As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
CodeCatalyst pode acessar AWS recursos conectando seu Conta da AWS a um CodeCatalyst espaço. Em seguida, você pode criar os seguintes perfis de serviço e associá-los ao conectar sua conta.
Para ter mais informações sobre os elementos usados em uma política JSON, consulte Referência de elementos de política JSON do IAM no Guia do usuário do IAM.
-
Para acessar recursos em e Conta da AWS para seus CodeCatalyst projetos e fluxos de trabalho, você deve primeiro conceder permissão CodeCatalyst para acessar esses recursos em seu nome. Para fazer isso, você deve criar uma função de serviço em um ambiente conectado Conta da AWS que CodeCatalyst possa assumir em nome de usuários e projetos no espaço. Você pode optar por criar e usar o CodeCatalystWorkflowDevelopmentRole-
spaceName
função de serviço, ou você pode criar funções de serviço personalizadas e configurar essas políticas e funções do IAM manualmente. Como prática recomendada, atribua esses perfis à menor quantidade de permissões necessária.nota
Para funções de serviço personalizadas, é necessário o responsável pelo CodeCatalyst serviço. Para obter mais informações sobre o principal CodeCatalyst de serviço e o modelo de confiança, consulteEntendendo o modelo de CodeCatalyst confiança.
-
Para gerenciar o suporte para um espaço por meio do conectado Conta da AWS, você pode optar por criar e usar o AWSRoleForCodeCatalystSupportfunção de serviço que permite que CodeCatalyst os usuários acessem o suporte. Para obter mais informações sobre suporte para um CodeCatalyst espaço, consulteSupport para Amazon CodeCatalyst.
Noções básicas sobre as CodeCatalystWorkflowDevelopmentRole-Função de serviço do spaceName
Você pode adicionar uma função do IAM ao seu espaço que CodeCatalyst pode ser usada para criar e acessar recursos em um ambiente conectado Conta da AWS. Chamamos isso de um perfil de serviço. A maneira mais simples de criar uma função de serviço é adicionar uma ao criar o espaço e escolher a CodeCatalystWorkflowDevelopmentRole-spaceName
opção para essa função. Isso não apenas cria a função de serviço com o AdministratorAccess
anexo, mas também cria a política de confiança que permite assumir CodeCatalyst a função em nome dos usuários em projetos no espaço. O perfil de serviço tem como escopo o espaço, não os projetos individuais. Para criar essa função, consulte Criar a CodeCatalystWorkflowDevelopmentRole-spaceNamefunção para sua conta e espaço. Só será possível criar um perfil para cada espaço em cada conta.
nota
Essa função só é recomendada para uso com contas de desenvolvimento e usa a política AdministratorAccess
AWS gerenciada, dando a ela acesso total para criar novas políticas e recursos nela Conta da AWS.
A política anexada ao CodeCatalystWorkflowDevelopmentRole-spaceName
A função foi projetada para trabalhar com projetos criados com plantas no espaço. Ela permite que os usuários desses projetos desenvolvam, criem, testem e implantem código usando recursos na Conta da AWS conectada. Para obter mais informações, consulte Criação de uma função para um AWS serviço.
A política anexada ao CodeCatalystWorkflowDevelopmentRole-spaceName
a função é a política AdministratorAccess
gerenciada em AWS. Essa é uma política que concede acesso total a todas as AWS ações e recursos. Para ver o documento de política JSON no console do IAM, consulte AdministratorAccess
A seguinte política de confiança CodeCatalyst permite assumir o CodeCatalystWorkflowDevelopmentRole-Função do spaceName
. Para obter mais informações sobre o modelo de CodeCatalyst confiança, consulteEntendendo o modelo de CodeCatalyst confiança.
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst-runner.amazonaws.com",
"codecatalyst.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
}
}
}
]
Criar a CodeCatalystWorkflowDevelopmentRole-spaceName
função para sua conta e espaço
Siga estas etapas para criar o perfil CodeCatalystWorkflowDevelopmentRole-
que será usado para fluxos de trabalho em seu espaço. Para cada conta que você deseja que tenha perfis do IAM para uso em projetos, no seu espaço, você deve adicionar um perfil, como o perfil de desenvolvedor. spaceName
Antes de começar, você deve ter privilégios administrativos para seu administrador Conta da AWS ou ser capaz de trabalhar com ele. Para obter mais informações sobre como Contas da AWS as funções do IAM são usadas em CodeCatalyst, consultePermitindo acesso a AWS recursos com conexão Contas da AWS.
