Conceder acesso aos recursos da AWS do projeto com perfis do IAM
O CodeCatalyst pode acessar recursos da AWS conectando a Conta da AWS a um espaço do CodeCatalyst. Em seguida, você pode criar os seguintes perfis de serviço e associá-los ao conectar sua conta.
Para ter mais informações sobre os elementos usados em uma política JSON, consulte Referência de elementos de política JSON do IAM no Guia do usuário do IAM.
-
Para acessar recursos em uma Conta da AWS para seus projetos e fluxos de trabalho do CodeCatalyst, você deve primeiro conceder permissão para que o CodeCatalyst acesse esses recursos em seu nome. Para fazer isso, você deve criar um perfil de serviço em uma Conta da AWS conectada que o CodeCatalyst possa assumir em nome de usuários e projetos no espaço. Você pode optar por criar e usar o perfil de serviço CodeCatalystWorkflowDevelopmentRole-
spaceNameou criar perfis de serviço personalizados e configurar essas políticas e perfis do IAM manualmente. Como prática recomendada, atribua esses perfis à menor quantidade de permissões necessária.nota
Para perfis de serviço personalizados, é necessário ter a entidade principal de serviço do CodeCatalyst. Para ter mais informações sobre a entidade principal de serviço do CodeCatalyst e o modelo de confiança, consulte Compreensão do modelo de confiança do CodeCatalyst.
-
Para gerenciar o suporte para um espaço por meio da Conta da AWS conectada, você pode optar por criar e usar o perfil de serviço AWSRoleForCodeCatalystSupport que permite que os usuários do CodeCatalyst acessem o suporte. Para ter mais informações sobre suporte para um espaço CodeCatalyst, consulte Suporte para o Amazon CodeCatalyst.
Noções básicas sobre o perfil de serviço CodeCatalystWorkflowDevelopmentRole-spaceName
Você pode adicionar um perfil do IAM ao seu espaço que o CodeCatalyst pode usar para criar e acessar recursos em uma Conta da AWS conectada. Chamamos isso de um perfil de serviço. A maneira mais simples de criar um perfil de serviço é adicionar um ao criar o espaço e escolher a opção CodeCatalystWorkflowDevelopmentRole-spaceName para esse perfil. Isso não apenas cria o perfil de serviço com o AdministratorAccess anexado, mas também cria a política de confiança que permite que o CodeCatalyst assuma o perfil em nome dos usuários em projetos no espaço. O perfil de serviço tem como escopo o espaço, não os projetos individuais. Para criar essa função, consulte Criar o perfil CodeCatalystWorkflowDevelopmentRole-spaceName para a conta e o espaço. Só será possível criar um perfil para cada espaço em cada conta.
nota
Esse perfil só é recomendado para uso com contas de desenvolvimento e usa a política AdministratorAccess da AWS gerenciada, dando a ela acesso total para criar novas políticas e recursos nessa Conta da AWS.
A política anexada ao perfil CodeCatalystWorkflowDevelopmentRole-spaceName foi projetada para funcionar com projetos criados com esquemas no espaço. Ela permite que os usuários desses projetos desenvolvam, criem, testem e implantem código usando recursos na Conta da AWS conectada. Para ter mais informações, consulte Criação de um perfil para um serviço da AWS.
A política anexada ao perfil CodeCatalystWorkflowDevelopmentRole-spaceName é a política gerenciada pelo AdministratorAccess na AWS. Esta política concede acesso total a todos os recursos e ações da AWS. Para visualizar o documento de política JSON no console do IAM, consulte AdministratorAccess
A política de confiança a seguir permite que o CodeCatalyst assuma o perfil CodeCatalystWorkflowDevelopmentRole-spaceName. Para ter mais informações sobre o modelo de confiança do CodeCatalyst, consulte Compreensão do modelo de confiança do CodeCatalyst.
