Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Conceda acesso aos AWS recursos do projeto com funções do IAM

Modo de foco
Conceda acesso aos AWS recursos do projeto com funções do IAM - Amazon CodeCatalyst

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CodeCatalyst pode acessar AWS recursos conectando seu Conta da AWS a um CodeCatalyst espaço. Em seguida, você pode criar os seguintes perfis de serviço e associá-los ao conectar sua conta.

Para ter mais informações sobre os elementos usados em uma política JSON, consulte Referência de elementos de política JSON do IAM no Guia do usuário do IAM.

  • Para acessar recursos em e Conta da AWS para seus CodeCatalyst projetos e fluxos de trabalho, você deve primeiro conceder permissão CodeCatalyst para acessar esses recursos em seu nome. Para fazer isso, você deve criar uma função de serviço em um ambiente conectado Conta da AWS que CodeCatalyst possa assumir em nome de usuários e projetos no espaço. Você pode optar por criar e usar o CodeCatalystWorkflowDevelopmentRole-spaceNamefunção de serviço, ou você pode criar funções de serviço personalizadas e configurar essas políticas e funções do IAM manualmente. Como prática recomendada, atribua esses perfis à menor quantidade de permissões necessária.

    nota

    Para funções de serviço personalizadas, é necessário o responsável pelo CodeCatalyst serviço. Para obter mais informações sobre o principal CodeCatalyst de serviço e o modelo de confiança, consulteEntendendo o modelo de CodeCatalyst confiança.

  • Para gerenciar o suporte para um espaço por meio do conectado Conta da AWS, você pode optar por criar e usar o AWSRoleForCodeCatalystSupportfunção de serviço que permite que CodeCatalyst os usuários acessem o suporte. Para obter mais informações sobre suporte para um CodeCatalyst espaço, consulteSupport para Amazon CodeCatalyst.

Noções básicas sobre as CodeCatalystWorkflowDevelopmentRole-Função de serviço do spaceName

Você pode adicionar uma função do IAM ao seu espaço que CodeCatalyst pode ser usada para criar e acessar recursos em um ambiente conectado Conta da AWS. Chamamos isso de um perfil de serviço. A maneira mais simples de criar uma função de serviço é adicionar uma ao criar o espaço e escolher a CodeCatalystWorkflowDevelopmentRole-spaceNameopção para essa função. Isso não apenas cria a função de serviço com o AdministratorAccess anexo, mas também cria a política de confiança que permite assumir CodeCatalyst a função em nome dos usuários em projetos no espaço. O perfil de serviço tem como escopo o espaço, não os projetos individuais. Para criar essa função, consulte Criar a CodeCatalystWorkflowDevelopmentRole-spaceNamefunção para sua conta e espaço. Só será possível criar um perfil para cada espaço em cada conta.

nota

Essa função só é recomendada para uso com contas de desenvolvimento e usa a política AdministratorAccess AWS gerenciada, dando a ela acesso total para criar novas políticas e recursos nela Conta da AWS.

A política anexada ao CodeCatalystWorkflowDevelopmentRole-spaceNameA função foi projetada para trabalhar com projetos criados com plantas no espaço. Ela permite que os usuários desses projetos desenvolvam, criem, testem e implantem código usando recursos na Conta da AWS conectada. Para obter mais informações, consulte Criação de uma função para um AWS serviço.

A política anexada ao CodeCatalystWorkflowDevelopmentRole-spaceNamea função é a política AdministratorAccess gerenciada em AWS. Essa é uma política que concede acesso total a todas as AWS ações e recursos. Para ver o documento de política JSON no console do IAM, consulte AdministratorAccess.

A seguinte política de confiança CodeCatalyst permite assumir o CodeCatalystWorkflowDevelopmentRole-Função do spaceName. Para obter mais informações sobre o modelo de CodeCatalyst confiança, consulteEntendendo o modelo de CodeCatalyst confiança.

"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]

Criar a CodeCatalystWorkflowDevelopmentRole-spaceNamefunção para sua conta e espaço

Siga estas etapas para criar o perfil CodeCatalystWorkflowDevelopmentRole-spaceName que será usado para fluxos de trabalho em seu espaço. Para cada conta que você deseja que tenha perfis do IAM para uso em projetos, no seu espaço, você deve adicionar um perfil, como o perfil de desenvolvedor.

