기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 권한 및 예제 AWS CodeConnections
다음의 정책 설명과 예는 AWS CodeConnections를 관리하는 데 도움이 될 수 있습니다.
이러한 예제 IAM 정책 문서를 사용하여 JSON 자격 증명 기반 정책을 생성하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 JSON 탭에서 정책 생성을 참조하세요.
예: CLI AWS CodeConnections 로 생성하고 콘솔로 보기에 대한 정책
AWS CLI 또는 SDK를 사용하여 연결을 확인, 생성, 태그 지정 또는 삭제하도록 지정된 역할 또는 사용자는 다음으로 제한된 권한을 가져야 합니다.
참고
다음 권한만으로는 콘솔에서 연결을 완료할 수 없습니다. 다음 섹션의 권한을 추가해야 합니다.
콘솔을 사용하여 사용 가능한 연결 목록을 보고, 태그를 보고, 연결을 사용하려면 다음 정책을 사용합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ConnectionsFullAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:TagResource",
"codeconnections:ListTagsForResource",
"codeconnections:UntagResource"
],
"Resource": "*"
}
]
}
예: 콘솔 AWS CodeConnections 을 사용하여를 생성하기 위한 정책
콘솔에서 연결을 관리하도록 지정된 역할 또는 사용자에게는 콘솔에서 연결을 완료하고 설치를 만드는 데 필요한 권한이 있어야 합니다. 여기에는 공급자에게 핸드셰이크 권한을 부여하고 사용할 연결에 대한 설치를 만드는 작업이 포함됩니다. 콘솔에서 연결을 사용할 수 있도록 UseConnection
도 추가해야 합니다. 콘솔에서 연결을 보거나, 사용하거나, 생성하거나, 태깅하거나, 삭제하려면 다음 정책을 사용합니다.
참고
2024년 7월 1일부터 콘솔은 리소스 ARNcodeconnections
에서와 연결을 생성합니다. 두 서비스 접두사가 있는 리소스는 콘솔에 계속 표시됩니다.
참고
콘솔을 사용하여 생성된 리소스의 경우 정책 설명 작업은 다음 예제와 같이를 서비스 접두사codestar-connections
로 포함해야 합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codestar-connections:CreateConnection",
"codestar-connections:DeleteConnection",
"codestar-connections:GetConnection",
"codestar-connections:ListConnections",
"codestar-connections:GetInstallationUrl",
"codestar-connections:GetIndividualAccessToken",
"codestar-connections:ListInstallationTargets",
"codestar-connections:StartOAuthHandshake",
"codestar-connections:UpdateConnectionInstallation",
"codestar-connections:UseConnection",
"codestar-connections:TagResource",
"codestar-connections:ListTagsForResource",
"codestar-connections:UntagResource"
],
"Resource": [
"*"
]
}
]
}
예: 관리를 위한 관리자 수준 정책 AWS CodeConnections
이 예제에서는 사용자가 연결을 추가, 업데이트 및 삭제할 수 있도록 AWS 계정의 IAM 사용자에게 CodeConnections 에 대한 전체 액세스 권한을 부여하려고 합니다. 이는 AWSCodePipeline_FullAccess 관리형 정책과 동일한 전체 액세스 정책입니다. 이러한 관리형 정책과 마찬가지로 이러한 종류의 정책 문은 AWS 계정 전반의 연결에 대한 전체 관리 액세스가 필요한 IAM 사용자, 그룹 또는 역할에만 연결해야 합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ConnectionsFullAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:DeleteConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:StartOAuthHandshake",
"codeconnections:UpdateConnectionInstallation",
"codeconnections:GetIndividualAccessToken",
"codeconnections:TagResource",
"codeconnections:ListTagsForResource",
"codeconnections:UntagResource"
],
"Resource": "*"
}
]
}
예: 사용에 대한 기여자 수준 정책 AWS CodeConnections
이 예제에서는 연결 세부 정보 생성 및 보기와 같은 day-to-day 사용에 대한 액세스 권한을 부여하지만 연결 삭제와 같은 더 파괴적인 작업에는 부여하지 않습니다. CodeConnections
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCodeConnectionsPowerUserAccess",
"Effect": "Allow",
"Action": [
"codeconnections:CreateConnection",
"codeconnections:UseConnection",
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:GetIndividualAccessToken",
"codeconnections:StartOAuthHandshake",
"codeconnections:UpdateConnectionInstallation",
"codeconnections:ListTagsForResource"
],
"Resource": "*"
}
]
}
예: 사용에 대한 A read-only-level 정책 AWS CodeConnections
이 예제에서는 계정의 IAM 사용자에게 AWS 계정의 연결에 대한 읽기 전용 액세스 권한을 부여하려고 합니다. 이 예제에서는 이러한 항목의 보기를 허용하는 정책을 생성할 수 있는 방법을 보여줍니다.
{
"Version": "2012-10-17",
"Id": "Connections__ReadOnly",
"Statement": [
{
"Sid": "Reads_API_Access",
"Effect": "Allow",
"Action": [
"codeconnections:GetConnection",
"codeconnections:ListConnections",
"codeconnections:ListInstallationTargets",
"codeconnections:GetInstallationUrl",
"codeconnections:ListTagsForResource"
],
"Resource": "*"
}
]
}
예: 지정된 리포지토리와 AWS CodeConnections 함께를 사용하기 위한 범위 축소 정책
다음 예제에서 고객은 CodeBuild 서비스 역할이 지정된 Bitbucket 리포지토리에 액세스하기를 원합니다. CodeBuild 서비스 역할에 대한 정책:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"codeconnections:UseConnection"
],
"Resource": "arn:aws:codeconnections:us-west-2:connection:3dee99b9-172f-4ebe-a257-722365a39557",
"Condition": {"ForAllValues:StringEquals": {"codeconnections:FullRepositoryId": "myrepoowner/myreponame"}}
}
}
예: CodePipeline와의 연결을 사용하는 정책
다음 예제에서는 관리자가 사용자가 CodePipeline와의 연결을 사용하길 원합니다. 사용자에게 연결된 정책은 다음과 같습니다.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"codeconnections:PassConnection"
],
"Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f",
"Condition": {"ForAllValues:StringEquals": {"codeconnections:PassedToService": "codepipeline.amazonaws.com"}}
}
}
예:에서 Bitbucket 읽기 작업에 a CodeBuild 서비스 역할 사용 AWS CodeConnections
다음 예제에서 고객은 CodeBuild 서비스 역할이 리포지토리에 관계없이 Bitbucket에서 읽기 작업을 수행하기를 원합니다. CodeBuild 서비스 역할에 대한 정책:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"codeconnections:UseConnection"
],
"Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f",
"Condition": {"ForAllValues:StringEquals": {"codeconnections:ProviderPermissionsRequired": "read_only"}}
}
}
예: 로 CodeBuild 서비스 역할의 작업 수행 제한 AWS CodeConnections
다음 예제에서 고객은 CodeBuild 서비스 역할이와 같은 작업을 수행하지 못하게 하려고 합니다CreateRepository
. CodeBuild 서비스 역할에 대한 정책:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"codeconnections:UseConnection"
],
"Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f",
"Condition": {"ForAllValues:StringNotEquals": {"codeconnections:ProviderAction": "CreateRepository"}}
}
}