As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conceda acesso aos AWS recursos do projeto com funções do IAM
CodeCatalyst pode acessar AWS recursos conectando seu Conta da AWS a um CodeCatalyst espaço. Em seguida, você pode criar as seguintes funções de serviço e associá-las ao conectar sua conta.
Para obter mais informações sobre os elementos que você usa em uma política JSON, consulte Referência de elementos de política JSON do IAM no Guia do usuário do IAM.
-
Para acessar recursos em e Conta da AWS para seus CodeCatalyst projetos e fluxos de trabalho, você deve primeiro conceder permissão CodeCatalyst para acessar esses recursos em seu nome. Para fazer isso, você deve criar uma função de serviço em um ambiente conectado Conta da AWS que CodeCatalyst possa assumir em nome de usuários e projetos no espaço. Você pode escolher criar e usar a função CodeCatalystWorkflowDevelopmentRole-
spaceName
de serviço ou criar funções de serviço personalizadas e configurar essas políticas e funções do IAM manualmente. Como prática recomendada, atribua a essas funções a menor quantidade de permissões necessárias.nota
Para funções de serviço personalizadas, é necessário o responsável pelo CodeCatalyst serviço. Para obter mais informações sobre o principal CodeCatalyst de serviço e o modelo de confiança, consulteEntendendo o modelo de CodeCatalyst confiança.
-
Para gerenciar o suporte para um espaço por meio do Connected Conta da AWS, você pode escolher criar e usar a função de AWSRoleForCodeCatalystSupportserviço que permite que CodeCatalyst os usuários acessem o suporte. Para obter mais informações sobre suporte para um CodeCatalyst espaço, consulteAWS Supportpara Amazon CodeCatalyst.
Entendendo a função CodeCatalystWorkflowDevelopmentRole-spaceName
de serviço
Você pode adicionar uma função do IAM ao seu espaço que CodeCatalyst pode ser usada para criar e acessar recursos em um ambiente conectado Conta da AWS. Isso é chamado de função de serviço. A maneira mais simples de criar uma função de serviço é adicionar uma ao criar o espaço e escolher a CodeCatalystWorkflowDevelopmentRole-spaceName
opção para essa função. Isso não apenas cria a função de serviço com o AdministratorAccess
anexo, mas também cria a política de confiança que permite assumir CodeCatalyst a função em nome dos usuários em projetos no espaço. A função de serviço tem como escopo o espaço, não os projetos individuais. Para criar essa função, consulte Criando a CodeCatalystWorkflowDevelopmentRole-spaceNamefunção para sua conta e espaço. Você só pode criar uma função para cada espaço em cada conta.
nota
Essa função só é recomendada para uso com contas de desenvolvimento e usa a política AdministratorAccess
AWS gerenciada, dando a ela acesso total para criar novas políticas e recursos nela Conta da AWS.
A política anexada à CodeCatalystWorkflowDevelopmentRole-spaceName
função foi projetada para funcionar com projetos criados com plantas no espaço. Ele permite que os usuários desses projetos desenvolvam, criem, testem e implantem código usando recursos conectados Conta da AWS. Para obter mais informações, consulte Criação de uma função para um AWS serviço.
A política anexada à CodeCatalystWorkflowDevelopmentRole-spaceName
função é a política AdministratorAccess
gerenciada em AWS. Essa é uma política que concede acesso total a todas as AWS ações e recursos. Para ver o documento de política JSON no console do IAM, consulte AdministratorAccess
A política de confiança a seguir CodeCatalyst permite assumir a CodeCatalystWorkflowDevelopmentRole-spaceName
função. Para obter mais informações sobre o modelo de CodeCatalyst confiança, consulteEntendendo o modelo de CodeCatalyst confiança.