Antes de começar, você deve ter privilégios administrativos para seu administrador Conta da AWS ou ser capaz de trabalhar com ele. Para obter mais informações sobre como Contas da AWS as funções do IAM são usadas em CodeCatalyst, consultePermitindo acesso a AWS recursos com conexão Contas da AWS.

Para criar e adicionar o CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName
  1. Antes de começar no CodeCatalyst console, abra o e AWS Management Console, em seguida, verifique se você está logado com o mesmo Conta da AWS em seu espaço.

  2. Abra o CodeCatalyst console em https://codecatalyst.aws/.

  3. Navegue até seu CodeCatalyst espaço. Escolha Settings (Configurações) e Contas da AWS.

  4. Escolha o link para Conta da AWS onde você deseja criar a função. A página Detalhes da Conta da AWS é exibida.

  5. Escolha Gerenciar funções em AWS Management Console.

    A página Adicionar função do IAM ao CodeCatalyst espaço da Amazon é aberta no AWS Management Console. Esta é a página do Amazon CodeCatalyst Spaces. Talvez seja necessário fazer login para acessá-la.

  6. Escolha Criar função CodeCatalyst de administrador de desenvolvimento no IAM. Essa opção cria um perfil de serviço que contém a política de permissões e a política de confiança para o perfil de desenvolvimento. O perfil terá um nome CodeCatalystWorkflowDevelopmentRole-spaceName. Para ter mais informações sobre o perfil e a política de perfis, consulte Noções básicas sobre as CodeCatalystWorkflowDevelopmentRole-Função de serviço do spaceName.

    nota

    Essa função só é recomendada para uso com contas de desenvolvedor e usa a política AdministratorAccess AWS gerenciada, dando a ela acesso total para criar novas políticas e recursos nela Conta da AWS.

  7. Selecione Criar perfil de desenvolvimento.

  8. Na página de conexões, em Funções do IAM disponíveis para CodeCatalyst, veja a CodeCatalystWorkflowDevelopmentRole-spaceName função na lista de funções do IAM adicionadas à sua conta.

  9. Para retornar ao seu espaço, escolha Go to Amazon CodeCatalyst.

Noções básicas sobre as AWSRoleForCodeCatalystSupportFunção de serviço do

Você pode adicionar uma função do IAM ao seu espaço que CodeCatalyst os usuários em um espaço possam usar para criar e acessar casos de suporte. Isso é chamado de perfil de serviço para suporte. A maneira mais simples de criar um perfil de serviço para suporte é adicionar um ao criar o espaço e escolher a opção AWSRoleForCodeCatalystSupport para esse perfil. Isso não apenas cria a política e a função, mas também cria a política de confiança que CodeCatalyst permite assumir a função em nome dos usuários em projetos no espaço. O perfil de serviço tem como escopo o espaço, não os projetos individuais. Para criar essa função, consulte Criar a AWSRoleForCodeCatalystSupportfunção para sua conta e espaço.

A política anexada ao perfil AWSRoleForCodeCatalystSupport é uma política gerenciada que fornece acesso às permissões de suporte. Para obter mais informações, consulte AWS política gerenciada: AmazonCodeCatalystSupportAccess.

A função de confiança da política CodeCatalyst permite assumir a função.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst.amazonaws.com", "codecatalyst-runner.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

Criar a AWSRoleForCodeCatalystSupportfunção para sua conta e espaço

Siga estas etapas para criar o perfil AWSRoleForCodeCatalystSupport que será usado para casos de suporte em seu espaço. O perfil deve ser adicionado à conta de faturamento designada para o espaço.

Antes de começar, você deve ter privilégios administrativos para seu administrador Conta da AWS ou ser capaz de trabalhar com ele. Para obter mais informações sobre como Contas da AWS as funções do IAM são usadas em CodeCatalyst, consultePermitindo acesso a AWS recursos com conexão Contas da AWS.

Para criar e adicionar o CodeCatalyst AWSRoleForCodeCatalystSupport
  1. Antes de começar no CodeCatalyst console, abra o e AWS Management Console, em seguida, verifique se você está logado com o mesmo Conta da AWS em seu espaço.

  2. Navegue até seu CodeCatalyst espaço. Escolha Settings (Configurações) e Contas da AWS.

  3. Escolha o link para Conta da AWS onde você deseja criar a função. A página Detalhes da Conta da AWS é exibida.

  4. Escolha Gerenciar funções em AWS Management Console.

    A página Adicionar função do IAM ao CodeCatalyst espaço da Amazon é aberta no AWS Management Console. Esta é a página do Amazon CodeCatalyst Spaces. Talvez seja necessário fazer login para acessá-la.

