자 액세스, 임시 IAM 사용자 권한, 교차 계정 액세스, 교차 서비스 액세스 및 Amazon EC2에서 실행되는 애플리케이션에 유용합니다. 자세한 내용은 *IAM 사용 설명서*의 [교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
## 정책을 사용하여 액세스 관리
정책을 AWS 생성하고 자격 증명 또는 리소스에 연결하여 AWS 에서 액세스를 제어합니다. 정책은 자격 증명 또는 리소스와 연결될 때 권한을 정의합니다.는 보안 주체가 요청할 때 이러한 정책을 AWS 평가합니다. 대부분의 정책은에 JSON 문서 AWS 로 저장됩니다. JSON 정책 문서에 대한 자세한 내용은 *IAM 사용 설명서*의 [JSON 정책 개요](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) 섹션을 참조하세요.
정책을 사용하여 관리자는 어떤 **보안 주체**가 어떤 **리소스**에 대해 어떤 **조건**에서 **작업**을 수행할 수 있는지 정의하여 누가 무엇을 액세스할 수 있는지 지정합니다.
기본적으로 사용자 및 역할에는 어떠한 권한도 없습니다. IAM 관리자는 IAM 정책을 생성하고 사용자가 수임할 수 있는 역할에 추가합니다. IAM 정책은 작업을 수행하기 위해 사용하는 방법과 관계없이 작업에 대한 권한을 정의합니다.
### ID 기반 정책
ID 기반 정책은 ID(사용자, 사용자 그룹 또는 역할)에 연결하는 JSON 권한 정책 문서입니다. 이러한 정책은 자격 증명이 수행할 수 있는 작업, 대상 리소스 및 이에 관한 조건을 제어합니다. ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
ID 기반 정책은 *인라인 정책*(단일 ID에 직접 포함) 또는 *관리형 정책*(여러 ID에 연결된 독립 실행형 정책)일 수 있습니다. 관리형 정책 또는 인라인 정책을 선택하는 방법을 알아보려면 *IAM 사용 설명서*의 [관리형 정책 및 인라인 정책 중에서 선택](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) 섹션을 참조하세요.
# 개발자 도구 콘솔의 기능이 IAM에서 작동하는 방식
IAM을 사용하여 개발자 도구 콘솔의 기능에 대한 액세스를 관리하려면 먼저 어떤 IAM 기능을 사용할 수 있는지를 이해해야 합니다. 알림 및 기타 AWS 서비스에서 IAM을 사용하는 방법을 전체적으로 알아보려면 *IAM 사용 설명서*의 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하세요.
**Topics**
+ [개발자 도구 콘솔의 자격 증명 기반 정책](#security_iam_service-with-iam-id-based-policies)
+ [AWS CodeStar Notifications 및 AWS CodeConnections 리소스 기반 정책](#security_iam_service-with-iam-resource-based-policies)
+ [태그 기반 인증](#security_iam_service-with-iam-tags)
+ [IAM 역할](#security_iam_service-with-iam-roles)
## 개발자 도구 콘솔의 자격 증명 기반 정책
IAM ID 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스뿐 아니라 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. AWS CodeStar Notifications 및 AWS CodeConnections는 특정 작업, 리소스 및 조건 키를 지원합니다. JSON 정책에서 사용하는 모든 요소에 대해 알아보려면 *IAM 사용자 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.
### 작업
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.
개발자 도구 콘솔의 알림에 대한 정책 작업의 경우 작업 앞에 `codestar-notifications and codeconnections` 접두사를 사용합니다. 예를 들어 누군가에게 계정 내에 있는 모든 알림 규칙을 볼 수 있는 권한을 부여하려면 정책에 `codestar-notifications:ListNotificationRules` 작업을 포함시킵니다. 정책 설명에는 `Action` 또는 `NotAction` 요소가 포함되어야 합니다. AWS CodeStar Notifications 및 AWS CodeConnections는이 서비스로 수행할 수 있는 작업을 설명하는 고유한 작업 세트를 정의합니다.
단일 문에서 multiple AWS CodeStar Notifications 작업을 지정하려면 다음과 같이 쉼표로 구분합니다.
```
"Action": [
"codestar-notifications:action1",
"codestar-notifications:action2"
```
단일 문에서 여러 AWS CodeConnections 작업을 지정하려면 다음과 같이 쉼표로 구분합니다.
```
"Action": [
"codeconnections:action1",
"codeconnections:action2"
```
와일드카드(\$1)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, `List`라는 단어로 시작하는 모든 작업을 지정하려면 다음 작업을 포함합니다.
```
"Action": "codestar-notifications:List*"
```
AWS CodeStar Notifications API 작업에는 다음이 포함됩니다.
+ `CreateNotificationRule`
+ `DeleteNotificationRule`
+ `DeleteTarget`
+ `DescribeNotificationRule`
+ `ListEventTypes`
+ `ListNotificationRules`
+ `ListTagsForResource`
+ `ListTargets`
+ `Subscribe`
+ `TagResource`
+ `Unsubscribe`
+ `UntagResource`
+ `UpdateNotificationRule`
AWS CodeConnections API 작업에는 다음이 포함됩니다.
+ `CreateConnection`
+ `DeleteConnection`
+ `GetConnection`
+ `ListConnections`
+ `ListTagsForResource`
+ `TagResource`
+ `UntagResource`
인증 핸드셰이크를 완료 AWS CodeConnections 하려면에서 다음 권한 전용 작업이 필요합니다.
+ `GetIndividualAccessToken`
+ `GetInstallationUrl`
+ `ListInstallationTargets`
+ `StartOAuthHandshake`
+ `UpdateConnectionInstallation`
연결을 AWS CodeConnections 사용하려면에서 다음 권한 전용 작업이 필요합니다.
+ `UseConnection`
서비스에 연결을 전달 AWS CodeConnections 하려면에서 다음 권한 전용 작업이 필요합니다.
+ `PassConnection`
AWS CodeStar Notifications 및 AWS CodeConnections 작업 목록을 보려면 *IAM 사용 설명서*의 [AWS CodeStar Notifications에서 정의한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_codestarnotifications.html#codestarnotifications-actions-as-permissions) 및 [AWS CodeConnections에서 정의한 작업을](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_codestarconnections.html#codestarconnections-actions-as-permissions) 참조하세요.
### 리소스
AWS CodeStar Notifications 및 AWS CodeConnections는 정책에서 리소스 ARNs 지정을 지원하지 않습니다.
### 조건 키
AWS CodeStar Notifications 및 AWS CodeConnections는 자체 조건 키 세트를 정의하고 일부 전역 조건 키 사용을 지원합니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 참조하세요.
All AWS CodeStar Notifications 작업은 `codestar-notifications:NotificationsForResource` 조건 키를 지원합니다. 자세한 내용은 [ID 기반 정책 예시](security_iam_id-based-policy-examples.md) 단원을 참조하십시오.
AWS CodeConnections 는 IAM 정책의 `Condition` 요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 자세한 내용은 [AWS CodeConnections 권한 참조](security-iam.md#permissions-reference-connections) 단원을 참조하십시오.
| 조건 키 | 설명 |
| --- | --- |
| `codeconnections:BranchName` | 서드 파티 리포지토리 브랜치 이름을 기준으로 액세스를 필터링합니다. |
| `codeconnections:FullRepositoryId` | 요청에서 전달되는 리포지토리를 기준으로 액세스를 필터링합니다. 특정 리포지토리에 액세스하기 위한 UseConnection 요청에만 적용됩니다. |
| codeconnections:InstallationId | 연결을 업데이트하는 데 사용되는 서드 파티 ID(예: Bitbucket 앱 설치 ID)를 기준으로 액세스를 필터링합니다. 연결을 생성하는 데 사용할 수 있는 서드 파티 앱 설치를 제한할 수 있습니다. |
| codeconnections:OwnerId | 서드 파티 공급자의 소유자 또는 계정 ID를 기준으로 액세스를 필터링합니다. |
| `codeconnections:PassedToService` | 보안 주체가 연결을 전달하도록 허용된 서비스를 기준으로 액세스를 필터링합니다. |
| `codeconnections:ProviderAction` | UseConnection 요청에서 공급자 작업을 기준으로 액세스를 필터링합니다(예: ListRepositories). |
| codeconnections:ProviderPermissionsRequired | 서드 파티 공급자 권한 유형을 기준으로 액세스를 필터링합니다. |
| `codeconnections:ProviderType` | 요청에서 전달되는 타사 공급자 유형을 기준으로 액세스를 필터링합니다. |
| codeconnections:ProviderTypeFilter | 결과를 필터링하는 데 사용된 타사 공급자 유형을 기준으로 액세스를 필터링합니다. |
| codeconnections:RepositoryName | 서드 파티 리포지토리 이름을 기준으로 액세스를 필터링합니다. |
### 예제
AWS CodeStar Notifications 및 AWS CodeConnections 자격 증명 기반 정책의 예를 보려면 섹션을 참조하세요[ID 기반 정책 예시](security_iam_id-based-policy-examples.md).
## AWS CodeStar Notifications 및 AWS CodeConnections 리소스 기반 정책
AWS CodeStar Notifications 및 AWS CodeConnections는 리소스 기반 정책을 지원하지 않습니다.