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
Criando a CodeCatalystWorkflowDevelopmentRole-spaceName
função para sua conta e espaço
Siga estas etapas para criar a CodeCatalystWorkflowDevelopmentRole-
função que será usada para fluxos de trabalho em seu espaço. Para cada conta que você deseja que tenha funções do IAM para uso em projetos, no seu espaço, você deve adicionar uma função, como a função de desenvolvedor. spaceName
Antes de começar, você deve ter privilégios administrativos para seu administrador Conta da AWS ou ser capaz de trabalhar com ele. Para obter mais informações sobre como Contas da AWS as funções do IAM são usadas em CodeCatalyst, consultePermitindo acesso a AWS recursos com conexão Contas da AWS.
Para criar e adicionar o CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName
-
Antes de começar no CodeCatalyst console, abra o e AWS Management Console, em seguida, verifique se você está logado com o mesmo Conta da AWS em seu espaço.
Abra o CodeCatalyst console em https://codecatalyst.aws/
. -
Navegue até seu CodeCatalyst espaço. Escolha Settings (Configurações) e Contas da AWS.
-
Escolha o link para Conta da AWS onde você deseja criar a função. A página de Conta da AWS detalhes é exibida.
-
Escolha Gerenciar funções em AWS Management Console.
A página Adicionar função do IAM ao CodeCatalyst espaço da Amazon é aberta no AWS Management Console. Esta é a página do Amazon CodeCatalyst Spaces. Talvez seja necessário fazer login para acessar a página.
-
Escolha Criar função CodeCatalyst de administrador de desenvolvimento no IAM. Essa opção cria uma função de serviço que contém a política de permissões e a política de confiança para a função de desenvolvimento. O papel terá um nome
CodeCatalystWorkflowDevelopmentRole-
. Para obter mais informações sobre a função e a política de funções, consulteEntendendo a função CodeCatalystWorkflowDevelopmentRole-spaceNamede serviço.spaceName
nota
Essa função só é recomendada para uso com contas de desenvolvedor e usa a política
AdministratorAccess
AWS gerenciada, dando a ela acesso total para criar novas políticas e recursos nela Conta da AWS. -
Escolha Criar função de desenvolvimento.
-
Na página de conexões, em Funções do IAM disponíveis para CodeCatalyst, veja a
CodeCatalystWorkflowDevelopmentRole-
função na lista de funções do IAM adicionadas à sua conta.spaceName
-
Para retornar ao seu espaço, escolha Go to Amazon CodeCatalyst.
Entendendo a função AWSRoleForCodeCatalystSupportde serviço
Você pode adicionar uma função do IAM ao seu espaço que CodeCatalyst os usuários em um espaço possam usar para criar e acessar casos de suporte. Isso é chamado de função de serviço para suporte. A maneira mais simples de criar uma função de serviço para suporte é adicionar uma ao criar o espaço e escolher a AWSRoleForCodeCatalystSupport
opção para essa função. Isso não apenas cria a política e a função, mas também cria a política de confiança que CodeCatalyst permite assumir a função em nome dos usuários em projetos no espaço. A função de serviço tem como escopo o espaço, não os projetos individuais. Para criar essa função, consulte Criando a AWSRoleForCodeCatalystSupportfunção para sua conta e espaço.
A política anexada à AWSRoleForCodeCatalystSupport
função é uma política gerenciada que fornece acesso às permissões de suporte. Para ter mais informações, consulte AWSPolítica gerenciada da : AmazonCodeCatalystSupportAccess.
A função de confiança da política CodeCatalyst permite assumir a função.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst.amazonaws.com", "codecatalyst-runner.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
Criando a AWSRoleForCodeCatalystSupportfunção para sua conta e espaço
Siga estas etapas para criar a AWSRoleForCodeCatalystSupport
função que será usada para casos de suporte em seu espaço. A função deve ser adicionada à conta de cobrança designada para o espaço.
Antes de começar, você deve ter privilégios administrativos para seu administrador Conta da AWS ou ser capaz de trabalhar com ele. Para obter mais informações sobre como Contas da AWS as funções do IAM são usadas em CodeCatalyst, consultePermitindo acesso a AWS recursos com conexão Contas da AWS.