  5. Em detalhes do CodeCatalyst espaço, escolha Adicionar função de CodeCatalyst Support. Essa opção cria um perfil de serviço que contém a política de permissões e a política de confiança para o perfil de desenvolvimento de demonstração. O papel terá um nome AWSRoleForCodeCatalystSupportcom um identificador exclusivo anexado. Para ter mais informações sobre o perfil e a política de perfis, consulte Noções básicas sobre as AWSRoleForCodeCatalystSupportFunção de serviço do .

  6. Na página Adicionar função para CodeCatalyst Support, deixe o padrão selecionado e escolha Criar função.

  7. Em Funções do IAM disponíveis para CodeCatalyst, veja a CodeCatalystWorkflowDevelopmentRole-spaceName função na lista de funções do IAM adicionadas à sua conta.

  8. Para retornar ao seu espaço, escolha Go to Amazon CodeCatalyst.

Configurando funções do IAM para ações de fluxo de trabalho em CodeCatalyst

Esta seção detalha as funções e políticas do IAM que você pode criar para usar com sua CodeCatalyst conta. Para receber instruções para criar perfis de exemplo, consulte Criação manual de perfis para ações de fluxo de trabalho. Depois de criar o perfil do IAM, copie o ARN da função para adicionar o perfil do IAM à conexão da sua conta e associá-lo ao ambiente do projeto. Para saber mais, consulte Adicionar perfis do IAM às conexões da conta.

CodeCatalyst função de criação para acesso ao Amazon S3

Para ações CodeCatalyst de criação de fluxo de trabalho, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceNamefunção de serviço, ou você pode criar uma função do IAM chamada CodeCatalystBuildRoleforS3Access. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas em AWS CloudFormation recursos em seu Conta da AWS.

Esse perfil concede permissões para o seguinte:

  • Gravar em buckets do Amazon S3.

  • Support a construção de recursos com AWS CloudFormation. Isso requer acesso do Amazon S3.

Esse perfil usa a seguinte política:

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "resource_ARN", "Effect": "Allow" }] }
nota

Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

"Resource": "*"

CodeCatalyst criar função para AWS CloudFormation

Para ações CodeCatalyst de criação de fluxo de trabalho, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceNamefunção de serviço, ou você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas em AWS CloudFormation recursos em seu Conta da AWS.

Esse perfil concede permissões para o seguinte:

  • Support a construção de recursos com AWS CloudFormation. Isso é necessário junto com a função de CodeCatalyst criação para acesso ao Amazon S3 e a função de CodeCatalyst implantação para. AWS CloudFormation

As seguintes políticas AWS gerenciadas devem ser anexadas a essa função:

  • AWSCloudFormationFullAccess

  • IAMFullAcesso

  • Amazon S3 FullAccess

  • APIGatewayAdministrador da Amazon

  • AWSLambdaFullAccess

CodeCatalyst função de criação para o CDK

Para CodeCatalyst fluxos de trabalho que executam ações de criação do CDK, como o aplicativo web moderno de três camadas, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceNamefunção de serviço, ou você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa inicializar e executar comandos de criação do CDK para AWS CloudFormation recursos em seu. Conta da AWS

Esse perfil concede permissões para o seguinte:

  • Gravar em buckets do Amazon S3.

  • Support a construção de construções de CDK e pilhas de AWS CloudFormation recursos. Isso requer acesso ao Amazon S3 para armazenamento de artefatos, ao Amazon ECR para suporte ao repositório de imagens e ao SSM para governança e monitoramento do sistema para instâncias virtuais.

Esse perfil usa a seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }
nota

Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

"Resource": "*"

CodeCatalyst função de implantação para AWS CloudFormation

Para ações CodeCatalyst de implantação de fluxo de trabalho que usam AWS CloudFormation, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceNamefunção de serviço, ou você pode usar uma política com permissões definidas que CodeCatalyst precisa executar tarefas em AWS CloudFormation recursos em seu Conta da AWS.