## 태그 기반 인증
태그를 AWS CodeStar Notifications 및 AWS CodeConnections 리소스에 연결하거나 요청에서 태그를 전달할 수 있습니다. 태그에 근거하여 액세스를 제어하려면 `codestar-notifications and codeconnections:ResourceTag/key-name`, `aws:RequestTag/key-name`또는 `aws:TagKeys`조건 키를 사용하여 정책의 [조건 요소](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)에 태그 정보를 제공합니다. 태그 지정 전략에 대한 자세한 내용은 [AWS 리소스 태그 지정을 참조하세요](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html). AWS CodeStar Notifications 및 AWS CodeConnections 리소스 태그 지정에 대한 자세한 내용은 섹션을 참조하세요[연결 리소스 태그 지정](connections-tag.md).
리소스의 태그를 기반으로 리소스에 대한 액세스를 제한하는 자격 증명 기반 정책의 예는 [태그를 사용하여 AWS CodeConnections 리소스에 대한 액세스 제어](connections-tag-based-access-control.md)에서 확인할 수 있습니다.
## IAM 역할
[IAM 역할은](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 특정 권한이 있는 AWS 계정 내 엔터티입니다.
### 임시 자격 증명 사용
임시 자격 증명으로 연동하여 로그인하거나, IAM 역할 또는 교차 계정 역할을 수임할 수 있습니다. [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 또는 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)과 같은 AWS STS API 작업을 호출하여 임시 보안 자격 증명을 얻습니다.
AWS CodeStar Notifications 및 AWS CodeConnections는 임시 자격 증명 사용을 지원합니다.
### 서비스 연결 역할
[서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용하면 AWS 서비스가 다른 서비스의 리소스에 액세스하여 사용자를 대신하여 작업을 완료할 수 있습니다. 서비스 연결 역할은 IAM 계정에 나타나고 서비스가 소유합니다. IAM 관리자는 서비스 연결 역할의 권한을 볼 수 있지만 편집할 수 없습니다.
AWS CodeStar Notifications는 서비스 연결 역할을 지원합니다. AWS CodeStar Notifications 및 AWS CodeConnections 서비스 연결 역할 생성 또는 관리에 대한 자세한 내용은 섹션을 참조하세요[AWS CodeStar Notifications에 서비스 연결 역할 사용](using-service-linked-roles.md).
CodeConnections는 서비스 연결 역할을 지원하지 않습니다.
## AWS CodeConnections 권한 참조
다음 표에는 각 AWS CodeConnections API 작업, 권한을 부여할 수 있는 해당 작업, 권한 부여에 사용할 리소스 ARN의 형식이 나와 있습니다. AWS CodeConnections APIs는 해당 API에서 허용하는 작업 범위에 따라 테이블로 그룹화됩니다. IAM 자격 증명에 연결할 수 있는 쓰기 권한 정책(자격 증명 기반 정책)을 설정할 때 다음 표를 참조하세요.
권한 정책 생성 시 정책의 `Action` 필드에 작업을 지정합니다. 와일드카드(\$1) 사용 여부와 상관없이 정책의 `Resource` 필드에 리소스 값으로 ARN을 지정합니다.
연결 정책에서 조건을 표현하려면 여기에서 설명하고 [조건 키](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys)에 나열되어 있는 조건 키를 사용합니다. AWS전체 조건 키를 사용할 수도 있습니다. AWS전체 키의 전체 목록은 *IAM 사용 설명서*의 [사용 가능한 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) 참조하세요.
작업을 지정하려면 `codeconnections` 접두사 다음에 API 작업 이름을 사용합니다(예: `codeconnections:ListConnections` 또는 `codeconnections:CreateConnection`).
**와일드카드 사용**
여러 작업이나 리소스를 지정하려면 ARN에서 와일드카드(\$1)를 사용합니다. 예를 들어, `codeconnections:*`는 all AWS CodeConnections 작업을 지정하고 단어로 시작하는 all AWS CodeConnections 작업을 `codeconnections:Get*` 지정합니다`Get`. 다음 예는 이름이 `MyConnection`으로 시작되는 모든 리소스에 대한 액세스 권한을 부여합니다.
```
arn:aws:codeconnections:us-west-2:account-ID:connection/*
```
다음 표에 나열된 *connection* 리소스에만 와일드카드를 사용할 수 있습니다. *region* 또는 *account-id* 리소스에는 와일드카드를 사용할 수 없습니다. 와일드카드에 대한 자세한 내용은 *IAM 사용 설명서*에서 [IAM 식별자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html)를 참조하세요.
**Topics**
+ [연결 관리 권한](#permissions-reference-connections-managing)
+ [호스트 관리를 위한 권한](#permissions-reference-connections-hosts)
+ [연결을 완료하기 위한 권한](#permissions-reference-connections-handshake)
+ [호스트 설정에 대한 권한](#connections-permissions-actions-host-registration)
+ [서비스에 연결 전달](#permissions-reference-connections-passconnection)
+ [연결 사용](#permissions-reference-connections-use)
+ [`ProviderAction`에 대해 지원되는 액세스 유형](#permissions-reference-connections-access)
+ [연결 리소스 태깅에 대해 지원되는 권한](#permissions-reference-connections-tagging)
+ [리포지토리 링크에 연결 전달](#permissions-reference-connections-passrepository)
+ [리포지토리 링크에 지원되는 조건 키](#permissions-reference-connections-branch)
+ [연결 공유에 지원되는 권한](#permissions-reference-connections-sharing)
### 연결 관리 권한
AWS CLI 또는 SDK를 사용하여 연결을 보거나 생성하거나 삭제하도록 지정된 역할 또는 사용자는 다음으로 제한된 권한을 가져야 합니다.
**참고**
다음 권한만으로는 콘솔에서 연결을 완료하거나 사용할 수 없습니다. [연결을 완료하기 위한 권한](#permissions-reference-connections-handshake)의 권한을 추가해야 합니다.
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
```
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**AWS CodeConnections에서 연결을 관리하는 데 필요한 권한**
| AWS CodeConnections 작업 | 필수 권한 | 리소스 |
| --- | --- | --- |
| CreateConnection | `codeconnections:CreateConnection` CLI 또는 콘솔을 사용하여 연결을 생성하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| DeleteConnection | `codeconnections:DeleteConnection` CLI 또는 콘솔을 사용하여 연결을 삭제하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| GetConnection | `codeconnections:GetConnection` CLI 또는 콘솔을 사용하여 연결에 대한 세부 정보를 보는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| ListConnections | `codeconnections:ListConnections` CLI 또는 콘솔을 사용하여 계정의 모든 연결을 나열하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
다음 작업은 아래의 조건 키를 지원합니다.
| 작업 | 조건 키 |
| --- | --- |
| `codeconnections:CreateConnection` | `codeconnections:ProviderType` |
| codeconnections:DeleteConnection | 해당 사항 없음 |
| codeconnections:GetConnection | 해당 사항 없음 |
| codeconnections:ListConnections | codeconnections:ProviderTypeFilter |
### 호스트 관리를 위한 권한
AWS CLI 또는 SDK를 사용하여 호스트를 확인, 생성 또는 삭제하도록 지정된 역할 또는 사용자는 다음으로 제한된 권한을 가져야 합니다.
**참고**
다음 권한만으로는 호스트에서 연결을 완료하거나 사용할 수 없습니다. [호스트 설정에 대한 권한](#connections-permissions-actions-host-registration)의 권한을 추가해야 합니다.
```
codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts
```
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**AWS CodeConnections에서 호스트를 관리하는 데 필요한 권한**
| AWS CodeConnections 작업 | 필수 권한 | 리소스 |
| --- | --- | --- |
| CreateHost | `codeconnections:CreateHost` CLI 또는 콘솔을 사용하여 호스트를 생성하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:host/*host-id* |
| DeleteHost | `codeconnections:DeleteHost` CLI 또는 콘솔을 사용하여 호스트를 삭제하는 데 필요합니다. | codeconnections:*region*:*account-id*:host/*host-id* |
| GetHost | `codeconnections:GetHost` CLI 또는 콘솔을 사용하여 호스트에 대한 세부 정보를 보는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:host/*host-id* |
| ListHosts | `codeconnections:ListHosts` CLI 또는 콘솔을 사용하여 계정의 모든 호스트를 나열하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:host/*host-id* |
다음 작업은 아래의 조건 키를 지원합니다.
| 작업 | 조건 키 |
| --- | --- |
| `codeconnections:CreateHost` | `codeconnections:ProviderType` `codeconnections:VpcId` |
| codeconnections:DeleteHost | 해당 사항 없음 |
| codeconnections:GetHost | 해당 사항 없음 |
| codeconnections:ListHosts | codeconnections:ProviderTypeFilter |
**VpcId** 조건 키를 사용하는 정책 예제는 섹션을 참조하세요[예: **VpcId** 컨텍스트 키를 사용하여 호스트 VPC 권한 제한](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-vpc).
### 연결을 완료하기 위한 권한
콘솔에서 연결을 관리하도록 지정된 역할 또는 사용자에게는 콘솔에서 연결을 완료하고 설치를 만드는 데 필요한 권한이 있어야 합니다. 여기에는 공급자에게 핸드셰이크 권한을 부여하고 사용할 연결에 대한 설치를 만드는 권한이 포함됩니다. 위의 권한 외에 다음 권한을 사용하십시오.