Para criar e adicionar o CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName
-
Antes de começar no CodeCatalyst console, abra o e AWS Management Console, em seguida, verifique se você está logado com o mesmo Conta da AWS em seu espaço.
Abra o CodeCatalyst console em https://codecatalyst.aws/
. -
Navegue até seu CodeCatalyst espaço. Escolha Settings (Configurações) e Contas da AWS.
-
Escolha o link para Conta da AWS onde você deseja criar a função. A página Detalhes da Conta da AWS é exibida.
-
Escolha Gerenciar funções em AWS Management Console.
A página Adicionar função do IAM ao CodeCatalyst espaço da Amazon é aberta no AWS Management Console. Esta é a página do Amazon CodeCatalyst Spaces. Talvez seja necessário fazer login para acessá-la.
-
Escolha Criar função CodeCatalyst de administrador de desenvolvimento no IAM. Essa opção cria um perfil de serviço que contém a política de permissões e a política de confiança para o perfil de desenvolvimento. O perfil terá um nome
CodeCatalystWorkflowDevelopmentRole-
. Para ter mais informações sobre o perfil e a política de perfis, consulte Noções básicas sobre as CodeCatalystWorkflowDevelopmentRole-Função de serviço do spaceName.spaceName
nota
Essa função só é recomendada para uso com contas de desenvolvedor e usa a política
AdministratorAccess
AWS gerenciada, dando a ela acesso total para criar novas políticas e recursos nela Conta da AWS. -
Selecione Criar perfil de desenvolvimento.
-
Na página de conexões, em Funções do IAM disponíveis para CodeCatalyst, veja a
CodeCatalystWorkflowDevelopmentRole-
função na lista de funções do IAM adicionadas à sua conta.spaceName
-
Para retornar ao seu espaço, escolha Go to Amazon CodeCatalyst.
Noções básicas sobre as AWSRoleForCodeCatalystSupportFunção de serviço do
Você pode adicionar uma função do IAM ao seu espaço que CodeCatalyst os usuários em um espaço possam usar para criar e acessar casos de suporte. Isso é chamado de perfil de serviço para suporte. A maneira mais simples de criar um perfil de serviço para suporte é adicionar um ao criar o espaço e escolher a opção AWSRoleForCodeCatalystSupport
para esse perfil. Isso não apenas cria a política e a função, mas também cria a política de confiança que CodeCatalyst permite assumir a função em nome dos usuários em projetos no espaço. O perfil de serviço tem como escopo o espaço, não os projetos individuais. Para criar essa função, consulte Criar a AWSRoleForCodeCatalystSupportfunção para sua conta e espaço.
A política anexada ao perfil AWSRoleForCodeCatalystSupport
é uma política gerenciada que fornece acesso às permissões de suporte. Para obter mais informações, consulte AWS política gerenciada: AmazonCodeCatalystSupportAccess.
A função de confiança da política CodeCatalyst permite assumir a função.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
Criar a AWSRoleForCodeCatalystSupportfunção para sua conta e espaço
Siga estas etapas para criar o perfil AWSRoleForCodeCatalystSupport
que será usado para casos de suporte em seu espaço. O perfil deve ser adicionado à conta de faturamento designada para o espaço.
Antes de começar, você deve ter privilégios administrativos para seu administrador Conta da AWS ou ser capaz de trabalhar com ele. Para obter mais informações sobre como Contas da AWS as funções do IAM são usadas em CodeCatalyst, consultePermitindo acesso a AWS recursos com conexão Contas da AWS.
Para criar e adicionar o CodeCatalyst AWSRoleForCodeCatalystSupport
-
Antes de começar no CodeCatalyst console, abra o e AWS Management Console, em seguida, verifique se você está logado com o mesmo Conta da AWS em seu espaço.