Esse perfil concede permissões para o seguinte:

  • Permita CodeCatalyst invocar uma função λ para realizar a implantação azul/verde. AWS CloudFormation

  • Permite CodeCatalyst criar e atualizar pilhas e conjuntos de alterações em. AWS CloudFormation

Esse perfil usa a seguinte política:

{"Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "resource_ARN", "Effect": "Allow" }
nota

Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

"Resource": "*"

CodeCatalyst função de implantação para a Amazon EC2

CodeCatalyst as ações de implantação do fluxo de trabalho usam uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões específicas que CodeCatalyst precisa executar tarefas nos EC2 recursos da Amazon em seu Conta da AWS. A política padrão para o CodeCatalystWorkflowDevelopmentRole-spaceNamea função não inclui permissões para Amazon EC2 ou Amazon EC2 Auto Scaling.

Esse perfil concede permissões para o seguinte:

  • Crie EC2 implantações da Amazon.

  • Leia as tags em uma instância ou identifique uma EC2 instância da Amazon pelos nomes dos grupos do Auto Scaling.

  • Leia, crie, atualize e exclua grupos, ganchos de ciclo de vida e políticas de escalabilidade do Amazon EC2 Auto Scaling.

  • Publique informações nos tópicos do Amazon SNS.

  • Recupere informações sobre CloudWatch alarmes.

  • Leia e atualize o Elastic Load Balancing.

Esse perfil usa a seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:CompleteLifecycleAction", "autoscaling:DeleteLifecycleHook", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLifecycleHooks", "autoscaling:PutLifecycleHook", "autoscaling:RecordLifecycleActionHeartbeat", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:EnableMetricsCollection", "autoscaling:DescribePolicies", "autoscaling:DescribeScheduledActions", "autoscaling:DescribeNotificationConfigurations", "autoscaling:SuspendProcesses", "autoscaling:ResumeProcesses", "autoscaling:AttachLoadBalancers", "autoscaling:AttachLoadBalancerTargetGroups", "autoscaling:PutScalingPolicy", "autoscaling:PutScheduledUpdateGroupAction", "autoscaling:PutNotificationConfiguration", "autoscaling:PutWarmPool", "autoscaling:DescribeScalingActivities", "autoscaling:DeleteAutoScalingGroup", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:TerminateInstances", "tag:GetResources", "sns:Publish", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets" ], "Resource": "resource_ARN" } ] }
nota

Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

"Resource": "*"

CodeCatalyst função de implantação para o Amazon ECS

Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceNamefunção de serviço, ou você pode criar uma função do IAM para CodeCatalyst implantar ações a serem usadas em implantações do Lambda. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon ECS em seu. Conta da AWS

Esse perfil concede permissões para o seguinte:

  • Inicie a implantação contínua do Amazon ECS em nome de um CodeCatalyst usuário, em uma conta especificada na CodeCatalyst conexão.

  • Ler, atualizar e excluir conjuntos de tarefas do Amazon ECS.

  • Atualizar grupos de destino, receptores e regras do Elastic Load Balancing.

  • Invocar funções do Lambda.

  • Acessar arquivos de revisão em buckets do Amazon S3.

  • Recupere informações sobre CloudWatch alarmes.

  • Publique informações nos tópicos do Amazon SNS.

Esse perfil usa a seguinte política:

{ "Version": "2012-10-17", "Statement": [{ "Action":[ "ecs:DescribeServices", "ecs:CreateTaskSet", "ecs:DeleteTaskSet", "ecs:ListClusters", "ecs:RegisterTaskDefinition", "ecs:UpdateServicePrimaryTaskSet", "ecs:UpdateService", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:ModifyListener", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:ModifyRule", "lambda:InvokeFunction", "lambda:ListFunctions", "cloudwatch:DescribeAlarms", "sns:Publish", "sns:ListTopics", "s3:GetObject", "s3:GetObjectVersion", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetDeployment", "codedeploy:GetDeploymentGroup", "codedeploy:ListApplications", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:StopDeployment", "codedeploy:GetDeploymentTarget", "codedeploy:ListDeploymentTargets", "codedeploy:GetDeploymentConfig", "codedeploy:GetApplicationRevision", "codedeploy:RegisterApplicationRevision", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:BatchGetApplications", "codedeploy:ListApplicationRevisions", "codedeploy:ListDeploymentConfigs", "codedeploy:ContinueDeployment" ], "Resource":"*", "Effect":"Allow" },{"Action":[ "iam:PassRole" ], "Effect":"Allow", "Resource":"*", "Condition":{"StringLike":{"iam:PassedToService":[ "ecs-tasks.amazonaws.com", "codedeploy.amazonaws.com" ] } } }] }
nota

Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

"Resource": "*"

CodeCatalyst função de implantação para Lambda

Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceNamefunção de serviço, ou você cria uma função do IAM para CodeCatalyst implantar ações a serem usadas em implantações do Lambda. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS

Esse perfil concede permissões para o seguinte:

  • Ler, atualizar e invocar funções do Lambda e aliases.