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
Criar o perfil CodeCatalystWorkflowDevelopmentRole-spaceName para a conta e o espaço
Siga estas etapas para criar o perfil CodeCatalystWorkflowDevelopmentRole- que será usado para fluxos de trabalho em seu espaço. Para cada conta que você deseja que tenha perfis do IAM para uso em projetos, no seu espaço, você deve adicionar um perfil, como o perfil de desenvolvedor. spaceName
Antes de começar, você deve ter privilégios administrativos na Conta da AWS ou poder trabalhar com seu administrador. Para ter mais informações sobre como Contas da AWS e perfis do IAM são usados no CodeCatalyst, consulte Permissão do acesso a recursos da AWS com Contas da AWS conectadas.
Como criar e adicionar o CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName
-
Antes de começar no console do CodeCatalyst, abra o AWS Management Console e, depois, verifique se você está conectado com a mesma Conta da AWS do espaço.
Abra o console do CodeCatalyst em https://codecatalyst.aws/
. -
Acesse o espaço no CodeCatalyst. Escolha Settings (Configurações) e Contas da AWS.
-
Selecione o link da Conta da AWS na qual você deseja criar o perfil. A página Detalhes da Conta da AWS é exibida.
-
Selecione Gerenciar perfis no AWS Management Console.
A página Adicionar perfil do IAM ao espaço do Amazon CodeCatalyst é aberta no AWS Management Console. Esta é a página Espaços do Amazon CodeCatalyst. Talvez seja necessário fazer login para acessá-la.
-
Selecione Criar perfil de administrador de desenvolvimento do CodeCatalyst no IAM. Essa opção cria um perfil de serviço que contém a política de permissões e a política de confiança para o perfil de desenvolvimento. O perfil terá um nome
CodeCatalystWorkflowDevelopmentRole-. Para ter mais informações sobre o perfil e a política de perfis, consulte Noções básicas sobre o perfil de serviço CodeCatalystWorkflowDevelopmentRole-spaceName.spaceNamenota
Esse perfil só é recomendado para uso com contas de desenvolvedor e usa a política
AdministratorAccessgerenciada da AWS, dando a ela acesso total para criar políticas e recursos nessa Conta da AWS. -
Selecione Criar perfil de desenvolvimento.
-
Na página de conexões, em Perfis do IAM disponíveis para o CodeCatalyst, veja o perfil
CodeCatalystWorkflowDevelopmentRole-na lista de perfis do IAM adicionados à conta.spaceName -
Para retornar ao espaço, selecione Ir para o Amazon CodeCatalyst.
Noções básicas sobre o perfil de serviço AWSRoleForCodeCatalystSupport
Você pode adicionar um perfil do IAM ao seu espaço que os usuários do CodeCatalyst em um espaço podem usar para criar e acessar casos de suporte. Isso é chamado de perfil de serviço para suporte. A maneira mais simples de criar um perfil de serviço para suporte é adicionar um ao criar o espaço e escolher a opção AWSRoleForCodeCatalystSupport para esse perfil. Isso não apenas cria a política e o perfil, mas também cria a política de confiança que permite que o CodeCatalyst assuma o perfil em nome dos usuários em projetos no espaço. O perfil de serviço tem como escopo o espaço, não os projetos individuais. Para criar essa função, consulte Criação do perfil AWSRoleForCodeCatalystSupport para a conta e o espaço.
A política anexada ao perfil AWSRoleForCodeCatalystSupport é uma política gerenciada que fornece acesso às permissões de suporte. Para ter mais informações, consulte Política gerenciada da AWS: AmazonCodeCatalystSupportAccess.
O perfil de confiança da política permite que o CodeCatalyst assuma o perfil.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst.amazonaws.com", "codecatalyst-runner.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
Criação do perfil AWSRoleForCodeCatalystSupport para a conta e o espaço
Siga estas etapas para criar o perfil AWSRoleForCodeCatalystSupport que será usado para casos de suporte em seu espaço. O perfil deve ser adicionado à conta de faturamento designada para o espaço.