-
Navegue até seu CodeCatalyst espaço. Escolha Settings (Configurações) e Contas da AWS.
-
Escolha o link para Conta da AWS onde você deseja criar a função. A página Detalhes da Conta da AWS é exibida.
-
Escolha Gerenciar funções em AWS Management Console.
A página Adicionar função do IAM ao CodeCatalyst espaço da Amazon é aberta no AWS Management Console. Esta é a página do Amazon CodeCatalyst Spaces. Talvez seja necessário fazer login para acessá-la.
-
Em detalhes do CodeCatalyst espaço, escolha Adicionar função de CodeCatalyst Support. Essa opção cria um perfil de serviço que contém a política de permissões e a política de confiança para o perfil de desenvolvimento de demonstração. O papel terá um nome AWSRoleForCodeCatalystSupportcom um identificador exclusivo anexado. Para ter mais informações sobre o perfil e a política de perfis, consulte Noções básicas sobre as AWSRoleForCodeCatalystSupportFunção de serviço do .
-
Na página Adicionar função para CodeCatalyst Support, deixe o padrão selecionado e escolha Criar função.
-
Em Funções do IAM disponíveis para CodeCatalyst, veja a
CodeCatalystWorkflowDevelopmentRole-
função na lista de funções do IAM adicionadas à sua conta.spaceName
-
Para retornar ao seu espaço, escolha Go to Amazon CodeCatalyst.
Configurando funções do IAM para ações de fluxo de trabalho em CodeCatalyst
Esta seção detalha as funções e políticas do IAM que você pode criar para usar com sua CodeCatalyst conta. Para receber instruções para criar perfis de exemplo, consulte Criação manual de perfis para ações de fluxo de trabalho. Depois de criar o perfil do IAM, copie o ARN da função para adicionar o perfil do IAM à conexão da sua conta e associá-lo ao ambiente do projeto. Para saber mais, consulte Adicionar perfis do IAM às conexões da conta.
CodeCatalyst função de criação para acesso ao Amazon S3
Para ações CodeCatalyst de criação de fluxo de trabalho, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceName
função de serviço, ou você pode criar uma função do IAM chamada CodeCatalystBuildRoleforS3Access. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas em AWS CloudFormation recursos em seu Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Gravar em buckets do Amazon S3.
-
Support a construção de recursos com AWS CloudFormation. Isso requer acesso do Amazon S3.
Esse perfil usa a seguinte política:
{
"Version": "2012-10-17",
"Statement": [{
"Action": [
"s3:PutObject",
"iam:PassRole"
],
"Resource": "resource_ARN
",
"Effect": "Allow"
}]
}
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst criar função para AWS CloudFormation
Para ações CodeCatalyst de criação de fluxo de trabalho, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceName
função de serviço, ou você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas em AWS CloudFormation recursos em seu Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Support a construção de recursos com AWS CloudFormation. Isso é necessário junto com a função de CodeCatalyst criação para acesso ao Amazon S3 e a função de CodeCatalyst implantação para. AWS CloudFormation
As seguintes políticas AWS gerenciadas devem ser anexadas a essa função:
-
AWSCloudFormationFullAccess
-
IAMFullAcesso
-
Amazon S3 FullAccess
-
APIGatewayAdministrador da Amazon
-
AWSLambdaFullAccess
CodeCatalyst função de criação para o CDK
Para CodeCatalyst fluxos de trabalho que executam ações de criação do CDK, como o aplicativo web moderno de três camadas, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceName
função de serviço, ou você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa inicializar e executar comandos de criação do CDK para AWS CloudFormation recursos em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
-
Gravar em buckets do Amazon S3.
-
Support a construção de construções de CDK e pilhas de AWS CloudFormation recursos. Isso requer acesso ao Amazon S3 para armazenamento de artefatos, ao Amazon ECR para suporte ao repositório de imagens e ao SSM para governança e monitoramento do sistema para instâncias virtuais.