  • Acessar arquivos de revisão em buckets do Amazon S3.

  • Recupere informações sobre alarmes de CloudWatch eventos.

  • Publique informações nos tópicos do Amazon SNS.

Esse perfil usa a seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
nota

Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

"Resource": "*"

CodeCatalyst função de implantação para Lambda

Para ações CodeCatalyst de fluxo de trabalho, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceNamefunção de serviço, ou você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS

Esse perfil concede permissões para o seguinte:

  • Ler, atualizar e invocar funções do Lambda e aliases.

  • Acessar arquivos de revisão em buckets do Amazon S3.

  • Recupere informações sobre CloudWatch alarmes.

  • Publique informações nos tópicos do Amazon SNS.

Esse perfil usa a seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
nota

Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

"Resource": "*"

CodeCatalyst função de implantação para AWS SAM

Para ações CodeCatalyst de fluxo de trabalho, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceNamefunção de serviço, ou você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas AWS SAM e AWS CloudFormation recursos em seu Conta da AWS.

Esse perfil concede permissões para o seguinte:

  • Permita CodeCatalyst invocar uma função Lambda para realizar a implantação de aplicativos CLI e sem servidor AWS SAM .

  • Permite CodeCatalyst criar e atualizar pilhas e conjuntos de alterações em. AWS CloudFormation

Esse perfil usa a seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }
nota

Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

"Resource": "*"

CodeCatalyst função somente para leitura na Amazon EC2

Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões específicas que CodeCatalyst precisa executar tarefas nos EC2 recursos da Amazon em seu Conta da AWS. A CodeCatalystWorkflowDevelopmentRole-spaceNamea função de serviço não inclui permissões para a Amazon EC2 ou as ações descritas para a Amazon CloudWatch.

Esse perfil concede permissões para o seguinte:

  • Obtenha o status das EC2 instâncias da Amazon.

  • Obtenha CloudWatch métricas para EC2 instâncias da Amazon.

Esse perfil usa a seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe", "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": "elasticloadbalancing:Describe", "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:Describe" ], "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": "autoscaling:Describe", "Resource": "resource_ARN" } ] }
nota

Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

"Resource": "*"

CodeCatalyst função somente de leitura para Amazon ECS

Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon ECS em seu. Conta da AWS

Esse perfil concede permissões para o seguinte:

  • Ler conjuntos de tarefas do Amazon ECS.

  • Recupere informações sobre CloudWatch alarmes.

Esse perfil usa a seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:DescribeServices", "cloudwatch:DescribeAlarms" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeRules" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam:::role/ecsTaskExecutionRole", "arn:aws:iam:::role/ECSTaskExecution" ], "Condition": { "StringLike": { "iam:PassedToService": [ "ecs-tasks.amazonaws.com" ] } } } ] }
nota

Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

"Resource": "*"

CodeCatalyst função somente de leitura para Lambda

Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS

Esse perfil concede permissões para o seguinte:

  • Ler funções e aliases do Lambda.

  • Acessar arquivos de revisão em buckets do Amazon S3.

  • Recupere informações sobre CloudWatch alarmes.

Essa função usa a seguinte política do .

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" } ] }
nota

Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

"Resource": "*"

Criação manual de perfis para ações de fluxo de trabalho

CodeCatalyst as ações de fluxo de trabalho usam funções do IAM que você cria, chamadas de função de construção, função de implantação e função de pilha.

Siga estas etapas para criar esses perfis no IAM.

Para criar um perfil de implantação
  1. Crie uma política para o perfil da seguinte maneira:

    1. Faça login em AWS.

    2. Abra o console do IAM em https://console.aws.amazon.com/iam/.

    3. No painel de navegação, selecione Políticas.

    4. Escolha Criar política.

    5. Escolha a guia JSON.

    6. Exclua o código existente.

    7. Cole o seguinte código:

      { "Version": "2012-10-17", "Statement": [{ "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }
      nota

      Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

      "Resource": "*"
    8. Escolha Próximo: etiquetas.

    9. Selecione Próximo: revisar.

    10. Em Nome, insira:

      codecatalyst-deploy-policy
    11. Escolha Criar política.