Para criar e adicionar o CodeCatalyst AWSRoleForCodeCatalystSupport
-
Antes de começar no CodeCatalyst console, abra o e AWS Management Console, em seguida, verifique se você está logado com o mesmo Conta da AWS em seu espaço.
-
Navegue até seu CodeCatalyst espaço. Escolha Settings (Configurações) e Contas da AWS.
-
Escolha o link para Conta da AWS onde você deseja criar a função. A página de Conta da AWS detalhes é exibida.
-
Escolha Gerenciar funções em AWS Management Console.
A página Adicionar função do IAM ao CodeCatalyst espaço da Amazon é aberta no AWS Management Console. Esta é a página do Amazon CodeCatalyst Spaces. Talvez seja necessário fazer login para acessar a página.
-
Em detalhes do CodeCatalyst espaço, escolha Adicionar função de CodeCatalyst Support. Essa opção cria uma função de serviço que contém a política de permissões e a política de confiança para a função de desenvolvimento de pré-visualização. A função terá um nome AWSRoleForCodeCatalystSupportcom um identificador exclusivo anexado. Para obter mais informações sobre a função e a política de funções, consulteEntendendo a função AWSRoleForCodeCatalystSupportde serviço.
-
Na página Adicionar função para CodeCatalyst Support, deixe o padrão selecionado e escolha Criar função.
-
Em Funções do IAM disponíveis para CodeCatalyst, veja a
CodeCatalystWorkflowDevelopmentRole-
função na lista de funções do IAM adicionadas à sua conta.spaceName
-
Para retornar ao seu espaço, escolha Go to Amazon CodeCatalyst.
Configurando funções do IAM para ações de fluxo de trabalho em CodeCatalyst
Esta seção detalha as funções e políticas do IAM que você pode criar para usar com sua CodeCatalyst conta. Para obter instruções sobre como criar funções de exemplo, consulteCriação manual de funções para ações de fluxo de trabalho. Depois de criar sua função do IAM, copie o ARN da função para adicionar a função do IAM à conexão da sua conta e associá-la ao ambiente do projeto. Para saber mais, consulte Adicionar IAM funções às conexões da conta.
CodeCatalyst função de criação para acesso ao Amazon S3
Para ações CodeCatalyst de criação de fluxo de trabalho, você pode usar a função de CodeCatalystWorkflowDevelopmentRole-spaceName
serviço padrão ou criar uma função do IAM chamada CodeCatalystBuildRoleforS3Access. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas em AWS CloudFormation recursos em seu Conta da AWS.
Essa função dá permissões para fazer o seguinte:
-
Grave nos buckets do Amazon S3.
-
Support a construção de recursos com AWS CloudFormation. Isso requer acesso ao Amazon S3.
Essa função usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "
resource_ARN
", "Effect": "Allow" }] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst criar função para AWS CloudFormation
Para ações CodeCatalyst de criação de fluxo de trabalho, você pode usar a função de CodeCatalystWorkflowDevelopmentRole-spaceName
serviço padrão ou criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas em AWS CloudFormation recursos em seu Conta da AWS.
Essa função dá permissões para fazer o seguinte:
-
Support a construção de recursos com AWS CloudFormation. Isso é necessário junto com a função de CodeCatalyst criação para acesso ao Amazon S3 e a função de CodeCatalyst implantação para. AWS CloudFormation
As seguintes políticas AWS gerenciadas devem ser anexadas a essa função:
-
AWSCloudFormationFullAccess
-
IAM FullAccess
-
Amazon S3 FullAccess
-
API da Amazon GatewayAdministrator
-
AWSLambdaFullAccess
CodeCatalyst função de criação para o CDK
Para CodeCatalyst fluxos de trabalho que executam ações de criação do CDK, como o aplicativo web moderno de três camadas, você pode usar a função de CodeCatalystWorkflowDevelopmentRole-spaceName
serviço padrão ou criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa inicializar e executar comandos de criação do CDK para AWS CloudFormation recursos em seu. Conta da AWS
Essa função dá permissões para fazer o seguinte:
-
Grave nos buckets do Amazon S3.