Antes de começar, você deve ter privilégios administrativos na Conta da AWS ou poder trabalhar com seu administrador. Para ter mais informações sobre como Contas da AWS e perfis do IAM são usados no CodeCatalyst, consulte Permissão do acesso a recursos da AWS com Contas da AWS conectadas.
Como criar e adicionar o CodeCatalyst AWSRoleForCodeCatalystSupport
-
Antes de começar no console do CodeCatalyst, abra o AWS Management Console e, depois, verifique se você está conectado com a mesma Conta da AWS do espaço.
-
Acesse o espaço no CodeCatalyst. Escolha Settings (Configurações) e Contas da AWS.
-
Selecione o link da Conta da AWS na qual você deseja criar o perfil. A página Detalhes da Conta da AWS é exibida.
-
Selecione Gerenciar perfis no AWS Management Console.
A página Adicionar perfil do IAM ao espaço do Amazon CodeCatalyst é aberta no AWS Management Console. Esta é a página do Amazon CodeCatalyst Spaces. Talvez seja necessário fazer login para acessá-la.
-
Em Detalhes do espaço do CodeCatalyst, selecione Adicionar perfil de suporte do CodeCatalyst. Essa opção cria um perfil de serviço que contém a política de permissões e a política de confiança para o perfil de desenvolvimento de demonstração. O perfil terá um nome AWSRoleForCodeCatalystSupport com um identificador exclusivo anexado. Para ter mais informações sobre o perfil e a política de perfis, consulte Noções básicas sobre o perfil de serviço AWSRoleForCodeCatalystSupport.
-
Na página Adicionar perfil para suporte do CodeCatalyst, deixe o padrão selecionado e escolha Criar perfil.
-
Em Perfis do IAM disponíveis para o CodeCatalyst, veja o perfil
CodeCatalystWorkflowDevelopmentRole-na lista de perfis do IAM adicionados à conta.spaceName -
Para retornar ao espaço, selecione Ir para o Amazon CodeCatalyst.
Configuração de perfis do IAM para ações de fluxo de trabalho no CodeCatalyst
Esta seção detalha os perfis e políticas do IAM que você pode criar para usar com sua conta do CodeCatalyst. Para receber instruções para criar perfis de exemplo, consulte Criação manual de perfis para ações de fluxo de trabalho. Depois de criar o perfil do IAM, copie o ARN da função para adicionar o perfil do IAM à conexão da sua conta e associá-lo ao ambiente do projeto. Para saber mais, consulte Adicionar perfis do IAM às conexões da conta.
Função de criação do CodeCatalyst para acesso do Amazon S3
Para ações de criação de fluxo de trabalho do CodeCatalyst, você pode usar o perfil de serviço CodeCatalystWorkflowDevelopmentRole-spaceName padrão ou criar um perfil do IAM chamado CodeCatalystBuildRoleforS3Access. Esse perfil usa uma política com permissões específicas de que o CodeCatalyst precisa para executar tarefas em recursos do AWS CloudFormation na Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Gravar em buckets do Amazon S3.
-
Apoiar a criação de recursos com o AWS CloudFormation. Isso requer acesso do Amazon S3.
Esse perfil usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "resource_ARN", "Effect": "Allow" }] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Perfil de criação do CodeCatalyst para o AWS CloudFormation
Para ações de criação de fluxo de trabalho do CodeCatalyst, você pode usar o perfil de serviço CodeCatalystWorkflowDevelopmentRole-spaceName padrão ou criar um perfil do IAM com as permissões necessárias. Esse perfil usa uma política com permissões específicas de que o CodeCatalyst precisa para executar tarefas em recursos do AWS CloudFormation na Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Apoiar a criação de recursos com o AWS CloudFormation. Isso é necessário junto com o perfil de criação do CodeCatalyst para acesso do Amazon S3 e o perfil de implantação do CodeCatalyst para o AWS CloudFormation.