Esse perfil usa a seguinte política:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*",
"ecr:*",
"ssm:*",
"s3:*",
"iam:PassRole",
"iam:GetRole",
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "*"
}
]
}
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para AWS CloudFormation
Para ações CodeCatalyst de implantação de fluxo de trabalho que usam AWS CloudFormation, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceName
função de serviço, ou você pode usar uma política com permissões definidas que CodeCatalyst precisa executar tarefas em AWS CloudFormation recursos em seu Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Permita CodeCatalyst invocar uma função λ para realizar a implantação azul/verde. AWS CloudFormation
-
Permite CodeCatalyst criar e atualizar pilhas e conjuntos de alterações em. AWS CloudFormation
Esse perfil usa a seguinte política:
{"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:Describe*",
"cloudformation:UpdateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:SetStackPolicy",
"cloudformation:ValidateTemplate",
"cloudformation:List*",
"iam:PassRole"
],
"Resource": "resource_ARN
",
"Effect": "Allow"
}
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para a Amazon EC2
CodeCatalyst as ações de implantação do fluxo de trabalho usam uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões específicas que CodeCatalyst precisa executar tarefas nos EC2 recursos da Amazon em seu Conta da AWS. A política padrão para o CodeCatalystWorkflowDevelopmentRole-spaceName
a função não inclui permissões para Amazon EC2 ou Amazon EC2 Auto Scaling.
Esse perfil concede permissões para o seguinte:
-
Crie EC2 implantações da Amazon.
-
Leia as tags em uma instância ou identifique uma EC2 instância da Amazon pelos nomes dos grupos do Auto Scaling.
-
Leia, crie, atualize e exclua grupos, ganchos de ciclo de vida e políticas de escalabilidade do Amazon EC2 Auto Scaling.
-
Publique informações nos tópicos do Amazon SNS.
-
Recupere informações sobre CloudWatch alarmes.
-
Leia e atualize o Elastic Load Balancing.
Esse perfil usa a seguinte política:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:CompleteLifecycleAction",
"autoscaling:DeleteLifecycleHook",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeLifecycleHooks",
"autoscaling:PutLifecycleHook",
"autoscaling:RecordLifecycleActionHeartbeat",
"autoscaling:CreateAutoScalingGroup",
"autoscaling:UpdateAutoScalingGroup",
"autoscaling:EnableMetricsCollection",
"autoscaling:DescribePolicies",
"autoscaling:DescribeScheduledActions",
"autoscaling:DescribeNotificationConfigurations",
"autoscaling:SuspendProcesses",
"autoscaling:ResumeProcesses",
"autoscaling:AttachLoadBalancers",
"autoscaling:AttachLoadBalancerTargetGroups",
"autoscaling:PutScalingPolicy",
"autoscaling:PutScheduledUpdateGroupAction",
"autoscaling:PutNotificationConfiguration",
"autoscaling:PutWarmPool",
"autoscaling:DescribeScalingActivities",
"autoscaling:DeleteAutoScalingGroup",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:TerminateInstances",
"tag:GetResources",
"sns:Publish",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:DeregisterTargets"
],
"Resource": "resource_ARN
"
}
]
}
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para o Amazon ECS
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceName
função de serviço, ou você pode criar uma função do IAM para CodeCatalyst implantar ações a serem usadas em implantações do Lambda. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon ECS em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
-
Inicie a implantação contínua do Amazon ECS em nome de um CodeCatalyst usuário, em uma conta especificada na CodeCatalyst conexão.
-
Ler, atualizar e excluir conjuntos de tarefas do Amazon ECS.
-
Atualizar grupos de destino, receptores e regras do Elastic Load Balancing.
-
Invocar funções do Lambda.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recupere informações sobre CloudWatch alarmes.
-
Publique informações nos tópicos do Amazon SNS.