-
Support a construção de construções de CDK e pilhas de AWS CloudFormation recursos. Isso requer acesso ao Amazon S3 para armazenamento de artefatos, ao Amazon ECR para suporte ao repositório de imagens e ao SSM para governança e monitoramento do sistema para instâncias virtuais.
Essa função usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para AWS CloudFormation
Para ações CodeCatalyst de implantação de fluxo de trabalho que usam AWS CloudFormation, você pode usar a função de CodeCatalystWorkflowDevelopmentRole-spaceName
serviço padrão ou usar uma política com permissões de escopo que CodeCatalyst precisa executar tarefas em AWS CloudFormation recursos em seu Conta da AWS.
Essa função dá permissões para fazer o seguinte:
-
Permita CodeCatalyst invocar uma função λ para realizar a implantação azul/verde. AWS CloudFormation
-
Permite CodeCatalyst criar e atualizar pilhas e conjuntos de alterações em. AWS CloudFormation
Essa função usa a seguinte política:
{"Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "
resource_ARN
", "Effect": "Allow" }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para o Amazon EC2
CodeCatalyst as ações de implantação do fluxo de trabalho usam uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon EC2 em seu. Conta da AWS A política padrão para a CodeCatalystWorkflowDevelopmentRole-spaceName
função não inclui permissões para o Amazon EC2 ou o Amazon EC2 Auto Scaling.
Essa função dá permissões para fazer o seguinte:
-
Crie implantações do Amazon EC2.
-
Leia as tags em uma instância ou identifique uma instância do Amazon EC2 pelos nomes dos grupos do Auto Scaling.
-
Ler, criar, atualizar e excluir grupos do Amazon EC2 Auto Scaling, ganchos do ciclo de vida e políticas de escalabilidade.
-
Publique informações nos tópicos do Amazon SNS.
-
Recupere informações sobre CloudWatch alarmes.
-
Leia e atualize o Elastic Load Balancing.
Essa função usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:CompleteLifecycleAction", "autoscaling:DeleteLifecycleHook", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLifecycleHooks", "autoscaling:PutLifecycleHook", "autoscaling:RecordLifecycleActionHeartbeat", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:EnableMetricsCollection", "autoscaling:DescribePolicies", "autoscaling:DescribeScheduledActions", "autoscaling:DescribeNotificationConfigurations", "autoscaling:SuspendProcesses", "autoscaling:ResumeProcesses", "autoscaling:AttachLoadBalancers", "autoscaling:AttachLoadBalancerTargetGroups", "autoscaling:PutScalingPolicy", "autoscaling:PutScheduledUpdateGroupAction", "autoscaling:PutNotificationConfiguration", "autoscaling:PutWarmPool", "autoscaling:DescribeScalingActivities", "autoscaling:DeleteAutoScalingGroup", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:TerminateInstances", "tag:GetResources", "sns:Publish", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets" ], "Resource": "
resource_ARN
" } ] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para o Amazon ECS
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Você pode usar a função de CodeCatalystWorkflowDevelopmentRole-spaceName
serviço padrão ou criar uma função do IAM para CodeCatalyst implantar ações a serem usadas em implantações do Lambda. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon ECS em seu. Conta da AWS
Essa função dá permissões para fazer o seguinte:
-
Inicie a implantação contínua do Amazon ECS em nome de um CodeCatalyst usuário, em uma conta especificada na CodeCatalyst conexão.
-
Ler, atualizar e excluir conjuntos de tarefas do Amazon ECS.
-
Atualizar grupos de destino, receptores e regras do Elastic Load Balancing.