브라우저 기반 핸드셰이크를 수행하는 경우 콘솔에서 다음 IAM 작업이 사용됩니다. `ListInstallationTargets`, `GetInstallationUrl`, `StartOAuthHandshake`, `UpdateConnectionInstallation`, `GetIndividualAccessToken`은 IAM 정책 권한입니다. API 작업이 아닙니다.
```
codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
```
이를 기반으로 콘솔에서 연결을 사용, 생성, 업데이트 또는 삭제하려면 다음 권한이 필요합니다.
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
```
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**AWS CodeConnections에서 연결을 완료하는 데 필요한 권한**
| AWS CodeConnections 작업 | 필수 권한 | 리소스 |
| --- | --- | --- |
| `GetIndividualAccessToken` | `codeconnections:GetIndividualAccessToken` 콘솔을 사용하여 연결을 완료하는 데 필요합니다. IAM 정책 권한일 뿐, API 작업이 아닙니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `GetInstallationUrl` | `codeconnections:GetInstallationUrl` 콘솔을 사용하여 연결을 완료하는 데 필요합니다. IAM 정책 권한일 뿐, API 작업이 아닙니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `ListInstallationTargets` | `codeconnections:ListInstallationTargets` 콘솔을 사용하여 연결을 완료하는 데 필요합니다. IAM 정책 권한일 뿐, API 작업이 아닙니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `StartOAuthHandshake` | `codeconnections:StartOAuthHandshake` 콘솔을 사용하여 연결을 완료하는 데 필요합니다. IAM 정책 권한일 뿐, API 작업이 아닙니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `UpdateConnectionInstallation` | `codeconnections:UpdateConnectionInstallation` 콘솔을 사용하여 연결을 완료하는 데 필요합니다. IAM 정책 권한일 뿐, API 작업이 아닙니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
다음 작업은 아래의 조건 키를 지원합니다.
| 작업 | 조건 키 |
| --- | --- |
| codeconnections:GetIndividualAccessToken | codeconnections:ProviderType |
| codeconnections:GetInstallationUrl | codeconnections:ProviderType |
| `codeconnections:ListInstallationTargets` | 해당 사항 없음 |
| codeconnections:StartOAuthHandshake | codeconnections:ProviderType |
| codeconnections:UpdateConnectionInstallation | codeconnections:InstallationId |
### 호스트 설정에 대한 권한
콘솔에서 연결을 관리하도록 지정된 역할 또는 사용자에게는 콘솔에서 호스트를 설정하는 데 필요한 권한이 있어야 합니다. 여기에는 공급자에 대한 핸드셰이크를 승인하고 호스트 앱을 설치하는 권한이 포함됩니다. 위의 호스트에 대한 권한 외에 다음 권한을 사용합니다.
브라우저 기반 호스트 등록을 수행할 때 콘솔에서 다음 IAM 작업이 사용됩니다. `RegisterAppCode` 및 `StartAppRegistrationHandshake`는 IAM 정책 권한입니다. API 작업이 아닙니다.
```
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
이를 기반으로 콘솔에서 호스트(예: 설치된 공급자 유형)를 사용, 생성, 업데이트 또는 삭제하려면 다음 권한이 필요합니다.
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**AWS CodeConnections에서 호스트 설정을 완료하는 데 필요한 권한**
| 연결 작업 | 필수 권한 | 리소스 |
| --- | --- | --- |
| `RegisterAppCode` | `codeconnections:RegisterAppCode` 콘솔을 사용하여 호스트 설정을 완료하는 데 필요합니다. IAM 정책 권한일 뿐, API 작업이 아닙니다. | arn:aws:codeconnections:*region*:*account-id*:host/*host-id* |
| `StartAppRegistrationHandshake` | `codeconnections:StartAppRegistrationHandshake` 콘솔을 사용하여 호스트 설정을 완료하는 데 필요합니다. IAM 정책 권한일 뿐, API 작업이 아닙니다. | arn:aws:codeconnections:*region*:*account-id*:host/*host-id* |
다음 작업은 아래의 조건 키를 지원합니다.
### 서비스에 연결 전달
서비스에 연결을 전달하는 경우(예: 파이프라인을 만들거나 업데이트하기 위해 파이프라인 정의에 연결 ARN 제공) 사용자에게 `codeconnections:PassConnection` 권한이 있어야 합니다.
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**AWS CodeConnections에서 연결을 전달하는 데 필요한 권한**
| AWS CodeConnections 작업 | 필수 권한 | 리소스 |
| --- | --- | --- |
| `PassConnection` | `codeconnections:PassConnection` 서비스에 연결을 전달하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
또한 이 작업은 다음 조건 키를 지원합니다.
+ `codeconnections:PassedToService`
**조건 키에 지원되는 값**
| Key(키) | 유효한 작업 공급자 |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/dtconsole/latest/userguide/security-iam.html) |
### 연결 사용
CodePipeline 같은 서비스에서 연결을 사용하는 경우 해당 연결에 대한 `codeconnections:UseConnection` 권한이 서비스 역할에 있어야 합니다.
콘솔에서 연결을 관리하려면 사용자 정책에 `codeconnections:UseConnection` 권한이 있어야 합니다.
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**연결 사용에 필요한AWS CodeConnections 작업**
| AWS CodeConnections 작업 | 필수 권한 | 리소스 |
| --- | --- | --- |
| `UseConnection` | `codeconnections:UseConnection` 연결을 사용하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
또한 이 작업은 다음 조건 키를 지원합니다.
+ `codeconnections:BranchName`
+ `codeconnections:FullRepositoryId`
+ `codeconnections:OwnerId`
+ `codeconnections:ProviderAction`
+ `codeconnections:ProviderPermissionsRequired`
+ `codeconnections:RepositoryName`
**조건 키에 지원되는 값**
| Key(키) | 유효한 작업 공급자 |
| --- | --- |
| `codeconnections:FullRepositoryId` | 리포지토리의 사용자 이름과 리포지토리 이름(예: `my-owner/my-repository`)입니다. 특정 리포지토리에 액세스하는 데 연결을 사용하는 경우에만 지원됩니다. |
| `codeconnections:ProviderPermissionsRequired` | read\$1only 또는 read\$1write |
| `codeconnections:ProviderAction` | `GetBranch`, `ListRepositories`, `ListOwners`, `ListBranches`, `StartUploadArchiveToS3`, `GitPush`, `GitPull`, `GetUploadArchiveToS3Status`, `CreatePullRequestDiffComment`, `GetPullRequest`, `ListBranchCommits`, `ListCommitFiles`, `ListPullRequestComments`, `ListPullRequestCommits`. 자세한 내용은 다음 섹션을 참조하세요. |
일부 기능에 필요한 조건 키는 시간이 지남에 따라 변경될 수 있습니다. 액세스 제어 요구 사항에 따라 다른 권한이 필요하지 않는 한, `codeconnections:UseConnection`을 사용하여 연결에 대한 액세스를 제어하는 것이 좋습니다.
### `ProviderAction`에 대해 지원되는 액세스 유형
AWS 서비스에서 연결을 사용하면 소스 코드 공급자에 대한 API 호출이 수행됩니다. 예를 들어 서비스에서 `https://api.bitbucket.org/2.0/repositories/username` API를 호출하여 Bitbucket 연결에 사용할 리포지토리를 나열할 수 있습니다.
`ProviderAction` 조건 키를 사용하면 공급자에 대한 호출을 수행할 수 있는 API를 제한할 수 있습니다. API 경로는 동적으로 생성될 수 있으며 공급자마다 경로가 다르기 때문에 `ProviderAction` 값은 API의 URL이 아닌 추상 작업 이름에 매핑됩니다. 이를 통해 연결의 공급자 유형에 관계없이 동일한 효과를 갖는 정책을 작성할 수 있습니다.
지원되는 각 `ProviderAction` 값에 대해 부여되는 액세스 유형은 다음과 같습니다. IAM 정책 권한은 다음과 같습니다. API 작업이 아닙니다.
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**에 대해AWS CodeConnections에서 지원되는 액세스 유형 `ProviderAction`**
| AWS CodeConnections 권한 | 필수 권한 | 리소스 |
| --- | --- | --- |
| `GetBranch` | ` codeconnections:GetBranch` 해당 브랜치의 최신 커밋 등 브랜치에 대한 정보에 액세스하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `ListRepositories` | ` codeconnections:ListRepositories` 소유자에게 속한 퍼블릭 및 프라이빗 리포지토리 목록(해당 리포지토리에 대한 세부 정보 포함)에 액세스하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `ListOwners` | `codeconnections:ListOwners` 연결에서 액세스할 수 있는 소유자 목록에 액세스하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `ListBranches` | ` codeconnections:ListBranches` 해당 리포지토리에 있는 브랜치 목록에 액세스하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `StartUploadArchiveToS3` | ` codeconnections:StartUploadArchiveToS3` 소스 코드를 읽고 Amazon S3에 업로드하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `GitPush` | ` codeconnections:GitPush` Git를 사용하여 리포지토리에 쓰는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `GitPull` | ` codeconnections:GitPull` Git를 사용하여 리포지토리에서 읽는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| GetUploadArchiveToS3Status | ` codeconnections:GetUploadArchiveToS3Status` `StartUploadArchiveToS3`에서 시작한 업로드의 상태(관련 오류 메시지 포함)에 액세스하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| CreatePullRequestDiffComment | ` codeconnections:CreatePullRequestDiffComment` 끌어오기 요청에 대한 설명에 액세스하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| GetPullRequest | ` codeconnections:GetPullRequest` 리포지토리에 대한 끌어오기 요청을 보는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `ListBranchCommits` | ` codeconnections:ListBranchCommits` 리포지토리 브랜치에 대한 커밋 목록을 보는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `ListCommitFiles` | ` codeconnections:ListCommitFiles` 커밋에 대한 파일 목록을 보는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `ListPullRequestComments` | ` codeconnections:ListPullRequestComments` 끌어오기 요청에 대한 설명 목록을 보는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
| `ListPullRequestCommits` | ` codeconnections:ListPullRequestCommits` 끌어오기 요청에 대한 커밋 목록을 보는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
### 연결 리소스 태깅에 대해 지원되는 권한
연결 리소스에 태깅할 때 다음 IAM 작업을 사용합니다.