Esse perfil usa a seguinte política:
{
"Version": "2012-10-17",
"Statement": [{
"Action":[
"ecs:DescribeServices",
"ecs:CreateTaskSet",
"ecs:DeleteTaskSet",
"ecs:ListClusters",
"ecs:RegisterTaskDefinition",
"ecs:UpdateServicePrimaryTaskSet",
"ecs:UpdateService",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:ModifyRule",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"cloudwatch:DescribeAlarms",
"sns:Publish",
"sns:ListTopics",
"s3:GetObject",
"s3:GetObjectVersion",
"codedeploy:CreateApplication",
"codedeploy:CreateDeployment",
"codedeploy:CreateDeploymentGroup",
"codedeploy:GetApplication",
"codedeploy:GetDeployment",
"codedeploy:GetDeploymentGroup",
"codedeploy:ListApplications",
"codedeploy:ListDeploymentGroups",
"codedeploy:ListDeployments",
"codedeploy:StopDeployment",
"codedeploy:GetDeploymentTarget",
"codedeploy:ListDeploymentTargets",
"codedeploy:GetDeploymentConfig",
"codedeploy:GetApplicationRevision",
"codedeploy:RegisterApplicationRevision",
"codedeploy:BatchGetApplicationRevisions",
"codedeploy:BatchGetDeploymentGroups",
"codedeploy:BatchGetDeployments",
"codedeploy:BatchGetApplications",
"codedeploy:ListApplicationRevisions",
"codedeploy:ListDeploymentConfigs",
"codedeploy:ContinueDeployment"
],
"Resource":"*",
"Effect":"Allow"
},{"Action":[
"iam:PassRole"
],
"Effect":"Allow",
"Resource":"*",
"Condition":{"StringLike":{"iam:PassedToService":[
"ecs-tasks.amazonaws.com",
"codedeploy.amazonaws.com"
]
}
}
}]
}
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para Lambda
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceName
função de serviço, ou você cria uma função do IAM para CodeCatalyst implantar ações a serem usadas em implantações do Lambda. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
-
Ler, atualizar e invocar funções do Lambda e aliases.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recupere informações sobre alarmes de CloudWatch eventos.
-
Publique informações nos tópicos do Amazon SNS.
Esse perfil usa a seguinte política:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:DescribeAlarms",
"lambda:UpdateAlias",
"lambda:GetAlias",
"lambda:GetProvisionedConcurrencyConfig",
"sns:Publish"
],
"Resource": "resource_ARN
",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::/CodeDeploy/",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/UseWithCodeDeploy": "true"
}
},
"Effect": "Allow"
},
{
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:::function:CodeDeployHook_*",
"Effect": "Allow"
}
]
}
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para Lambda
Para ações CodeCatalyst de fluxo de trabalho, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceName
função de serviço, ou você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
-
Ler, atualizar e invocar funções do Lambda e aliases.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recupere informações sobre CloudWatch alarmes.
-
Publique informações nos tópicos do Amazon SNS.
Esse perfil usa a seguinte política:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:DescribeAlarms",
"lambda:UpdateAlias",
"lambda:GetAlias",
"lambda:GetProvisionedConcurrencyConfig",
"sns:Publish"
],
"Resource": "resource_ARN
",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::/CodeDeploy/",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/UseWithCodeDeploy": "true"
}
},
"Effect": "Allow"
},
{
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:::function:CodeDeployHook_*",
"Effect": "Allow"
}
]
}
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função de implantação para AWS SAM
Para ações CodeCatalyst de fluxo de trabalho, você pode usar o padrão CodeCatalystWorkflowDevelopmentRole-spaceName
função de serviço, ou você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas AWS SAM e AWS CloudFormation recursos em seu Conta da AWS.
Esse perfil concede permissões para o seguinte:
-
Permita CodeCatalyst invocar uma função Lambda para realizar a implantação de aplicativos CLI e sem servidor AWS SAM .
-
Permite CodeCatalyst criar e atualizar pilhas e conjuntos de alterações em. AWS CloudFormation
Esse perfil usa a seguinte política:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"iam:PassRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:TagRole",
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"cloudformation:*",
"lambda:*",
"apigateway:*"
],
"Resource": "*"
}
]
}
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função somente para leitura na Amazon EC2
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões específicas que CodeCatalyst precisa executar tarefas nos EC2 recursos da Amazon em seu Conta da AWS. A CodeCatalystWorkflowDevelopmentRole-spaceName
a função de serviço não inclui permissões para a Amazon EC2 ou as ações descritas para a Amazon CloudWatch.
Esse perfil concede permissões para o seguinte:
-
Obtenha o status das EC2 instâncias da Amazon.
-
Obtenha CloudWatch métricas para EC2 instâncias da Amazon.