-
Invoque as funções do Lambda.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recupere informações sobre CloudWatch alarmes.
-
Publique informações nos tópicos do Amazon SNS.
Essa função usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [{ "Action":[ "ecs:DescribeServices", "ecs:CreateTaskSet", "ecs:DeleteTaskSet", "ecs:ListClusters", "ecs:RegisterTaskDefinition", "ecs:UpdateServicePrimaryTaskSet", "ecs:UpdateService", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:ModifyListener", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:ModifyRule", "lambda:InvokeFunction", "lambda:ListFunctions", "cloudwatch:DescribeAlarms", "sns:Publish", "sns:ListTopics", "s3:GetObject", "s3:GetObjectVersion", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetDeployment", "codedeploy:GetDeploymentGroup", "codedeploy:ListApplications", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:StopDeployment", "codedeploy:GetDeploymentTarget", "codedeploy:ListDeploymentTargets", "codedeploy:GetDeploymentConfig", "codedeploy:GetApplicationRevision", "codedeploy:RegisterApplicationRevision", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:BatchGetApplications", "codedeploy:ListApplicationRevisions", "codedeploy:ListDeploymentConfigs", "codedeploy:ContinueDeployment" ], "Resource":"*", "Effect":"Allow" },{"Action":[ "iam:PassRole" ], "Effect":"Allow", "Resource":"*", "Condition":{"StringLike":{"iam:PassedToService":[ "ecs-tasks.amazonaws.com", "codedeploy.amazonaws.com" ] } } }] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para Lambda
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Você pode usar a função de CodeCatalystWorkflowDevelopmentRole-spaceName
serviço padrão ou criar uma função do IAM para CodeCatalyst implantar ações a serem usadas em implantações do Lambda. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS
Essa função dá permissões para fazer o seguinte:
-
Leia, atualize e invoque funções e aliases do Lambda.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recupere informações sobre alarmes de CloudWatch eventos.
-
Publique informações nos tópicos do Amazon SNS.
Essa função usa a seguinte política:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "
resource_ARN
", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para Lambda
Para ações CodeCatalyst de fluxo de trabalho, você pode usar a função de CodeCatalystWorkflowDevelopmentRole-spaceName
serviço padrão ou criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS
Essa função dá permissões para fazer o seguinte:
-
Leia, atualize e invoque funções e aliases do Lambda.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recupere informações sobre CloudWatch alarmes.
-
Publique informações nos tópicos do Amazon SNS.
Essa função usa a seguinte política:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "
resource_ARN
", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para AWS SAM
Para ações CodeCatalyst de fluxo de trabalho, você pode usar a função de CodeCatalystWorkflowDevelopmentRole-spaceName
serviço padrão ou criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas AWS SAM e AWS CloudFormation recursos em seu Conta da AWS.
Essa função dá permissões para fazer o seguinte:
-
Permita CodeCatalyst invocar uma função Lambda para realizar a implantação de aplicativos sem servidor AWS SAM e CLI.
-
Permite CodeCatalyst criar e atualizar pilhas e conjuntos de alterações em. AWS CloudFormation
Essa função usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função somente de leitura para o Amazon EC2
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon EC2 em seu. Conta da AWS A função CodeCatalystWorkflowDevelopmentRole-spaceName
de serviço não inclui permissões para o Amazon EC2 ou as ações descritas para a Amazon. CloudWatch
Essa função dá permissões para fazer o seguinte:
-
Obtenha o status das instâncias do Amazon EC2.
-
Obtenha CloudWatch métricas para instâncias do Amazon EC2.
Essa função usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe", "Resource": "
resource_ARN
" }, { "Effect": "Allow", "Action": "elasticloadbalancing:Describe", "Resource": "resource_ARN
" }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:Describe" ], "Resource": "resource_ARN
" }, { "Effect": "Allow", "Action": "autoscaling:Describe", "Resource": "resource_ARN
" } ] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função somente de leitura para Amazon ECS
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon ECS em seu. Conta da AWS
Essa função dá permissões para fazer o seguinte:
-
Leia os conjuntos de tarefas do Amazon ECS.