```
codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource
```
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**연결 리소스에 태그를 지정하는 데 필요한AWS CodeConnections 작업**
| AWS CodeConnections 작업 | 필수 권한 | 리소스 |
| --- | --- | --- |
| `ListTagsForResource` | `codeconnections:ListTagsForResource` 연결 리소스와 연결된 태그의 목록을 보는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id*,arn:aws:codeconnections:*region*:*account-id*:host/*host-id* |
| `TagResource` | `codeconnections:TagResource` 연결 리소스를 태깅하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id*,arn:aws:codeconnections:*region*:*account-id*:host/*host-id* |
| `UntagResource` | `codeconnections:UntagResource` 연결 리소스에서 태그를 제거하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id*,arn:aws:codeconnections:*region*:*account-id*:host/*host-id* |
### 리포지토리 링크에 연결 전달
동기화 구성에서 리포지토리 링크가 제공되는 경우 사용자에게 리포지토리 링크 ARN/리소스에 대한 `codeconnections:PassRepository` 권한이 있어야 합니다.
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**AWS CodeConnections에서 연결을 전달하는 데 필요한 권한**
| AWS CodeConnections 작업 | 필수 권한 | 리소스 |
| --- | --- | --- |
| `PassRepository` | `codeconnections:PassRepository` 리포지토리 링크를 동기화 구성에 전달하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:repository-link/*repository-link-id* |
또한 이 작업은 다음 조건 키를 지원합니다.
+ `codeconnections:PassedToService`
**조건 키에 지원되는 값**
| Key(키) | 유효한 작업 공급자 |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/dtconsole/latest/userguide/security-iam.html) |
### 리포지토리 링크에 지원되는 조건 키
리포지토리 링크 및 동기화 구성 리소스에 대한 작업은 다음 조건 키를 통해 지원됩니다.
+ `codeconnections:Branch`
요청에서 전달되는 브랜치 이름을 기준으로 액세스를 필터링합니다.
**조건 키에 지원되는 작업**
| Key(키) | 유효값 |
| --- | --- |
| `codeconnections:Branch` | 이 조건 키에는 다음 작업이 지원됩니다.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/dtconsole/latest/userguide/security-iam.html) |
### 연결 공유에 지원되는 권한
연결을 공유할 때 다음 IAM 작업이 사용됩니다.
```
codeconnections:GetResourcePolicy
```
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**연결 공유에 필요한AWS CodeConnections 작업**
| AWS CodeConnections 작업 | 필수 권한 | 리소스 |
| --- | --- | --- |
| `GetResourcePolicy` | `codeconnections:GetResourcePolicy` 리소스 정책에 대한 정보에 액세스하는 데 필요합니다. | arn:aws:codeconnections:*region*:*account-id*:connection/*connection-id* |
연결 공유에 대한 자세한 내용은 섹션을 참조하세요[와 연결 공유 AWS 계정](connections-share.md).
# ID 기반 정책 예시
기본적으로 , AWS CodeBuild AWS CodeDeploy또는 AWS CodeCommit에 대한 관리형 정책 중 하나가 AWS CodePipeline 적용된 IAM 사용자 및 역할은 해당 정책의 의도와 일치하는 연결, 알림 및 알림 규칙에 대한 권한을 가집니다. 예를 들어 전체 액세스 정책(**AWSCodeCommitFullAccess**, **AWSCodeBuildAdminAccess**, **AWSCodeDeployFullAccess** 또는 **AWSCodePipeline\$1FullAccess**) 중 하나가 적용된 IAM 사용자 또는 역할은 해당 서비스의 리소스에 대해 생성된 알림 및 알림 규칙에 대해서도 전체 액세스 권한을 갖습니다.
다른 IAM 사용자 및 역할에는 AWS CodeStar Notifications 및 AWS CodeConnections 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 또한 AWS Management Console AWS CLI또는 AWS API를 사용하여 작업을 수행할 수 없습니다. IAM 관리자는 지정된 리소스에서 API 작업을 수행할 수 있는 권한을 사용자와 역할에게 부여하는 IAM 정책을 생성해야 합니다. 그런 다음 관리자는 해당 권한이 필요한 IAM 사용자 또는 그룹에 이러한 정책을 연결해야 합니다.
# AWS CodeStar Notifications에 대한 권한 및 예제
다음 정책 설명과 예제는 AWS CodeStar 알림을 관리하는 데 도움이 될 수 있습니다.
## 전체 액세스 관리형 정책의 알림과 관련된 권한
**AWSCodeCommitFullAccess**, **AWSCodeBuildAdminAccess**, **AWSCodeDeployFullAccess**, **AWSCodePipeline\$1FullAccess** 관리형 정책에는 개발자 도구 콘솔의 알림에 대한 전체 액세스를 허용하는 다음 문이 포함되어 있습니다. 이러한 관리형 정책 중 하나가 적용된 사용자는 알림에 대한 Amazon SNS 주제를 생성 및 관리하고, 주제에 대해 사용자를 구독 및 구독 취소하고, 알림 규칙의 대상으로 선택할 주제를 나열할 수도 있습니다.
**참고**
관리형 정책에서 조건 키 `codestar-notifications:NotificationsForResource`는 서비스의 리소스 유형에 특정한 값을 갖습니다. 예를 들어 CodeCommit에 대한 전체 액세스 정책에서 값은 `arn:aws:codecommit:*`입니다.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:DeleteNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsSNSTopicCreateAccess",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:SetTopicAttributes"
],
"Resource": "arn:aws:sns:*:*:codestar-notifications*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
## 읽기 전용 관리형 정책의 알림과 관련된 권한
**AWSCodeCommitReadOnlyAccess**, **AWSCodeBuildReadOnlyAccess**, **AWSCodeDeployReadOnlyAccess**, **AWSCodePipeline\$1ReadOnlyAccess** 관리형 정책에는 알림에 대한 읽기 전용 액세스를 허용하는 다음 문이 포함되어 있습니다. 예를 들어 개발자 도구 콘솔에서 리소스에 대한 알림을 볼 수 있지만 리소스를 생성, 관리 또는 구독할 수는 없습니다.
**참고**
관리형 정책에서 조건 키 `codestar-notifications:NotificationsForResource`는 서비스의 리소스 유형에 특정한 값을 갖습니다. 예를 들어 CodeCommit에 대한 전체 액세스 정책에서 값은 `arn:aws:codecommit:*`입니다.
```
{
"Sid": "CodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListEventTypes",
"codestar-notifications:ListTargets"
],
"Resource": "*"
}
```
## 다른 관리형 정책의 알림과 관련된 권한
**AWSCodeCommitPowerUser**, **AWSCodeBuildDeveloperAccess** 및 **AWSCodeBuildDeveloperAccess** 관리형 정책에는 이러한 관리형 정책 중 하나가 적용된 개발자가 알림을 생성, 편집 및 구독할 수 있도록 허용하는 다음 문이 포함되어 있습니다. 알림 규칙을 삭제하거나 리소스에 대한 태그를 관리할 수는 없습니다.
**참고**
관리형 정책에서 조건 키 `codestar-notifications:NotificationsForResource`는 서비스의 리소스 유형에 특정한 값을 갖습니다. 예를 들어 CodeCommit에 대한 전체 액세스 정책에서 값은 `arn:aws:codecommit:*`입니다.
```
{
"Sid": "CodeStarNotificationsReadWriteAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe"
],
"Resource": "*",
"Condition" : {
"StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws::*"}
}
},
{
"Sid": "CodeStarNotificationsListAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
},
{
"Sid": "SNSTopicListAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "CodeStarNotificationsChatbotAccess",
"Effect": "Allow",
"Action": [
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations"
],
"Resource": "*"
}
```
## 예: AWS CodeStar 알림을 관리하기 위한 관리자 수준 정책
이 예제에서는 AWS 계정의 IAM 사용자에게 AWS CodeStar Notifications에 대한 전체 액세스 권한을 부여하여 사용자가 알림 규칙의 세부 정보를 검토하고 알림 규칙, 대상 및 이벤트 유형을 나열할 수 있도록 하려고 합니다. 또한 사용자가 알림 규칙을 추가, 업데이트 및 삭제하도록 허용하려고 합니다. 이는 **AWSCodeBuildAdminAccess**, **AWSCodeCommitFullAccess**, **AWSCodeDeployFullAccess**, **AWSCodePipeline\$1FullAccess** 관리형 정책의 일부로 포함된 알림 권한과 동등한 전체 액세스 정책입니다. 이러한 관리형 정책과 마찬가지로 계정 전체에서 알림 및 알림 규칙에 대한 전체 관리 액세스 권한이 필요한 IAM 사용자, 그룹 또는 역할에만 이러한 종류의 정책 설명을 연결해야 합니다 AWS .