      Agora você criou uma política de permissões.

  2. Crie o perfil de implantação, da seguinte forma:

    1. No painel de navegação, escolha Perfis e Criar perfil.

    2. Selecione Política de confiança personalizada.

    3. Exclua a política de confiança personalizada existente.

    4. Adicione a política de confiança personalizada a seguir:

      { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
    5. Escolha Próximo.

    6. Em Políticas de permissões, procure codecatalyst-deploy-policy e marque a caixa de seleção.

    7. Escolha Próximo.

    8. Em Nome do perfil, insira:

      codecatalyst-deploy-role
    9. Em Descrição do perfil, insira:

      CodeCatalyst deploy role
    10. Selecione Criar perfil.

    Agora você criou um perfil de implantação com uma política de confiança e uma política de permissões.

  3. Obtenha o ARN do perfil de implantação, da seguinte forma:

    1. No painel de navegação, selecione Perfis.

    2. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (codecatalyst-deploy-role).

    3. Escolha o perfil na lista.

      A página Resumo do perfil é exibida.

    4. Na parte superior, copie o valor do ARN.

    Agora você criou o perfil de implantação com as permissões apropriadas e obteve o ARN.

Como criar um perfil de criação
  1. Crie uma política para o perfil da seguinte maneira:

    1. Faça login em AWS.

    2. Abra o console do IAM em https://console.aws.amazon.com/iam/.

    3. No painel de navegação, selecione Políticas.

    4. Escolha Criar política.

    5. Escolha a guia JSON.

    6. Exclua o código existente.

    7. Cole o seguinte código:

      { "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }
      nota

      Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

      "Resource": "*"
    8. Escolha Próximo: etiquetas.

    9. Selecione Próximo: revisar.

    10. Em Nome, insira:

      codecatalyst-build-policy
    11. Escolha Criar política.

      Agora você criou uma política de permissões.

  2. Crie o perfil de criação, da seguinte forma:

    1. No painel de navegação, escolha Perfis e Criar perfil.

    2. Selecione Política de confiança personalizada.

    3. Exclua a política de confiança personalizada existente.

    4. Adicione a política de confiança personalizada a seguir:

      { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
    5. Escolha Próximo.

    6. Em Políticas de permissões, procure codecatalyst-build-policy e marque a caixa de seleção.

    7. Escolha Próximo.

    8. Em Nome do perfil, insira:

      codecatalyst-build-role
    9. Em Descrição do perfil, insira:

      CodeCatalyst build role
    10. Selecione Criar perfil.

    Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.

  3. Obtenha o ARN do perfil de criação, da seguinte forma:

    1. No painel de navegação, selecione Perfis.

    2. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (codecatalyst-build-role).

    3. Escolha o perfil na lista.

      A página Resumo do perfil é exibida.

    4. Na parte superior, copie o valor do ARN.

    Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.

Para criar um perfil de pilha
nota

Você não precisa criar um perfil de pilha, embora isso seja recomendado por motivos de segurança. Se você não criar o perfil de pilha, precisará adicionar as políticas de permissões descritas mais adiante neste procedimento ao perfil de implantação.

  1. Faça login AWS usando a conta na qual você deseja implantar sua pilha.

  2. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  3. No painel de navegação, escolha Perfis e Criar perfil.

  4. Na parte superior, selecione Serviço da AWS .

  5. Na lista de serviços, escolha CloudFormation.

  6. Escolha Próximo: Permissões.

  7. Na caixa de pesquisa, adicione todas as políticas necessárias para acessar os recursos em sua pilha. Por exemplo, se sua pilha inclui uma AWS Lambda função, você precisa adicionar uma política que conceda acesso ao Lambda.

    dica

    Se não tiver certeza de quais políticas adicionar, você pode omiti-las por enquanto. Quando você testa a ação, se você não tiver as permissões corretas, AWS CloudFormation gera erros que mostram quais permissões você precisa adicionar.

  8. Escolha Próximo: etiquetas.

  9. Selecione Próximo: revisar.

  10. Em Nome do perfil, insira:

    codecatalyst-stack-role
  11. Selecione Criar perfil.

  12. Para obter o ARN do perfil de pilha, faça o seguinte:

    1. No painel de navegação, selecione Perfis.

    2. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (codecatalyst-stack-role).