-
Recupere informações sobre CloudWatch alarmes.
Essa função usa a seguinte política:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:DescribeServices", "cloudwatch:DescribeAlarms" ], "Resource": "
resource_ARN
", "Effect": "Allow" }, { "Action": [ "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeRules" ], "Resource": "resource_ARN
", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam:::role/ecsTaskExecutionRole", "arn:aws:iam:::role/ECSTaskExecution" ], "Condition": { "StringLike": { "iam:PassedToService": [ "ecs-tasks.amazonaws.com" ] } } } ] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função somente de leitura para Lambda
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS
Essa função dá permissões para o seguinte:
-
Leia as funções e aliases do Lambda.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recupere informações sobre CloudWatch alarmes.
Essa função usa a seguinte política do .
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig" ], "Resource": "
resource_ARN
", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" } ] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Criação manual de funções para ações de fluxo de trabalho
CodeCatalyst as ações de fluxo de trabalho usam funções do IAM que você cria, chamadas de função de construção, função de implantação e função de pilha.
Siga estas etapas para criar essas funções no IAM.
Para criar uma função de implantação
-
Crie uma política para a função, da seguinte forma:
-
Faça login em AWS.
Abra o console IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
-
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome, insira:
codecatalyst-deploy-policy
-
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie a função de implantação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Escolha a política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a seguinte política de confiança personalizada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Selecione Next (Próximo).
-
Em Políticas de permissões, pesquise
codecatalyst-deploy-policy
e marque sua caixa de seleção. -
Selecione Next (Próximo).
-
Em Nome da função, digite:
codecatalyst-deploy-role
-
Em Descrição da função, insira:
CodeCatalyst deploy role
-
Selecione Criar função.
Agora você criou uma função de implantação com uma política de confiança e uma política de permissões.
-
-
Obtenha o ARN da função de implantação, da seguinte forma:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome da função que você acabou de criar (
codecatalyst-deploy-role
). -
Escolha a função na lista.
A página de resumo da função é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou a função de implantação com as permissões apropriadas e obteve seu ARN.
-
Para criar uma função de criação
-
Crie uma política para a função, da seguinte forma:
-
Faça login em AWS.
Abra o console IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
-
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome, insira:
codecatalyst-build-policy
-
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie a função de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Escolha a política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a seguinte política de confiança personalizada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Selecione Next (Próximo).
-
Em Políticas de permissões, pesquise
codecatalyst-build-policy
e marque sua caixa de seleção. -
Selecione Next (Próximo).
-
Em Nome da função, digite:
codecatalyst-build-role
-
Em Descrição da função, insira:
CodeCatalyst build role
-
Selecione Criar função.
Agora você criou uma função de criação com uma política de confiança e uma política de permissões.
-
-
Obtenha o ARN da função de construção, da seguinte forma:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome da função que você acabou de criar (
codecatalyst-build-role
). -
Escolha a função na lista.
A página de resumo da função é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou a função de criação com as permissões apropriadas e obteve seu ARN.
-
Para criar uma função de pilha
nota
Você não precisa criar uma função de pilha, embora isso seja recomendado por motivos de segurança. Se você não criar a função de pilha, precisará adicionar as políticas de permissões descritas mais adiante neste procedimento à função de implantação.
-
Faça login AWS usando a conta na qual você deseja implantar sua pilha.
Abra o console IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Funções e, em seguida, escolha Criar função.
-
Na parte superior, escolha o AWS serviço.
-
Na lista de serviços, escolha CloudFormation.
-
Selecione Next: Permissions (Próximo: permissões).