**참고**
이 정책에는 `CreateNotificationRule` 허용이 포함되어 있습니다. IAM 사용자 또는 역할에이 정책이 적용된 모든 사용자는 해당 사용자가 해당 리소스 자체에 액세스할 수 없는 경우에도 AWS 계정에서 AWS CodeStar Notifications에서 지원하는 모든 리소스 유형에 대한 알림 규칙을 생성할 수 있습니다. 예를 들어 이 정책을 보유한 사용자는 CodeCommit 자체에 대한 액세스 권한 없이도 CodeCommit 리포지토리에 대한 알림 규칙을 생성할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCodeStarNotificationsFullAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DeleteNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe",
"codestar-notifications:DeleteTarget",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource",
"codestar-notifications:TagResource",
"codestar-notifications:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## 예: AWS CodeStar Notifications 사용에 대한 기여자 수준 정책
이 예제에서는 알림 생성 및 구독과 같은 AWS CodeStar Notifications의 day-to-day 사용에 대한 액세스 권한을 부여하지만 알림 규칙 또는 대상 삭제와 같은 더 파괴적인 작업은 부여하지 않으려고 합니다. 이는 **AWSCodeBuildDeveloperAccess**, **AWSCodeDeployDeveloperAccess** 및 **AWSCodeCommitPowerUser** 관리형 정책에서 제공되는 액세스와 동일합니다.
**참고**
이 정책에는 `CreateNotificationRule` 허용이 포함되어 있습니다. IAM 사용자 또는 역할에이 정책이 적용된 모든 사용자는 해당 사용자가 해당 리소스 자체에 액세스할 수 없는 경우에도 AWS 계정에서 AWS CodeStar Notifications에서 지원하는 모든 리소스 유형에 대한 알림 규칙을 생성할 수 있습니다. 예를 들어 이 정책을 보유한 사용자는 CodeCommit 자체에 대한 액세스 권한 없이도 CodeCommit 리포지토리에 대한 알림 규칙을 생성할 수 있습니다.
```
{
"Version": "2012-10-17",
"Sid": "AWSCodeStarNotificationsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:CreateNotificationRule",
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:UpdateNotificationRule",
"codestar-notifications:Subscribe",
"codestar-notifications:Unsubscribe",
"codestar-notifications:ListTargets",
"codestar-notifications:ListTagsforResource"
],
"Resource": "*"
}
]
}
```
## 예: AWS CodeStar 알림을 사용하기 위한 read-only-level 정책
이 예에서는 계정의 IAM 사용자에게 AWS 계정의 알림 규칙, 대상, 이벤트 유형에 대한 읽기 전용 액세스 권한을 부여하려고 합니다. 이 예제에서는 이러한 항목의 보기를 허용하는 정책을 생성할 수 있는 방법을 보여줍니다. 이는 **AWSCodeBuildReadOnlyAccess**, **AWSCodeCommitReadOnly**, **AWSCodePipeline\$1ReadOnlyAccess** 관리형 정책의 일부로 포함된 권한과 동일합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "CodeNotificationforReadOnly",
"Statement": [
{
"Sid": "ReadsAccess",
"Effect": "Allow",
"Action": [
"codestar-notifications:DescribeNotificationRule",
"codestar-notifications:ListNotificationRules",
"codestar-notifications:ListTargets",
"codestar-notifications:ListEventTypes"
],
"Resource": "*"
}
]
}
```
------
# 에 대한 권한 및 예제 AWS CodeConnections
다음의 정책 설명과 예는 AWS CodeConnections를 관리하는 데 도움이 될 수 있습니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM 자격 증명 기반 정책을 생성하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*에서 [JSON 탭에서 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)을 참조하세요.
## 예: CLI AWS CodeConnections 를 사용하여 생성하고 콘솔을 사용하여 보기 위한 정책
AWS CLI 또는 SDK를 사용하여 연결을 확인, 생성, 태그 지정 또는 삭제하도록 지정된 역할 또는 사용자는 다음으로 제한된 권한을 가져야 합니다.
**참고**
다음 권한만으로는 콘솔에서 연결을 완료할 수 없습니다. 다음 섹션의 권한을 추가해야 합니다.
콘솔을 사용하여 사용 가능한 연결 목록을 보고, 태그를 보고, 연결을 사용하려면 다음 정책을 사용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionsFullAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:TagResource",
"codeconnections:ListTagsForResource",
"codeconnections:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## 예: 콘솔을 AWS CodeConnections 사용하여를 생성하기 위한 정책
콘솔에서 연결을 관리하도록 지정된 역할 또는 사용자에게는 콘솔에서 연결을 완료하고 설치를 만드는 데 필요한 권한이 있어야 합니다. 여기에는 공급자에게 핸드셰이크 권한을 부여하고 사용할 연결에 대한 설치를 만드는 작업이 포함됩니다. 콘솔에서 연결을 사용할 수 있도록 `UseConnection`도 추가해야 합니다. 콘솔에서 연결을 보거나, 사용하거나, 생성하거나, 태깅하거나, 삭제하려면 다음 정책을 사용합니다.
**참고**
2024년 7월 1일부터 콘솔은 리소스 ARN`codeconnections`에서 와의 연결을 생성합니다. 두 서비스 접두사가 모두 있는 리소스는 콘솔에 계속 표시됩니다.
**참고**
콘솔을 사용하여 생성된 리소스의 경우 정책 설명 작업은 다음 예제와 같이를 서비스 접두사`codestar-connections`로 포함해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codestar-connections:CreateConnection",
"codestar-connections:DeleteConnection",
"codestar-connections:GetConnection",
"codestar-connections:ListConnections",
"codestar-connections:GetInstallationUrl",
"codestar-connections:GetIndividualAccessToken",
"codestar-connections:ListInstallationTargets",
"codestar-connections:StartOAuthHandshake",
"codestar-connections:UpdateConnectionInstallation",
"codestar-connections:UseConnection",
"codestar-connections:TagResource",
"codestar-connections:ListTagsForResource",
"codestar-connections:UntagResource"
],
"Resource": [
"*"
]
}
]
}
```
------
## 예: 관리를 위한 관리자 수준 정책 AWS CodeConnections
이 예제에서는 AWS 계정의 IAM 사용자에게 CodeConnections에 대한 전체 액세스 권한을 부여하여 사용자가 연결을 추가, 업데이트 및 삭제할 수 있도록 하려고 합니다. 이는 전체 액세스 정책으로, **AWSCodePipeline\$1FullAccess** 관리형 정책에 해당합니다. 이러한 관리형 정책과 마찬가지로 AWS 계정 전체의 연결에 대한 전체 관리 액세스 권한이 필요한 IAM 사용자, 그룹 또는 역할에만 이러한 종류의 정책 설명을 연결해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionsFullAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:StartOAuthHandshake",
"codeconnections:UpdateConnectionInstallation",
"codeconnections:GetIndividualAccessToken",
"codeconnections:TagResource",
"codeconnections:ListTagsForResource",
"codeconnections:UntagResource"
],
"Resource": "*"
}
]
}
```
------
## 예: 사용에 대한 기여자 수준 정책 AWS CodeConnections
이 예제에서는 연결 세부 정보 생성 및 보기와 같은 CodeConnections의 day-to-day 사용에 대한 액세스 권한을 부여하고 연결 삭제와 같은 더 파괴적인 작업에 대한 액세스 권한을 부여하지 않으려고 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCodeConnectionsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:GetIndividualAccessToken",
"codeconnections:StartOAuthHandshake",
"codeconnections:UpdateConnectionInstallation",
"codeconnections:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## 예: 사용에 대한 read-only-level 정책 AWS CodeConnections
이 예제에서는 계정의 IAM 사용자에게 계정의 연결에 대한 읽기 전용 액세스 권한을 부여하려고 합니다 AWS . 이 예제에서는 이러한 항목의 보기를 허용하는 정책을 생성할 수 있는 방법을 보여줍니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ConnectionsforReadOnly",
"Statement": [
{
"Sid": "ReadsAPIAccess",
"Effect": "Allow",
"Action": [
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## 예: **VpcId** 컨텍스트 키를 사용하여 호스트 VPC 권한 제한
다음 예제에서 고객은 **VpcId** 컨텍스트 키를 사용하여 호스트 생성 또는 관리를 지정된 VPC가 있는 호스트로 제한할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"codeconnections:CreateHost",
"codeconnections:UpdateHost"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"codeconnections:VpcId": "vpc-EXAMPLE"
}
}
}
]
}
```
------
# 태그를 사용하여 AWS CodeConnections 리소스에 대한 액세스 제어
리소스에 태그가 연결되거나 태그 지정을 지원하는 서비스에 대한 요청에서 전달될 수 있습니다. In AWS CodeConnections, 리소스에는 태그가 있을 수 있으며 일부 작업에는 태그가 포함될 수 있습니다. IAM 정책을 생성하면 태그 조건 키를 사용하여 다음을 제어할 수 있습니다.