Esse perfil usa a seguinte política:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe",
"Resource": "resource_ARN
"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:Describe",
"Resource": "resource_ARN
"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:Describe"
],
"Resource": "resource_ARN
"
},
{
"Effect": "Allow",
"Action": "autoscaling:Describe",
"Resource": "resource_ARN
"
}
]
}
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função somente de leitura para Amazon ECS
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon ECS em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
-
Ler conjuntos de tarefas do Amazon ECS.
-
Recupere informações sobre CloudWatch alarmes.
Esse perfil usa a seguinte política:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ecs:DescribeServices",
"cloudwatch:DescribeAlarms"
],
"Resource": "resource_ARN
",
"Effect": "Allow"
},
{
"Action": [
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeRules"
],
"Resource": "resource_ARN
",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/UseWithCodeDeploy": "true"
}
},
"Effect": "Allow"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iam:::role/ecsTaskExecutionRole",
"arn:aws:iam:::role/ECSTaskExecution"
],
"Condition": {
"StringLike": {
"iam:PassedToService": [
"ecs-tasks.amazonaws.com"
]
}
}
}
]
}
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
CodeCatalyst função somente de leitura para Lambda
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
-
Ler funções e aliases do Lambda.
-
Acessar arquivos de revisão em buckets do Amazon S3.
-
Recupere informações sobre CloudWatch alarmes.
Essa função usa a seguinte política do .
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:DescribeAlarms",
"lambda:GetAlias",
"lambda:GetProvisionedConcurrencyConfig"
],
"Resource": "resource_ARN
",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::/CodeDeploy/",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/UseWithCodeDeploy": "true"
}
},
"Effect": "Allow"
}
]
}
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
Criação manual de perfis para ações de fluxo de trabalho
CodeCatalyst as ações de fluxo de trabalho usam funções do IAM que você cria, chamadas de função de construção, função de implantação e função de pilha.
Siga estas etapas para criar esses perfis no IAM.
Para criar um perfil de implantação
-
Crie uma política para o perfil da seguinte maneira:
-
Faça login em AWS.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Políticas.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
-
Escolha Próximo: etiquetas.
-
Selecione Próximo: revisar.
-
Em Nome, insira:
codecatalyst-deploy-policy
-
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie o perfil de implantação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Selecione Política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a política de confiança personalizada a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Escolha Próximo.
-
Em Políticas de permissões, procure
codecatalyst-deploy-policy
e marque a caixa de seleção. -
Escolha Próximo.
-
Em Nome do perfil, insira:
codecatalyst-deploy-role
-
Em Descrição do perfil, insira:
CodeCatalyst deploy role
-
Selecione Criar perfil.
Agora você criou um perfil de implantação com uma política de confiança e uma política de permissões.
-
-
Obtenha o ARN do perfil de implantação, da seguinte forma:
-
No painel de navegação, selecione Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-deploy-role
). -
Escolha o perfil na lista.
A página Resumo do perfil é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou o perfil de implantação com as permissões apropriadas e obteve o ARN.
-
Como criar um perfil de criação
-
Crie uma política para o perfil da seguinte maneira:
-
Faça login em AWS.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Políticas.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
-
Escolha Próximo: etiquetas.
-
Selecione Próximo: revisar.
-
Em Nome, insira:
codecatalyst-build-policy
-
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie o perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Selecione Política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a política de confiança personalizada a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Escolha Próximo.
-
Em Políticas de permissões, procure
codecatalyst-build-policy
e marque a caixa de seleção. -
Escolha Próximo.
-
Em Nome do perfil, insira:
codecatalyst-build-role
-
Em Descrição do perfil, insira:
CodeCatalyst build role
-
Selecione Criar perfil.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
-
-
Obtenha o ARN do perfil de criação, da seguinte forma:
-
No painel de navegação, selecione Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-build-role
). -
Escolha o perfil na lista.
A página Resumo do perfil é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.
-
Para criar um perfil de pilha
nota
Você não precisa criar um perfil de pilha, embora isso seja recomendado por motivos de segurança. Se você não criar o perfil de pilha, precisará adicionar as políticas de permissões descritas mais adiante neste procedimento ao perfil de implantação.