As políticas gerenciadas pela AWS a seguir devem ser anexadas a esse perfil:
-
AWSCloudFormationFullAccess
-
IAMFullAccess
-
AmazonS3FullAccess
-
AmazonAPIGatewayAdministrator
-
AWSLambdaFullAccess
Perfil de criação do CodeCatalyst para o CDK
Para fluxos de trabalho do CodeCatalyst que executam ações de criação do CDK, como a aplicação web moderna de três níveis, você pode usar o perfil de serviço CodeCatalystWorkflowDevelopmentRole-spaceName padrão ou criar um perfil do IAM com as permissões necessárias. Esse perfil usa uma política com permissões específicas de que o CodeCatalyst precisa para iniciar e executar comandos de criação do CDK para recursos do AWS CloudFormation na Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Gravar em buckets do Amazon S3.
-
Apoiar a criação de constructos do CDK e pilhas de recursos do AWS CloudFormation. Isso requer acesso ao Amazon S3 para armazenamento de artefatos, ao Amazon ECR para suporte ao repositório de imagens e ao SSM para governança e monitoramento do sistema para instâncias virtuais.
Esse perfil usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Perfil de implantação do CodeCatalyst para o AWS CloudFormation
Para as ações de implantação do fluxo de trabalho do CodeCatalyst que usam o AWS CloudFormation, você pode usar o perfil de serviço CodeCatalystWorkflowDevelopmentRole-spaceName padrão ou usar uma política com permissões específicas de que o CodeCatalyst precisa para executar tarefas nos recursos do AWS CloudFormation na Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Permita que o CodeCatalyst invoque uma função λ para realizar a implantação azul/verde por meio do AWS CloudFormation.
-
Permita que o CodeCatalyst crie e atualize pilhas e conjuntos de alterações no AWS CloudFormation.
Esse perfil usa a seguinte política:
{"Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "resource_ARN", "Effect": "Allow" }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Perfil de implantação do CodeCatalyst para o Amazon EC2
As ações de implantação do fluxo de trabalho do CodeCatalyst usam um perfil do IAM com as permissões necessárias. Esse perfil usa uma política com permissões específicas de que o CodeCatalyst precisa para executar tarefas em recursos do Amazon EC2 na Conta da AWS. A política padrão do perfil CodeCatalystWorkflowDevelopmentRole-spaceName não inclui permissões para o Amazon EC2 ou o Amazon EC2 Auto Scaling.
Esse perfil concede permissões para o seguinte:
-
Crie implantações do Amazon EC2.
-
Leia as tags em uma instância ou identifique uma instância do Amazon EC2 pelos nomes de grupo do Auto Scaling.
-
Ler, criar, atualizar e excluir grupos do Amazon EC2 Auto Scaling, ganchos do ciclo de vida e políticas de escalabilidade.
-
Publique informações nos tópicos do Amazon SNS.
-
Recupere informações sobre os alarmes do CloudWatch.
-
Leia e atualize o Elastic Load Balancing.
Esse perfil usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:CompleteLifecycleAction", "autoscaling:DeleteLifecycleHook", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLifecycleHooks", "autoscaling:PutLifecycleHook", "autoscaling:RecordLifecycleActionHeartbeat", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:EnableMetricsCollection", "autoscaling:DescribePolicies", "autoscaling:DescribeScheduledActions", "autoscaling:DescribeNotificationConfigurations", "autoscaling:SuspendProcesses", "autoscaling:ResumeProcesses", "autoscaling:AttachLoadBalancers", "autoscaling:AttachLoadBalancerTargetGroups", "autoscaling:PutScalingPolicy", "autoscaling:PutScheduledUpdateGroupAction", "autoscaling:PutNotificationConfiguration", "autoscaling:PutWarmPool", "autoscaling:DescribeScalingActivities", "autoscaling:DeleteAutoScalingGroup", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:TerminateInstances", "tag:GetResources", "sns:Publish", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets" ], "Resource": "resource_ARN" } ] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Perfil de implantação do CodeCatalyst para o Amazon ECS
Para ações de fluxo de trabalho do CodeCatalyst, você pode criar um perfil do IAM com as permissões necessárias. Você pode usar o perfil de serviço CodeCatalystWorkflowDevelopmentRole-spaceName padrão ou criar um perfil do IAM para ações de implantação do CodeCatalyst para usar em implantações do Lambda. Esse perfil usa uma política com permissões específicas de que o CodeCatalyst precisa para executar tarefas em recursos do Amazon ECS na Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Iniciar a implantação contínua do Amazon ECS em nome de um usuário do CodeCatalyst, em uma conta especificada na conexão do CodeCatalyst.