+ 파이프라인 리소스에 이미 있는 태그를 기반으로 해당 리소스에 대해 작업을 수행할 수 있는 사용자
+ 작업의 요청에서 전달될 수 있는 태그
+ 요청에서 특정 키를 사용할 수 있는지 여부를 통제합니다.
다음 예제에서는 CodeConnections 사용자에 대한 AWS 정책에서 태그 조건을 지정하는 방법을 보여줍니다.
**Example 1: 요청의 태그 기반 작업 허용**
다음 정책은 사용자에게 CodeConnections에서 AWS 연결을 생성할 수 있는 권한을 부여합니다.
이와 관련하여 정책은 요청이 `ProjectA` 값이 포함된 `Project` 태그를 지정하는 경우 `CreateConnection` 및 `TagResource` 작업을 허용합니다. `aws:RequestTag` 조건 키는 IAM 요청에서 전달할 수 있는 태그를 제어하는 데 사용됩니다. `aws:TagKeys` 조건은 태그 키의 대/소문자를 구분합니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
**Example 2: 리소스 태그 기반 작업 허용**
다음 정책은 사용자에게 in AWS CodeConnections에서 리소스에 대한 작업을 수행하고 리소스에 대한 정보를 가져올 수 있는 권한을 부여합니다.
이와 관련하여 정책은 파이프라인에 `ProjectA` 값이 포함된 `Project` 태그가 있으면 특정 작업을 허용합니다. `aws:RequestTag` 조건 키는 IAM 요청에서 전달할 수 있는 태그를 제어하는 데 사용됩니다. `aws:TagKeys` 조건은 태그 키의 대/소문자를 구분합니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:ListConnections"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
## 콘솔에서 알림 및 연결 사용
알림 환경은 CodeBuild, CodeCommit, CodeDeploy, CodePipeline 콘솔은 물론, [**설정(Settings)**] 탐색 모음 자체의 개발자 도구 콘솔에도 내장되어 있습니다. 콘솔의 알림에 액세스하려면 해당 서비스에 대한 관리형 정책 중 하나가 적용되었거나 최소 권한 집합이 있어야 합니다. 이러한 권한은 AWS 계정의 AWS CodeStar Notifications 및 AWS CodeConnections 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다. 최소 필수 권한보다 더 제한적인 보안 인증 기반 정책을 만들면 콘솔이 해당 정책에 연결된 개체(IAM 사용자 또는 역할)에 대해 의도대로 작동하지 않습니다. 이러한 콘솔에 대한 액세스를 AWS CodePipeline포함하여 AWS CodeBuild AWS CodeCommit에 대한 액세스 권한 부여 AWS CodeDeploy에 대한 자세한 내용은 다음 주제를 참조하세요.
+ CodeBuild: [CodeBuild에 대한 자격 증명 기반 정책 사용](https://docs.aws.amazon.com/codebuild/latest/userguide/security_iam_id-based-policy-examples.html#managed-policies)
+ CodeCommit: [CodeCommit에 대한 자격 증명 기반 정책 사용](https://docs.aws.amazon.com/codecommit/latest/userguide/auth-and-access-control-iam-identity-based-access-control.html)
+ AWS CodeDeploy:에 [대한 자격 증명 및 액세스 관리 AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/security-iam.html)
+ CodePipeline: [IAM 정책을 사용하여 액세스 제어](https://docs.aws.amazon.com/codepipeline/latest/userguide/access-control.html)
AWS CodeStar Notifications에는 AWS 관리형 정책이 없습니다. 알림 기능에 대한 액세스를 제공하려면 앞에 나열된 서비스 중 하나에 대해 관리형 정책 중 하나를 적용하거나, 사용자 또는 엔터티에 부여하고자 하는 권한 수준이 포함된 정책을 생성한 다음 이 정책을 권한이 필요한 사용자, 그룹 또는 역할에 연결해야 합니다. 자세한 내용과 예는 다음을 참조하세요.
+ [예: AWS CodeStar 알림을 관리하기 위한 관리자 수준 정책](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-full-access)
+ [예: AWS CodeStar Notifications 사용에 대한 기여자 수준 정책](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-contributor)
+ [예: AWS CodeStar 알림을 사용하기 위한 read-only-level 정책](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-read-only).
AWS CodeConnections에는 AWS 관리형 정책이 없습니다. [연결을 완료하기 위한 권한](#permissions-reference-connections-handshake)에서 설명하는 권한과 같이 개별 권한과 권한의 조합을 액세스에 사용합니다.
자세한 내용은 다음을 참조하세요.
+ [예: 관리를 위한 관리자 수준 정책 AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-fullaccess)
+ [예: 사용에 대한 기여자 수준 정책 AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-contributor)
+ [예: 사용에 대한 read-only-level 정책 AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-readonly)
AWS CLI 또는 AWS API만 호출하는 사용자에게 콘솔 권한을 허용할 필요는 없습니다. 그 대신, 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 합니다.
## 사용자가 자신이 권한을 볼 수 있도록 허용
이 예제는 IAM 사용자가 자신의 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 AWS CLI 또는 AWS API를 사용하여 프로그래밍 방식으로이 작업을 완료할 수 있는 권한이 포함됩니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 문제 해결 AWS CodeStar 알림 및 AWS CodeConnections 자격 증명 및 액세스
다음 정보를 사용하여 알림 및 IAM 작업 시 발생할 수 있는 일반적인 문제를 진단하고 수정할 수 있습니다.
**Topics**
+ [관리자이며 다른 사용자의 알림 액세스를 허용하려고 함](#security_iam_troubleshoot-admin-delegate)
+ [Amazon SNS 주제를 생성하고 이를 알림 규칙 대상으로 추가했지만 이벤트에 관한 이메일을 받지 못하고 있습니다.](#security_iam_troubleshoot-sns)
+ [내 AWS 계정 외부의 사람이 my AWS CodeStar Notifications 및 AWS CodeConnections 리소스에 액세스하도록 허용하고 싶습니다.](#security_iam_troubleshoot-cross-account-access)
## 관리자이며 다른 사용자의 알림 액세스를 허용하려고 함
다른 사용자가 AWS CodeStar Notifications 및 AWS CodeConnections에 액세스하도록 허용하려면 액세스 권한이 필요한 사용자 또는 애플리케이션에 권한을 부여해야 합니다. AWS IAM Identity Center 를 사용하여 사용자 및 애플리케이션을 관리하는 경우 사용자 또는 그룹에 권한 세트를 할당하여 액세스 수준을 정의합니다. 권한 세트는 IAM 정책을 자동으로 생성하고 사용자 또는 애플리케이션과 연결된 IAM 역할에 할당합니다. 자세한 내용은 *AWS IAM Identity Center 사용 설명서*에서 [권한 세트](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)를 참조하세요.
IAM Identity Center를 사용하지 않는 경우 액세스가 필요한 사용자 또는 애플리케이션에 대한 IAM 엔터티(사용자 또는 역할)를 생성해야 합니다. 그런 다음 AWS CodeStar Notifications 및CodeConnections AWS CodeConnections에서 올바른 권한을 부여하는 정책을 엔터티에 연결해야 합니다. 권한이 부여되면 사용자 또는 애플리케이션 개발자에게 자격 증명을 제공합니다. 이들은 이 자격 증명을 사용하여 AWS에 액세스합니다. IAM 사용자, 그룹, 정책 및 권한 생성에 대해 자세히 알아보려면 *IAM 사용자 설명서*의 [IAM 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)과 [IAM의 권한 및 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
For AWS CodeStar Notifications 관련 정보는 섹션을 참조하세요[AWS CodeStar Notifications에 대한 권한 및 예제](security_iam_id-based-policy-examples-notifications.md).
## Amazon SNS 주제를 생성하고 이를 알림 규칙 대상으로 추가했지만 이벤트에 관한 이메일을 받지 못하고 있습니다.
이벤트에 관한 알림을 수신하려면 알림 규칙에 대한 대상으로 유효한 Amazon SNS 주제를 구독해야 하고, 이메일 주소가 Amazon SNS 주제에 구독된 상태여야 합니다. Amazon SNS 주제 관련 문제를 해결하려면 다음을 확인합니다.
+ Amazon SNS 주제가 알림 규칙과 동일한 AWS 리전에 있는지 확인합니다.
+ 이메일 별칭이 올바른 주제에 구독된 상태이며, 구독을 확인했는지 확인해야 합니다. 자세한 내용은 [엔드포인트를 Amazon SNS 주제에 구독 설정](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)을 참조하세요.
+ 주제 정책이 해당 주제에 알림을 푸시할 수 AWS CodeStar 있도록 수정되었는지 확인합니다. 이 주제 정책에 다음과 유사한 문이 포함되어야 합니다.
```
{
"Sid": "AWSCodeStarNotifications_publish",
"Effect": "Allow",
"Principal": {
"Service": [
"codestar-notifications.amazonaws.com"
]
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:123456789012:MyNotificationTopicName",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
```
자세한 내용은 [설정](setting-up.md) 단원을 참조하십시오.
## 내 AWS 계정 외부의 사람이 my AWS CodeStar Notifications 및 AWS CodeConnections 리소스에 액세스하도록 허용하고 싶습니다.
다른 계정의 사용자 또는 조직 외부의 사람이 리소스에 액세스할 때 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 액세스 제어 목록(ACL)을 지원하는 서비스의 경우, 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할 수 있습니다.
자세한 내용은 다음을 참조하세요.