-
Faça login AWS usando a conta na qual você deseja implantar sua pilha.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Perfis e Criar perfil.
-
Na parte superior, selecione Serviço da AWS .
-
Na lista de serviços, escolha CloudFormation.
-
Escolha Próximo: Permissões.
-
Na caixa de pesquisa, adicione todas as políticas necessárias para acessar os recursos em sua pilha. Por exemplo, se sua pilha inclui uma AWS Lambda função, você precisa adicionar uma política que conceda acesso ao Lambda.
dica
Se não tiver certeza de quais políticas adicionar, você pode omiti-las por enquanto. Quando você testa a ação, se você não tiver as permissões corretas, AWS CloudFormation gera erros que mostram quais permissões você precisa adicionar.
-
Escolha Próximo: etiquetas.
-
Selecione Próximo: revisar.
-
Em Nome do perfil, insira:
codecatalyst-stack-role
-
Selecione Criar perfil.
-
Para obter o ARN do perfil de pilha, faça o seguinte:
-
No painel de navegação, selecione Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-stack-role
). -
Escolha o perfil na lista.
-
Na página Resumo, copie o valor de ARN do perfil.
-
Usando AWS CloudFormation para criar políticas e funções no IAM
Você pode escolher criar e usar AWS CloudFormation modelos para criar as políticas e funções necessárias para acessar recursos em seus CodeCatalyst projetos e fluxos de trabalho. Conta da AWS AWS CloudFormation é um serviço que ajuda você a modelar e configurar seus AWS recursos para que você possa passar menos tempo gerenciando esses recursos e mais tempo se concentrando nos aplicativos que são executados em AWS. Se você pretende criar funções em várias Contas da AWS, criar um modelo pode ajudá-lo a realizar essa tarefa mais rapidamente.
O modelo de exemplo a seguir cria uma política e um perfil de ação de implantação.
Parameters:
CodeCatalystAccountId:
Type: String
Description: Account ID from the connections page
ExternalId:
Type: String
Description: External ID from the connections page
Resources:
CrossAccountRole:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref CodeCatalystAccountId
Action:
- 'sts:AssumeRole'
Condition:
StringEquals:
sts:ExternalId: !Ref ExternalId
Path: /
Policies:
- PolicyName: CodeCatalyst-CloudFormation-action-policy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- 'cloudformation:CreateStack'
- 'cloudformation:DeleteStack'
- 'cloudformation:Describe*'
- 'cloudformation:UpdateStack'
- 'cloudformation:CreateChangeSet'
- 'cloudformation:DeleteChangeSet'
- 'cloudformation:ExecuteChangeSet'
- 'cloudformation:SetStackPolicy'
- 'cloudformation:ValidateTemplate'
- 'cloudformation:List*'
- 'iam:PassRole'
Resource: '*'
Criar o perfil manualmente para o esquema da aplicação web
O blueprint do aplicativo CodeCatalyst web usa funções do IAM que você cria, chamadas de função de construção para CDK, função de implantação e função de pilha.
Siga estas etapas para criar o perfil no IAM.
Como criar um perfil de criação
-
Crie uma política para o perfil da seguinte maneira:
-
Faça login em AWS.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Políticas.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
-
Escolha Próximo: etiquetas.
-
Selecione Próximo: revisar.
-
Em Nome, insira:
codecatalyst-webapp-build-policy
-
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie o perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Selecione Política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a política de confiança personalizada a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Escolha Próximo.
-
Anexe a política de permissões ao perfil de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise
codecatalyst-webapp-build-policy
e marque a caixa de seleção. -
Escolha Próximo.
-
Em Nome do perfil, insira:
codecatalyst-webapp-build-role
-
Em Descrição do perfil, insira:
CodeCatalyst Web app build role
-
Selecione Criar perfil.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
-
-
Anexe a política de permissões ao perfil de criação, da seguinte maneira:
-
No painel de navegação, selecione Perfis e procure
codecatalyst-webapp-build-role
. -
Selecione
codecatalyst-webapp-build-role
para exibir os detalhes. -
Na guia Permissões, escolha Adicionar permissões e Anexar políticas.