-
Ler, atualizar e excluir conjuntos de tarefas do Amazon ECS.
-
Atualizar grupos de destino, receptores e regras do Elastic Load Balancing.
-
Invocar funções do Lambda.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recupere informações sobre os alarmes do CloudWatch.
-
Publique informações nos tópicos do Amazon SNS.
Esse perfil usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [{ "Action":[ "ecs:DescribeServices", "ecs:CreateTaskSet", "ecs:DeleteTaskSet", "ecs:ListClusters", "ecs:RegisterTaskDefinition", "ecs:UpdateServicePrimaryTaskSet", "ecs:UpdateService", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:ModifyListener", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:ModifyRule", "lambda:InvokeFunction", "lambda:ListFunctions", "cloudwatch:DescribeAlarms", "sns:Publish", "sns:ListTopics", "s3:GetObject", "s3:GetObjectVersion", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetDeployment", "codedeploy:GetDeploymentGroup", "codedeploy:ListApplications", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:StopDeployment", "codedeploy:GetDeploymentTarget", "codedeploy:ListDeploymentTargets", "codedeploy:GetDeploymentConfig", "codedeploy:GetApplicationRevision", "codedeploy:RegisterApplicationRevision", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:BatchGetApplications", "codedeploy:ListApplicationRevisions", "codedeploy:ListDeploymentConfigs", "codedeploy:ContinueDeployment" ], "Resource":"*", "Effect":"Allow" },{"Action":[ "iam:PassRole" ], "Effect":"Allow", "Resource":"*", "Condition":{"StringLike":{"iam:PassedToService":[ "ecs-tasks.amazonaws.com", "codedeploy.amazonaws.com" ] } } }] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Perfil de implantação do CodeCatalyst para o Lambda
Para ações de fluxo de trabalho do CodeCatalyst, você pode criar um perfil do IAM com as permissões necessárias. Você pode usar o perfil de serviço CodeCatalystWorkflowDevelopmentRole-spaceName padrão ou criar um perfil do IAM para ações de implantação do CodeCatalyst para usar em implantações do Lambda. Esse perfil usa uma política com permissões específicas de que o CodeCatalyst precisa para executar tarefas em recursos do Lambda na Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Ler, atualizar e invocar funções do Lambda e aliases.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recuperar informações sobre os alarmes de eventos do CloudWatch.
-
Publique informações nos tópicos do Amazon SNS.
Esse perfil usa a seguinte política:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Perfil de implantação do CodeCatalyst para o Lambda
Para ações de fluxo de trabalho do CodeCatalyst, você pode usar o perfil de serviço CodeCatalystWorkflowDevelopmentRole-spaceName padrão ou criar um perfil do IAM com as permissões necessárias. Esse perfil usa uma política com permissões específicas de que o CodeCatalyst precisa para executar tarefas em recursos do Lambda na Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Ler, atualizar e invocar funções do Lambda e aliases.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recupere informações sobre os alarmes do CloudWatch.
-
Publique informações nos tópicos do Amazon SNS.
Esse perfil usa a seguinte política:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Perfil de implantação do CodeCatalyst para o AWS SAM
Para ações de fluxo de trabalho do CodeCatalyst, você pode usar o perfil de serviço CodeCatalystWorkflowDevelopmentRole-spaceName padrão ou criar um perfil do IAM com as permissões necessárias. Esse perfil usa uma política com permissões específicas de que o CodeCatalyst precisa para executar tarefas em recursos do AWS SAM e do AWS CloudFormation na Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Permitir que o CodeCatalyst invoque uma função do Lambda para realizar a implantação de aplicações de CLI e com tecnologia sem servidor do AWS SAM.