+ AWS CodeStar Notifications 및 AWS CodeConnections가 이러한 기능을 지원하는지 여부를 알아보려면 섹션을 참조하세요[개발자 도구 콘솔의 기능이 IAM에서 작동하는 방식](security_iam_service-with-iam.md).
+ 소유 AWS 계정 한의 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 [IAM 사용 설명서의 소유한 다른의 IAM 사용자에게 액세스 권한 제공을 참조 AWS 계정 하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). **
+ 타사에 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [타사가 AWS 계정 소유한에 대한 액세스 권한 제공을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) AWS 계정참조하세요.
+ ID 페더레이션을 통해 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [외부에서 인증된 사용자에게 액세스 권한 제공(ID 페더레이션)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)을 참조하세요.
+ 크로스 계정 액세스에 대한 역할과 리소스 기반 정책 사용의 차이점을 알아보려면 *IAM 사용 설명서*의 [IAM의 크로스 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
# AWS CodeStar Notifications에 서비스 연결 역할 사용
AWS CodeStar Notifications는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 AWS CodeStar Notifications에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 AWS CodeStar Notifications에서 사전 정의하며 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다. 이 역할은 알림 규칙을 처음 만들 때 생성됩니다. 역할은 생성할 필요가 없습니다.
서비스 연결 역할을 사용하면 권한을 수동으로 추가할 필요가 없으므로 up AWS CodeStar Notifications를 더 쉽게 설정할 수 있습니다. AWS CodeStar Notifications는 서비스 연결 역할의 권한을 정의하며, 달리 정의되지 않은 한 only AWS CodeStar Notifications는 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
서비스 연결 역할을 삭제하려면 먼저 관련 리소스를 삭제해야 합니다. 이렇게 하면 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 AWS CodeStar Notifications 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하세요.
## AWS CodeStar Notifications에 대한 서비스 연결 역할 권한
AWS CodeStar Notifications는 AWSServiceRoleForCodeStarNotifications 서비스 연결 역할을 사용하여 도구 체인에서 발생하는 이벤트에 대한 정보를 검색하고 지정한 대상으로 알림을 보냅니다.
AWSServiceRoleForCodeStarNotifications 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `codestar-notifications.amazonaws.com`
역할 권한 정책은 AWS CodeStar Notifications가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
+ 작업: `CloudWatch Event rules that are named awscodestar-notifications-*`에 대한 `PutRule`
+ 작업: `CloudWatch Event rules that are named awscodestar-notifications-*`에 대한 `DescribeRule`
+ 작업: `CloudWatch Event rules that are named awscodestar-notifications-*`에 대한 `PutTargets`
+ 작업: `create Amazon SNS topics for use with AWS CodeStar Notifications with the prefix CodeStarNotifications-`하는 `CreateTopic`
+ 작업: `all comments on all pull requests in all CodeCommit repositories in the AWS account`에 대한 `GetCommentsForPullRequests`
+ 작업: `all comments on all commits in all CodeCommit repositories in the AWS account`에 대한 `GetCommentsForComparedCommit`
+ 작업: `all commits in all CodeCommit repositories in the AWS account`에 대한 `GetDifferences`
+ 작업: `all comments on all commits in all CodeCommit repositories in the AWS account`에 대한 `GetCommentsForComparedCommit`
+ 작업: `all commits in all CodeCommit repositories in the AWS account`에 대한 `GetDifferences`
+ 작업: `all AWS Chatbot clients in the AWS account`에 대한 `DescribeSlackChannelConfigurations`
+ 작업: `all AWS Chatbot clients in the AWS account`에 대한 `UpdateSlackChannelConfiguration`
+ 작업: `all actions in all pipelines in the AWS account`에 대한 `ListActionExecutions`
+ 작업: `all files in all CodeCommit repositories in the AWS account unless otherwise tagged`에 대한 `GetFile`
AWSServiceRoleForCodeStarNotifications 서비스 연결 역할에 대한 정책 설명에서 다음 작업을 볼 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"events:PutTargets",
"events:PutRule",
"events:DescribeRule"
],
"Resource": "arn:aws:events:*:*:rule/awscodestarnotifications-*",
"Effect": "Allow"
},
{
"Action": [
"sns:CreateTopic"
],
"Resource": "arn:aws:sns:*:*:CodeStarNotifications-*",
"Effect": "Allow"
},
{
"Action": [
"codecommit:GetCommentsForPullRequest",
"codecommit:GetCommentsForComparedCommit",
"codecommit:GetDifferences",
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:UpdateSlackChannelConfiguration",
"codepipeline:ListActionExecutions"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"codecommit:GetFile"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceTag/ExcludeFileContentFromNotifications": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) 섹션을 참조하세요.
## AWS CodeStar Notifications에 대한 서비스 연결 역할 생성
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. 개발자 도구 콘솔 또는 AWS CLI 또는 SDKs의 CreateNotificationRule API를 사용하여 알림 규칙을 생성할 수 있습니다. API를 직접 호출할 수도 있습니다. 어떤 방법을 사용하든 서비스 연결 역할이 생성됩니다.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 개발자 도구 콘솔 또는 AWS CLI 또는 SDKs의 CreateNotificationRule API를 사용하여 알림 규칙을 생성할 수 있습니다. API를 직접 호출할 수도 있습니다. 어떤 방법을 사용하든 서비스 연결 역할이 생성됩니다.
## AWS CodeStar Notifications에 대한 서비스 연결 역할 편집
서비스 연결 역할을 생성한 후에는 다양한 개체가 해당 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 그러나 IAM을 사용하여 역할 설명을 편집할 수는 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## AWS CodeStar Notifications에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 이렇게 하면 적극적으로 모니터링하거나 유지 관리하지 않는 미사용 개체가 없게 됩니다. 서비스 연결 역할에 대한 리소스를 먼저 정리해야 삭제할 수 있습니다. For AWS CodeStar Notifications는 AWS 계정에서 서비스 역할을 사용하는 모든 알림 규칙을 삭제함을 의미합니다.
**참고**
리소스를 삭제하려고 할 때 AWS CodeStar Notifications 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
**AWSServiceRoleFor AWS CodeStarNotifications에서 사용하는 CodeStar Notifications 리소스를 삭제하려면 AWSServiceRoleForCodeStarNotifications**
1. [https://console.aws.amazon.com/codesuite/settings/notifications](https://console.aws.amazon.com/codesuite/settings/notifications/) AWS 개발자 도구 콘솔을 엽니다.
**참고**
알림 규칙은 알림 규칙이 생성된 AWS 리전에 적용됩니다. 둘 이상의 AWS 리전에 알림 규칙이 있는 경우 리전 선택기를 사용하여를 변경합니다 AWS 리전.
1. 목록에 표시되는 모든 알림 규칙을 선택한 다음 **삭제**를 선택합니다.
1. 알림 규칙을 생성한 모든 AWS 리전에서이 단계를 반복합니다.
****IAM을 사용**하여 서비스 연결 역할을 삭제하려면 **
IAM 콘솔 AWS CLI또는 AWS Identity and Access Management API를 사용하여 AWSServiceRoleForCodeStarNotifications 서비스 연결 역할을 삭제합니다. 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)의 *서비스 연결 역할 삭제*를 참조하세요.
## AWS CodeStar Notifications 서비스 연결 역할에 지원되는 리전
AWS CodeStar Notifications는 서비스를 사용할 수 있는 모든 AWS 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [AWS 리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html)와 [AWS CodeStar Notifications](https://docs.aws.amazon.com/general/latest/gr/codestar_notifications.html)를 참조하세요.
# 에 대한 서비스 연결 역할 사용 AWS CodeConnections
AWS CodeConnections 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS CodeConnections. 서비스 연결 역할은에서 사전 정의 AWS CodeConnections 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다. 이 역할은 연결을 처음 만들 때 생성됩니다. 역할은 생성할 필요가 없습니다.
서비스 연결 역할을 사용하면 권한을 수동으로 추가할 필요가 없으므로 더 AWS CodeConnections 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS CodeConnections 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS CodeConnections 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
서비스 연결 역할을 삭제하려면 먼저 관련 리소스를 삭제해야 합니다. 이렇게 하면 AWS CodeConnections 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하세요.
**참고**
새 서비스 접두사로 생성된 리소스에 대한 작업을 `codeconnections` 사용할 수 있습니다. 새 서비스 접두사 아래에 리소스를 생성하면 리소스 ARN`codeconnections`에가 사용됩니다. `codestar-connections` 서비스 접두사에 대한 작업 및 리소스는 계속 사용할 수 있습니다. IAM 정책에서 리소스를 지정할 때 서비스 접두사는 리소스의 접두사와 일치해야 합니다.
## 에 대한 서비스 연결 역할 권한 AWS CodeConnections
AWS CodeConnections 는 AWSServiceRoleForGitSync 서비스 연결 역할을 사용하여 연결된 Git 기반 리포지토리와 Git 동기화를 사용합니다.
AWSServiceRoleForGitSync 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `repository.sync.codeconnections.amazonaws.com`
AWSGitSyncServiceRolePolicy라는 역할 권한 정책은가 지정된 리소스에서 다음 작업을 완료 AWS CodeConnections 하도록 허용합니다.
+ 작업: 사용자에게 외부 Git 기반 리포지토리와의 연결을 생성하고 이러한 리포지토리와의 Git 동기화를 사용할 수 있는 권한을 부여합니다.