-
Procure
codecatalyst-webapp-build-policy
, marque a caixa de seleção e selecione Anexar políticas.Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
-
-
Obtenha o ARN do perfil de criação, da seguinte forma:
-
No painel de navegação, selecione Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-webapp-build-role
). -
Escolha o perfil na lista.
A página Resumo do perfil é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.
-
Criação manual de perfis para o esquema do SAM
O blueprint do CodeCatalyst SAM usa funções do IAM que você cria, chamadas de função de criação CloudFormation e função de implantação do SAM.
Siga estas etapas para criar os perfis no IAM.
Para criar uma função de construção para CloudFormation
-
Crie uma política para o perfil da seguinte maneira:
-
Faça login em AWS.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Políticas.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:*", "cloudformation:*" ], "Resource": "*" } ] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
-
Escolha Próximo: etiquetas.
-
Selecione Próximo: revisar.
-
Em Nome, insira:
codecatalyst-SAM-build-policy
-
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie o perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Selecione Política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a política de confiança personalizada a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Escolha Próximo.
-
Anexe a política de permissões ao perfil de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise
codecatalyst-SAM-build-policy
e marque a caixa de seleção. -
Escolha Próximo.
-
Em Nome do perfil, insira:
codecatalyst-SAM-build-role
-
Em Descrição do perfil, insira:
CodeCatalyst SAM build role
-
Selecione Criar perfil.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
-
-
Anexe a política de permissões ao perfil de criação, da seguinte maneira:
-
No painel de navegação, selecione Perfis e procure
codecatalyst-SAM-build-role
. -
Selecione
codecatalyst-SAM-build-role
para exibir os detalhes. -
Na guia Permissões, escolha Adicionar permissões e Anexar políticas.
-
Procure
codecatalyst-SAM-build-policy
, marque a caixa de seleção e selecione Anexar políticas.Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
-
-
Obtenha o ARN do perfil de criação, da seguinte forma:
-
No painel de navegação, selecione Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-SAM-build-role
). -
Escolha o perfil na lista.
A página Resumo do perfil é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.
-
Para criar um perfil de implantação para o SAM
-
Crie uma política para o perfil da seguinte maneira:
-
Faça login em AWS.
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Políticas.
-
Escolha Criar política.
-
Escolha a guia JSON.
-
Exclua o código existente.
-
Cole o seguinte código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }
nota
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
"Resource": "*"
-
Escolha Próximo: etiquetas.
-
Selecione Próximo: revisar.
-
Em Nome, insira:
codecatalyst-SAM-deploy-policy
-
Escolha Criar política.
Agora você criou uma política de permissões.
-
-
Crie o perfil de criação, da seguinte forma:
-
No painel de navegação, escolha Perfis e Criar perfil.
-
Selecione Política de confiança personalizada.
-
Exclua a política de confiança personalizada existente.
-
Adicione a política de confiança personalizada a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Escolha Próximo.
-
Anexe a política de permissões ao perfil de criação. Na página Adicionar permissões, na seção Políticas de permissões, pesquise
codecatalyst-SAM-deploy-policy
e marque a caixa de seleção. -
Escolha Próximo.
-
Em Nome do perfil, insira:
codecatalyst-SAM-deploy-role
-
Em Descrição do perfil, insira:
CodeCatalyst SAM deploy role
-
Selecione Criar perfil.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
-
-
Anexe a política de permissões ao perfil de criação, da seguinte maneira:
-
No painel de navegação, selecione Perfis e procure
codecatalyst-SAM-deploy-role
. -
Selecione
codecatalyst-SAM-deploy-role
para exibir os detalhes. -
Na guia Permissões, escolha Adicionar permissões e Anexar políticas.
-
Procure
codecatalyst-SAM-deploy-policy
, marque a caixa de seleção e selecione Anexar políticas.Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
-
-
Obtenha o ARN do perfil de criação, da seguinte forma:
-
No painel de navegação, selecione Perfis.
-
Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (
codecatalyst-SAM-deploy-role
). -
Escolha o perfil na lista.
A página Resumo do perfil é exibida.
-
Na parte superior, copie o valor do ARN.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.
-