    3. Escolha o perfil na lista.

    4. Na página Resumo, copie o valor de ARN do perfil.

Usando AWS CloudFormation para criar políticas e funções no IAM

Você pode escolher criar e usar AWS CloudFormation modelos para criar as políticas e funções necessárias para acessar recursos em seus CodeCatalyst projetos e fluxos de trabalho. Conta da AWS AWS CloudFormation é um serviço que ajuda você a modelar e configurar seus AWS recursos para que você possa passar menos tempo gerenciando esses recursos e mais tempo se concentrando nos aplicativos que são executados em AWS. Se você pretende criar funções em várias Contas da AWS, criar um modelo pode ajudá-lo a realizar essa tarefa mais rapidamente.

O modelo de exemplo a seguir cria uma política e um perfil de ação de implantação.

Parameters: CodeCatalystAccountId: Type: String Description: Account ID from the connections page ExternalId: Type: String Description: External ID from the connections page Resources: CrossAccountRole: Type: 'AWS::IAM::Role' Properties: AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Principal: AWS: - !Ref CodeCatalystAccountId Action: - 'sts:AssumeRole' Condition: StringEquals: sts:ExternalId: !Ref ExternalId Path: / Policies: - PolicyName: CodeCatalyst-CloudFormation-action-policy PolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Action: - 'cloudformation:CreateStack' - 'cloudformation:DeleteStack' - 'cloudformation:Describe*' - 'cloudformation:UpdateStack' - 'cloudformation:CreateChangeSet' - 'cloudformation:DeleteChangeSet' - 'cloudformation:ExecuteChangeSet' - 'cloudformation:SetStackPolicy' - 'cloudformation:ValidateTemplate' - 'cloudformation:List*' - 'iam:PassRole' Resource: '*'

Criar o perfil manualmente para o esquema da aplicação web

O blueprint do aplicativo CodeCatalyst web usa funções do IAM que você cria, chamadas de função de construção para CDK, função de implantação e função de pilha.

Siga estas etapas para criar o perfil no IAM.

Como criar um perfil de criação
  1. Crie uma política para o perfil da seguinte maneira:

    1. Faça login em AWS.

    2. Abra o console do IAM em https://console.aws.amazon.com/iam/.

    3. No painel de navegação, selecione Políticas.

    4. Escolha Criar política.

    5. Escolha a guia JSON.

    6. Exclua o código existente.

    7. Cole o seguinte código:

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }
      nota

      Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

      "Resource": "*"
    8. Escolha Próximo: etiquetas.

    9. Selecione Próximo: revisar.

    10. Em Nome, insira:

      codecatalyst-webapp-build-policy
    11. Escolha Criar política.

      Agora você criou uma política de permissões.

  2. Crie o perfil de criação, da seguinte forma:

    1. No painel de navegação, escolha Perfis e Criar perfil.

    2. Selecione Política de confiança personalizada.

    3. Exclua a política de confiança personalizada existente.

    4. Adicione a política de confiança personalizada a seguir:

      { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
    5. Escolha Próximo.

    6. Anexe a política de permissões ao perfil de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise codecatalyst-webapp-build-policy e marque a caixa de seleção.

    7. Escolha Próximo.

    8. Em Nome do perfil, insira:

      codecatalyst-webapp-build-role
    9. Em Descrição do perfil, insira:

      CodeCatalyst Web app build role
    10. Selecione Criar perfil.

    Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.

  3. Anexe a política de permissões ao perfil de criação, da seguinte maneira:

    1. No painel de navegação, selecione Perfis e procure codecatalyst-webapp-build-role.

    2. Selecione codecatalyst-webapp-build-role para exibir os detalhes.

    3. Na guia Permissões, escolha Adicionar permissões e Anexar políticas.

    4. Procure codecatalyst-webapp-build-policy, marque a caixa de seleção e selecione Anexar políticas.

      Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.

  4. Obtenha o ARN do perfil de criação, da seguinte forma:

    1. No painel de navegação, selecione Perfis.

    2. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (codecatalyst-webapp-build-role).

    3. Escolha o perfil na lista.

      A página Resumo do perfil é exibida.

    4. Na parte superior, copie o valor do ARN.

    Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.

Criação manual de perfis para o esquema do SAM

O blueprint do CodeCatalyst SAM usa funções do IAM que você cria, chamadas de função de criação CloudFormation e função de implantação do SAM.

Siga estas etapas para criar os perfis no IAM.