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) 섹션을 참조하세요.
## 에 대한 서비스 연결 역할 생성 AWS CodeConnections
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. CreateRepositoryLink API를 사용하여 Git과 동기화된 프로젝트를 위한 리소스를 생성할 때 역할을 생성합니다.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다.
## 에 대한 서비스 연결 역할 편집 AWS CodeConnections
서비스 연결 역할을 생성한 후에는 다양한 개체가 해당 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 그러나 IAM을 사용하여 역할 설명을 편집할 수는 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## 에 대한 서비스 연결 역할 삭제 AWS CodeConnections
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 이렇게 하면 적극적으로 모니터링하거나 유지 관리하지 않는 미사용 개체가 없게 됩니다. 서비스 연결 역할에 대한 리소스를 먼저 정리해야 삭제할 수 있습니다. 즉 AWS , 계정에서 서비스 역할을 사용하는 모든 연결을 삭제합니다.
**참고**
리소스를 삭제하려고 할 때 AWS CodeConnections 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
**AWSServiceRoleForGitSync에서 사용하는 AWS CodeConnections 리소스를 삭제하려면**
1. 개발자 도구 콘솔을 열고 **설정**을 선택합니다.
1. 목록에 표시되는 모든 연결을 선택한 다음 **삭제**를 선택합니다.
1. 연결을 생성한 모든 AWS 리전에서이 단계를 반복합니다.
****IAM을 사용**하여 서비스 연결 역할을 삭제하려면 **
IAM 콘솔 AWS CLI또는 AWS Identity and Access Management API를 사용하여 AWSServiceRoleForGitSync 서비스 연결 역할을 삭제합니다. 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)의 *서비스 연결 역할 삭제*를 참조하세요.
## AWS CodeConnections 서비스 연결 역할에 지원되는 리전
AWS CodeConnections 는 서비스를 사용할 수 있는 모든 AWS 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [AWS 리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html) 섹션을 참조하십시오.
# AWS 에 대한 관리형 정책 AWS CodeConnections
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
**참고**
새 서비스 접두사로 생성된 리소스에 대한 작업을 `codeconnections` 사용할 수 있습니다. 새 서비스 접두사 아래에 리소스를 생성하면 리소스 ARN`codeconnections`에가 사용됩니다. `codestar-connections` 서비스 접두사에 대한 작업 및 리소스는 계속 사용할 수 있습니다. IAM 정책에서 리소스를 지정할 때 서비스 접두사는 리소스의 접두사와 일치해야 합니다.
## AWS 관리형 정책: AWSGitSyncServiceRolePolicy
IAM 엔터티에 AWSGitSyncServiceRolePolicy를 연결할 수 없습니다. 이 정책은가 사용자를 대신하여 작업을 AWS CodeConnections 수행하도록 허용하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 [에 대한 서비스 연결 역할 사용 AWS CodeConnections](service-linked-role-connections.md) 단원을 참조하십시오.
이 정책을 통해 고객은 Git 기반 리포지토리를 액세스하여 연결에 사용할 수 있습니다. 고객은 CreateRepositoryLink API를 사용한 후 이러한 리소스에 액세스할 수 있습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `codeconnections` - 사용자에게 외부 Git 기반 리포지토리에 대한 연결을 생성할 수 있는 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessGitRepos",
"Effect": "Allow",
"Action": [
"codestar-connections:UseConnection",
"codeconnections:UseConnection"
],
"Resource": [
"arn:aws:codestar-connections:*:*:connection/*",
"arn:aws:codeconnections:*:*:connection/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS CodeConnections AWS 관리형 정책에 대한 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS CodeConnections 이후부터의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS CodeConnections [문서 기록](doc-history.md) 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSGitSyncServiceRolePolicy](#security-iam-awsmanpol-AWSGitSyncServiceRolePolicy) – 업데이트된 정책 | AWS CodeStar Connections 서비스 이름이 로 변경되었습니다 AWS CodeConnections. 두 서비스 접두사가 모두 포함된 ARNs이 있는 리소스에 대한 정책을 업데이트했습니다. | 2024년 4월 26일 |
| [AWSGitSyncServiceRolePolicy](#security-iam-awsmanpol-AWSGitSyncServiceRolePolicy) – 새 정책 | AWS CodeStar Connections에서 정책을 추가했습니다. 연결 사용자가 연결된 Git 기반 리포지토리와 Git 동기화를 사용할 수 있는 권한을 부여합니다. | 2023년 11월 26일 |
| AWS CodeConnections 에서 변경 내용 추적 시작 | AWS CodeConnections 가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2023년 11월 26일 |
# AWS CodeStar Notifications 및 AWS CodeConnections에 대한 규정 준수 검증
특정 규정 준수 프로그램 범위의 AWS 서비스 목록은 [AWS 규정 준수 프로그램별 범위 내 서비스를](https://aws.amazon.com/compliance/services-in-scope/) 참조하세요. 일반 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)을 참조하세요.
를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다 AWS Artifact. 자세한 내용은 [AWS 아티팩트에서 보고서 다운로드를 참조하세요](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
AWS CodeStar Notifications 및 AWS CodeConnections 사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표 및 관련 법률과 규정에 따라 결정됩니다.는 규정 준수를 지원할 다음과 같은 리소스를 AWS 제공합니다.
+ [보안 및 규정 준수 빠른 시작 가이드](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) -이 배포 가이드에서는 아키텍처 고려 사항에 대해 설명하고 보안 및 규정 준수 중심 기준 환경을 배포하기 위한 단계를 제공합니다 AWS.
+ [AWS 규정 준수 리소스](https://aws.amazon.com/compliance/resources/) -이 워크북 및 가이드 모음은 산업 및 위치에 적용될 수 있습니다.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) -이 AWS 서비스는 리소스 구성이 내부 관행, 업계 지침 및 규정을 얼마나 잘 준수하는지 평가합니다.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) -이 AWS 서비스는 보안 업계 표준 및 모범 사례 준수 여부를 확인하는 데 도움이 AWS 되는 내 보안 상태에 대한 포괄적인 보기를 제공합니다.
# Resilience in AWS CodeStar 알림 및 AWS CodeConnections
AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다. AWS 리전은 물리적으로 분리되고 격리된 여러 가용 영역을 제공하며,이 가용 영역은 지연 시간이 짧고 처리량이 높으며 중복성이 높은 네트워킹과 연결됩니다. 가용 영역을 사용하면 중단 없이 가용 영역 간에 자동으로 장애 조치가 이루어지는 애플리케이션 및 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 복수 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.
AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라를](https://aws.amazon.com/about-aws/global-infrastructure/) 참조하세요.
+ 알림 규칙은 규칙이 생성되는 AWS 리전 에 따라 다릅니다. 둘 이상의에 알림 규칙이 있는 경우 리전 선택기를 AWS 리전사용하여 각의 알림 규칙을 검토합니다 AWS 리전.
+ AWS CodeStar Notifications는 Amazon Simple Notification Service(Amazon SNS) 주제를 알림 규칙 대상으로 사용합니다. Amazon SNS 주제 및 알림 규칙 대상에 관한 정보는 알림 규칙을 구성한 리전이 아닌 다른 AWS 리전에 저장될 수 있습니다.
# 인프라 보안 in AWS CodeStar 알림 및 AWS CodeConnections
관리형 서비스의 기능으로 AWS CodeStar Notifications 및 AWS CodeConnections는 [Amazon Web Services: 보안 프로세스 개요](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) 백서에 설명된 AWS 글로벌 네트워크 보안 절차로 보호됩니다.
AWS 에서 게시한 API 호출을 사용하여 네트워크를 통해 AWS CodeStar Notifications 및 AWS CodeConnections에 액세스합니다. 클라이언트가 전송 계층 보안(TLS) 1.0 이상을 지원해야 합니다. 클라이언트는 Ephemeral Diffie-Hellman(DHE) 또는 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)과 같은 Perfect Forward Secrecy(PFS)가 포함된 암호 제품군도 지원해야 합니다. 대부분의 최신 시스템은 이러한 모드를 지원합니다.
요청은 액세스 키 ID 및 IAM 보안 주체와 관련된 비밀 액세스 키를 사용하여 서명해야 합니다. 또는 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)(AWS STS)를 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.
## 리전 간 AWS CodeConnections 리소스 간 트래픽
연결 기능을 사용하여 리소스 연결을 활성화하는 경우 리소스 AWS 리전 가 생성된 리전 이외의 리전에서 이러한 리소스에 대한 연결을 제공하기 위한 목적으로만 기본 서비스를 사용하는 AWS 리전 외부에 이러한 연결 리소스와 관련된 정보를 저장하고 처리하도록 당사에 동의하고 지시합니다.
자세한 내용은 [AWS CodeConnections의 글로벌 리소스](welcome-connections-how-it-works-global.md) 단원을 참조하십시오.
**참고**
연결 기능을 사용하여 먼저 활성화할 필요가 없는 리전 내 리소스에 대한 연결을 활성화하는 경우 이전 주제에서 설명한 대로 정보가 저장 및 처리됩니다.
유럽(밀라노) 리전과 같이 먼저 활성화해야 하는 리전에서 설정된 연결의 경우 해당 리전에서만 해당 연결에 대한 정보가 저장 및 처리됩니다.