-
Na caixa de pesquisa, adicione todas as políticas necessárias para acessar os recursos em sua pilha. Por exemplo, se sua pilha inclui uma AWS Lambda função, você precisa adicionar uma política que conceda acesso ao Lambda.
dica
Se não tiver certeza de quais políticas adicionar, você pode omiti-las por enquanto. Quando você testa a ação, se você não tiver as permissões corretas, AWS CloudFormation gera erros que mostram quais permissões você precisa adicionar.
-
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome da função, digite:
codecatalyst-stack-role
-
Selecione Criar função.
-
Para obter o ARN da função de pilha, faça o seguinte:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome da função que você acabou de criar (
codecatalyst-stack-role
). -
Escolha a função na lista.
-
Na página Resumo, copie o valor do ARN da função.
-
Usando AWS CloudFormation para criar políticas e funções no IAM
Você pode escolher criar e usar AWS CloudFormation modelos para criar as políticas e funções necessárias para acessar recursos em seus CodeCatalyst projetos e fluxos de trabalho. Conta da AWS AWS CloudFormation é um serviço que ajuda você a modelar e configurar seus AWS recursos para que você possa passar menos tempo gerenciando esses recursos e mais tempo se concentrando nos aplicativos que são executados em AWS. Se você pretende criar funções em várias Contas da AWS, criar um modelo pode ajudá-lo a realizar essa tarefa mais rapidamente.
O modelo de exemplo a seguir cria uma função e uma política de ação de implantação.
Parameters: CodeCatalystAccountId: Type: String Description: Account ID from the connections page ExternalId: Type: String Description: External ID from the connections page Resources: CrossAccountRole: Type: 'AWS::IAM::Role' Properties: AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Principal: AWS: - !Ref CodeCatalystAccountId Action: - 'sts:AssumeRole' Condition: StringEquals: sts:ExternalId: !Ref ExternalId Path: / Policies: - PolicyName: CodeCatalyst-CloudFormation-action-policy PolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Action: - 'cloudformation:CreateStack' - 'cloudformation:DeleteStack' - 'cloudformation:Describe*' - 'cloudformation:UpdateStack' - 'cloudformation:CreateChangeSet' - 'cloudformation:DeleteChangeSet' - 'cloudformation:ExecuteChangeSet' - 'cloudformation:SetStackPolicy' - 'cloudformation:ValidateTemplate' - 'cloudformation:List*' - 'iam:PassRole' Resource: '*'
Criando a função manualmente para o blueprint do aplicativo web
O blueprint do aplicativo CodeCatalyst web usa funções do IAM que você cria, chamadas de função de construção para CDK, função de implantação e função de pilha.
Siga estas etapas para criar a função no IAM.
Para criar uma função de criação
-
Crie uma política para a função, da seguinte forma:
-
Faça login em AWS.
Abra o console IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies.
-
Escolha Create Policy.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
-
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome, insira:
codecatalyst-webapp-build-policy
-
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie a função de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Escolha a política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a seguinte política de confiança personalizada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Selecione Next (Próximo).
-
Anexe a política de permissões à função de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise
codecatalyst-webapp-build-policy
e marque sua caixa de seleção. -
Selecione Next (Próximo).
-
Em Nome da função, digite:
codecatalyst-webapp-build-role
-
Em Descrição da função, insira:
CodeCatalyst Web app build role
-
Selecione Criar função.
Agora você criou uma função de criação com uma política de confiança e uma política de permissões.
-
-
Anexe a política de permissões à função de criação, da seguinte forma:
-
No painel de navegação, escolha Funções e, em seguida, pesquise por
codecatalyst-webapp-build-role
. -
Escolha
codecatalyst-webapp-build-role
exibir seus detalhes. -
Na guia Permissões, escolha Adicionar permissões e, em seguida, escolha Anexar políticas.
-
Pesquise
codecatalyst-webapp-build-policy
, marque sua caixa de seleção e escolha Anexar políticas.Agora você anexou a política de permissões à função de criação. A função de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
-
-
Obtenha o ARN da função de construção, da seguinte forma:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome da função que você acabou de criar (
codecatalyst-webapp-build-role
). -
Escolha a função na lista.