Para criar uma função de construção para CloudFormation
  1. Crie uma política para o perfil da seguinte maneira:

    1. Faça login em AWS.

    2. Abra o console do IAM em https://console.aws.amazon.com/iam/.

    3. No painel de navegação, selecione Políticas.

    4. Escolha Criar política.

    5. Escolha a guia JSON.

    6. Exclua o código existente.

    7. Cole o seguinte código:

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:*", "cloudformation:*" ], "Resource": "*" } ] }
      nota

      Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

      "Resource": "*"
    8. Escolha Próximo: etiquetas.

    9. Selecione Próximo: revisar.

    10. Em Nome, insira:

      codecatalyst-SAM-build-policy
    11. Escolha Criar política.

      Agora você criou uma política de permissões.

  2. Crie o perfil de criação, da seguinte forma:

    1. No painel de navegação, escolha Perfis e Criar perfil.

    2. Selecione Política de confiança personalizada.

    3. Exclua a política de confiança personalizada existente.

    4. Adicione a política de confiança personalizada a seguir:

      { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
    5. Escolha Próximo.

    6. Anexe a política de permissões ao perfil de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise codecatalyst-SAM-build-policy e marque a caixa de seleção.

    7. Escolha Próximo.

    8. Em Nome do perfil, insira:

      codecatalyst-SAM-build-role
    9. Em Descrição do perfil, insira:

      CodeCatalyst SAM build role
    10. Selecione Criar perfil.

    Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.

  3. Anexe a política de permissões ao perfil de criação, da seguinte maneira:

    1. No painel de navegação, selecione Perfis e procure codecatalyst-SAM-build-role.

    2. Selecione codecatalyst-SAM-build-role para exibir os detalhes.

    3. Na guia Permissões, escolha Adicionar permissões e Anexar políticas.

    4. Procure codecatalyst-SAM-build-policy, marque a caixa de seleção e selecione Anexar políticas.

      Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.

  4. Obtenha o ARN do perfil de criação, da seguinte forma:

    1. No painel de navegação, selecione Perfis.

    2. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (codecatalyst-SAM-build-role).

    3. Escolha o perfil na lista.

      A página Resumo do perfil é exibida.

    4. Na parte superior, copie o valor do ARN.

    Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.

Para criar um perfil de implantação para o SAM
  1. Crie uma política para o perfil da seguinte maneira:

    1. Faça login em AWS.

    2. Abra o console do IAM em https://console.aws.amazon.com/iam/.

    3. No painel de navegação, selecione Políticas.

    4. Escolha Criar política.

    5. Escolha a guia JSON.

    6. Exclua o código existente.

    7. Cole o seguinte código:

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }
      nota

      Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.

      "Resource": "*"
    8. Escolha Próximo: etiquetas.

    9. Selecione Próximo: revisar.

    10. Em Nome, insira:

      codecatalyst-SAM-deploy-policy
    11. Escolha Criar política.

      Agora você criou uma política de permissões.

  2. Crie o perfil de criação, da seguinte forma:

    1. No painel de navegação, escolha Perfis e Criar perfil.

    2. Selecione Política de confiança personalizada.

    3. Exclua a política de confiança personalizada existente.

    4. Adicione a política de confiança personalizada a seguir:

      { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
    5. Escolha Próximo.

    6. Anexe a política de permissões ao perfil de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise codecatalyst-SAM-deploy-policy e marque a caixa de seleção.

    7. Escolha Próximo.

    8. Em Nome do perfil, insira:

      codecatalyst-SAM-deploy-role
    9. Em Descrição do perfil, insira:

      CodeCatalyst SAM deploy role
    10. Selecione Criar perfil.

    Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.

  3. Anexe a política de permissões ao perfil de criação, da seguinte maneira:

    1. No painel de navegação, selecione Perfis e procure codecatalyst-SAM-deploy-role.

    2. Selecione codecatalyst-SAM-deploy-role para exibir os detalhes.

    3. Na guia Permissões, escolha Adicionar permissões e Anexar políticas.

    4. Procure codecatalyst-SAM-deploy-policy, marque a caixa de seleção e selecione Anexar políticas.

      Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.

  4. Obtenha o ARN do perfil de criação, da seguinte forma:

    1. No painel de navegação, selecione Perfis.

    2. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (codecatalyst-SAM-deploy-role).

    3. Escolha o perfil na lista.

      A página Resumo do perfil é exibida.

    4. Na parte superior, copie o valor do ARN.

    Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.