-
Permita que o CodeCatalyst crie e atualize pilhas e conjuntos de alterações no AWS CloudFormation.
Esse perfil usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Perfil somente leitura do CodeCatalyst para o Amazon EC2
Para ações de fluxo de trabalho do CodeCatalyst, você pode criar um perfil do IAM com as permissões necessárias. Esse perfil usa uma política com permissões específicas de que o CodeCatalyst precisa para executar tarefas em recursos do Amazon EC2 na Conta da AWS. O perfil de serviço CodeCatalystWorkflowDevelopmentRole-spaceName não inclui permissões para o Amazon EC2 ou as ações descritas para o Amazon CloudWatch.
Esse perfil concede permissões para o seguinte:
-
Obter o status de instâncias do Amazon EC2.
-
Obter métricas do CloudWatch para instâncias do Amazon EC2.
Esse perfil usa a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe", "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": "elasticloadbalancing:Describe", "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:Describe" ], "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": "autoscaling:Describe", "Resource": "resource_ARN" } ] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Perfil somente leitura do CodeCatalyst para o Amazon ECS
Para ações de fluxo de trabalho do CodeCatalyst, você pode criar um perfil do IAM com as permissões necessárias. Esse perfil usa uma política com permissões específicas de que o CodeCatalyst precisa para executar tarefas em recursos do Amazon ECS na Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Ler conjuntos de tarefas do Amazon ECS.
-
Recupere informações sobre os alarmes do CloudWatch.
Esse perfil usa a seguinte política:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:DescribeServices", "cloudwatch:DescribeAlarms" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeRules" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam:::role/ecsTaskExecutionRole", "arn:aws:iam:::role/ECSTaskExecution" ], "Condition": { "StringLike": { "iam:PassedToService": [ "ecs-tasks.amazonaws.com" ] } } } ] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Perfil somente leitura do CodeCatalyst para o Lambda
Para ações de fluxo de trabalho do CodeCatalyst, você pode criar um perfil do IAM com as permissões necessárias. Esse perfil usa uma política com permissões específicas de que o CodeCatalyst precisa para executar tarefas em recursos do Lambda na Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Ler funções e aliases do Lambda.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recupere informações sobre os alarmes do CloudWatch.
Essa função usa a seguinte política do .
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" } ] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Criação manual de perfis para ações de fluxo de trabalho
As ações de fluxo de trabalho do CodeCatalyst usam perfis do IAM que você cria, chamados de função de criação, perfil de implantação e perfil de pilha.
Siga estas etapas para criar esses perfis no IAM.
Para criar um perfil de implantação
-
Crie uma política para o perfil da seguinte maneira:
-
Faça login no AWS.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*" -
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome, insira:
codecatalyst-deploy-policy -
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie o perfil de implantação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Selecione Política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a política de confiança personalizada a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Escolha Próximo.
-
Em Políticas de permissões, procure
codecatalyst-deploy-policye marque a caixa de seleção. -
Escolha Próximo.
-
Em Nome do perfil, insira:
codecatalyst-deploy-role -
Em Descrição do perfil, insira:
CodeCatalyst deploy role -
Selecione Criar função.
Agora você criou um perfil de implantação com uma política de confiança e uma política de permissões.
-
-
Obtenha o ARN do perfil de implantação, da seguinte forma:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-deploy-role). -
Escolha o perfil na lista.
A página Resumo do perfil é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou o perfil de implantação com as permissões apropriadas e obteve o ARN.
-
Como criar um perfil de criação
-
Crie uma política para o perfil da seguinte maneira:
-
Faça login no AWS.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*" -
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome, insira:
codecatalyst-build-policy -
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie o perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Selecione Política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a política de confiança personalizada a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Escolha Próximo.