A página de resumo da função é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou a função de criação com as permissões apropriadas e obteve seu ARN.
-
Criação manual de funções para o blueprint do SAM
O blueprint do CodeCatalyst SAM usa funções do IAM que você cria, chamadas de função de criação CloudFormation e função de implantação do SAM.
Siga estas etapas para criar as funções no IAM.
Para criar uma função de construção para CloudFormation
-
Crie uma política para a função, da seguinte forma:
-
Faça login em AWS.
Abra o console IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies.
-
Escolha Create Policy.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:*", "cloudformation:*" ], "Resource": "*" } ] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
-
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome, insira:
codecatalyst-SAM-build-policy
-
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie a função de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Escolha a política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a seguinte política de confiança personalizada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Selecione Next (Próximo).
-
Anexe a política de permissões à função de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise
codecatalyst-SAM-build-policy
e marque sua caixa de seleção. -
Selecione Next (Próximo).
-
Em Nome da função, digite:
codecatalyst-SAM-build-role
-
Em Descrição da função, insira:
CodeCatalyst SAM build role
-
Selecione Criar função.
Agora você criou uma função de criação com uma política de confiança e uma política de permissões.
-
-
Anexe a política de permissões à função de criação, da seguinte forma:
-
No painel de navegação, escolha Funções e, em seguida, pesquise por
codecatalyst-SAM-build-role
. -
Escolha
codecatalyst-SAM-build-role
exibir seus detalhes. -
Na guia Permissões, escolha Adicionar permissões e, em seguida, escolha Anexar políticas.
-
Pesquise
codecatalyst-SAM-build-policy
, marque sua caixa de seleção e escolha Anexar políticas.Agora você anexou a política de permissões à função de criação. A função de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
-
-
Obtenha o ARN da função de construção, da seguinte forma:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome da função que você acabou de criar (
codecatalyst-SAM-build-role
). -
Escolha a função na lista.
A página de resumo da função é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou a função de criação com as permissões apropriadas e obteve seu ARN.
-
Para criar uma função de implantação para o SAM
-
Crie uma política para a função, da seguinte forma:
-
Faça login em AWS.
Abra o console IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies.
-
Escolha Create Policy.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }
nota
Na primeira vez em que a função for usada para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e, em seguida, defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
-
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome, insira:
codecatalyst-SAM-deploy-policy
-
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie a função de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Escolha a política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a seguinte política de confiança personalizada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Selecione Next (Próximo).
-
Anexe a política de permissões à função de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise
codecatalyst-SAM-deploy-policy
e marque sua caixa de seleção. -
Selecione Next (Próximo).
-
Em Nome da função, digite:
codecatalyst-SAM-deploy-role
-
Em Descrição da função, insira:
CodeCatalyst SAM deploy role
-
Selecione Criar função.
Agora você criou uma função de criação com uma política de confiança e uma política de permissões.
-
-
Anexe a política de permissões à função de criação, da seguinte forma:
-
No painel de navegação, escolha Funções e, em seguida, pesquise por
codecatalyst-SAM-deploy-role
. -
Escolha
codecatalyst-SAM-deploy-role
exibir seus detalhes. -
Na guia Permissões, escolha Adicionar permissões e, em seguida, escolha Anexar políticas.
-
Pesquise
codecatalyst-SAM-deploy-policy
, marque sua caixa de seleção e escolha Anexar políticas.Agora você anexou a política de permissões à função de criação. A função de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
-
-
Obtenha o ARN da função de construção, da seguinte forma:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome da função que você acabou de criar (
codecatalyst-SAM-deploy-role
). -
Escolha a função na lista.
A página de resumo da função é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou a função de criação com as permissões apropriadas e obteve seu ARN.
-