-
Em Políticas de permissões, procure
codecatalyst-build-policye marque a caixa de seleção. -
Escolha Próximo.
-
Em Nome do perfil, insira:
codecatalyst-build-role -
Em Descrição do perfil, insira:
CodeCatalyst build role -
Selecione Criar função.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
-
-
Obtenha o ARN do perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-build-role). -
Escolha o perfil na lista.
A página Resumo do perfil é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.
-
Para criar um perfil de pilha
nota
Você não precisa criar um perfil de pilha, embora isso seja recomendado por motivos de segurança. Se você não criar o perfil de pilha, precisará adicionar as políticas de permissões descritas mais adiante neste procedimento ao perfil de implantação.
-
Entre na AWS usando a conta em que você deseja implantar a pilha.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Perfis e Criar perfil.
-
Na parte superior, selecione Serviço da AWS.
-
Na lista de serviços, selecione CloudFormation.
-
Selecione Next: Permissions (Próximo: permissões).
-
Na caixa de pesquisa, adicione todas as políticas necessárias para acessar os recursos em sua pilha. Por exemplo, se sua pilha incluir uma função do AWS Lambda, você precisará adicionar uma política que conceda acesso ao Lambda.
dica
Se não tiver certeza de quais políticas adicionar, você pode omiti-las por enquanto. Quando testar a ação, se você não tiver as permissões corretas, o AWS CloudFormation vai gerar erros que mostram quais permissões precisam ser adicionadas.
-
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome do perfil, insira:
codecatalyst-stack-role -
Selecione Criar função.
-
Para obter o ARN do perfil de pilha, faça o seguinte:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-stack-role). -
Escolha o perfil na lista.
-
Na página Resumo, copie o valor de ARN do perfil.
-
Usar o AWS CloudFormation para criar políticas e perfis no IAM
Você pode optar por criar e usar modelos do AWS CloudFormation para criar as políticas e os perfis necessários para acessar recursos em uma Conta da AWS para seus projetos e fluxos de trabalho do CodeCatalyst. O AWS CloudFormation é um serviço que ajuda você a modelar e configurar seus recursos da AWS para gastar menos tempo gerenciando esses recursos e mais tempo se concentrando nas aplicações executadas na AWS. Se você pretende criar funções em várias Contas da AWS, criar um modelo pode ajudar a realizar essa tarefa mais rapidamente.
O modelo de exemplo a seguir cria uma política e um perfil de ação de implantação.
Parameters: CodeCatalystAccountId: Type: String Description: Account ID from the connections page ExternalId: Type: String Description: External ID from the connections page Resources: CrossAccountRole: Type: 'AWS::IAM::Role' Properties: AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Principal: AWS: - !Ref CodeCatalystAccountId Action: - 'sts:AssumeRole' Condition: StringEquals: sts:ExternalId: !Ref ExternalId Path: / Policies: - PolicyName: CodeCatalyst-CloudFormation-action-policy PolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Action: - 'cloudformation:CreateStack' - 'cloudformation:DeleteStack' - 'cloudformation:Describe*' - 'cloudformation:UpdateStack' - 'cloudformation:CreateChangeSet' - 'cloudformation:DeleteChangeSet' - 'cloudformation:ExecuteChangeSet' - 'cloudformation:SetStackPolicy' - 'cloudformation:ValidateTemplate' - 'cloudformation:List*' - 'iam:PassRole' Resource: '*'
Criar o perfil manualmente para o esquema da aplicação web
O esquema de aplicação web do CodeCatalyst usa perfis do IAM que você cria, chamados de perfil de criação do CDK, perfil de implantação e perfil de pilha.
Siga estas etapas para criar o perfil no IAM.
Como criar um perfil de criação
-
Crie uma política para o perfil da seguinte maneira:
-
Faça login no AWS.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*" -
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome, insira:
codecatalyst-webapp-build-policy -
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie o perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Selecione Política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a política de confiança personalizada a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Escolha Próximo.
-
Anexe a política de permissões ao perfil de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise
codecatalyst-webapp-build-policye marque a caixa de seleção. -
Escolha Próximo.
-
Em Nome do perfil, insira:
codecatalyst-webapp-build-role -
Em Descrição do perfil, insira:
CodeCatalyst Web app build role -
Selecione Criar função.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
-
-
Anexe a política de permissões ao perfil de criação, da seguinte maneira:
-
No painel de navegação, selecione Perfis e procure
codecatalyst-webapp-build-role. -
Selecione
codecatalyst-webapp-build-rolepara exibir os detalhes. -
Na guia Permissões, escolha Adicionar permissões e Anexar políticas.
-
Procure
codecatalyst-webapp-build-policy, marque a caixa de seleção e selecione Anexar políticas.Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
-
-
Obtenha o ARN do perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-webapp-build-role). -
Escolha o perfil na lista.
A página Resumo do perfil é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.
-
Criação manual de perfis para o esquema do SAM
O esquema do CodeCatalyst SAM usa perfis do IAM que você cria, chamados de perfil de criação para CloudFormation e perfil de implantação para SAM.
Siga estas etapas para criar os perfis no IAM.
Para criar um perfil de criação para o CloudFormation
-
Crie uma política para o perfil da seguinte maneira:
-
Faça login no AWS.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:*", "cloudformation:*" ], "Resource": "*" } ] }nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*" -
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome, insira:
codecatalyst-SAM-build-policy -
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie o perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Selecione Política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a política de confiança personalizada a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Escolha Próximo.
-
Anexe a política de permissões ao perfil de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise
codecatalyst-SAM-build-policye marque a caixa de seleção. -
Escolha Próximo.
-
Em Nome do perfil, insira:
codecatalyst-SAM-build-role -
Em Descrição do perfil, insira:
CodeCatalyst SAM build role -
Selecione Criar função.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
-
-
Anexe a política de permissões ao perfil de criação, da seguinte maneira:
-
No painel de navegação, selecione Perfis e procure
codecatalyst-SAM-build-role. -
Selecione
codecatalyst-SAM-build-rolepara exibir os detalhes. -
Na guia Permissões, escolha Adicionar permissões e Anexar políticas.
-
Procure
codecatalyst-SAM-build-policy, marque a caixa de seleção e selecione Anexar políticas.Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
-
-
Obtenha o ARN do perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-SAM-build-role). -
Escolha o perfil na lista.
A página Resumo do perfil é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.
-
Para criar um perfil de implantação para o SAM
-
Crie uma política para o perfil da seguinte maneira:
-
Faça login no AWS.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Policies.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*" -
Escolha Próximo: etiquetas.
-
Selecione Next: Review (Próximo: revisar).
-
Em Nome, insira:
codecatalyst-SAM-deploy-policy -
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie o perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Selecione Política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a política de confiança personalizada a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Escolha Próximo.
-
Anexe a política de permissões ao perfil de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise
codecatalyst-SAM-deploy-policye marque a caixa de seleção. -
Escolha Próximo.
-
Em Nome do perfil, insira:
codecatalyst-SAM-deploy-role -
Em Descrição do perfil, insira:
CodeCatalyst SAM deploy role -
Selecione Criar função.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
-
-
Anexe a política de permissões ao perfil de criação, da seguinte maneira:
-
No painel de navegação, selecione Perfis e procure
codecatalyst-SAM-deploy-role. -
Selecione
codecatalyst-SAM-deploy-rolepara exibir os detalhes. -
Na guia Permissões, escolha Adicionar permissões e Anexar políticas.
-
Procure
codecatalyst-SAM-deploy-policy, marque a caixa de seleção e selecione Anexar políticas.Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
-
-
Obtenha o ARN do perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-SAM-deploy-role). -
Escolha o perfil na lista.
A página Resumo do perfil é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.
-
