As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Na Amazon CodeCatalyst, você cria e usa um AWS Builder ID para fazer login e acessar seus espaços e projetos. Um ID de AWS construtor não é uma identidade no AWS Identity and Access Management (IAM) e não existe em um Conta da AWS. No CodeCatalyst entanto, integra-se ao IAM ao verificar um espaço para fins de cobrança e quando conectado a um Conta da AWS para criar e usar recursos nele. Conta da AWS
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser autenticado (fazer login) e autorizado (ter permissões) para usar os recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
Ao criar um espaço na Amazon CodeCatalyst, você deve se conectar Conta da AWS como a conta de cobrança do seu espaço. Você deve ter permissões de administrador no Conta da AWS para verificar o CodeCatalyst espaço ou ter a permissão. Você também tem a opção de adicionar uma função do IAM ao seu espaço que CodeCatalyst pode ser usada para criar e acessar recursos nesse espaço conectado Conta da AWS. Chamamos isso de um perfil de serviço. Você pode optar por criar conexões com mais de uma Conta da AWS e criar funções de serviço para CodeCatalyst cada uma dessas contas.
nota
O faturamento CodeCatalyst ocorre na conta Conta da AWS designada como a cobrança. No entanto, se você criar uma função de CodeCatalyst serviço nessa Conta da AWS ou em qualquer outra conectada Conta da AWS, os recursos criados e usados pela função de CodeCatalyst serviço serão cobrados nessa função conectada Conta da AWS. Para obter mais informações, consulte Gerenciando o faturamento no Amazon CodeCatalyst Administrator Guide.
Tópicos
Políticas baseadas em identidade no IAM
As políticas baseadas em identidade são documentos JSON de políticas de permissões que você pode anexar a uma entidade. Essa identidade pode ser um usuário, um grupo de usuários ou um perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Criando políticas do IAM no Guia do Usuário do IAM.
Com as políticas baseadas em identidade do IAM, é possível especificar ações ou recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Você não pode especificar a entidade principal em uma política baseada em identidade porque ela se aplica ao usuário ou perfil ao qual ela está anexada. Saiba mais sobre todos os elementos que podem ser usados em uma política JSON consultando Referência de Elementos de Política JSON do IAM no Guia do Usuário do IAM.
Exemplos de políticas baseadas em identidade para o CodeCatalyst
Para ver exemplos de políticas CodeCatalyst baseadas em identidade, consulte. Exemplos de políticas baseadas em identidade para conexões CodeCatalyst
Ações das políticas no IAM
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos, e em que condições.
O elemento Action de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. As ações de política geralmente têm o mesmo nome da operação de AWS API associada. Existem algumas exceções, como ações somente de permissão, que não têm uma operação de API correspondente. Algumas operações também exigem várias ações em uma política. Essas ações adicionais são chamadas de ações dependentes.
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
"Action": [ "prefix:action1", "prefix:action2" ]
Recursos de políticas no IAM
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos, e em que condições.
O elemento de política JSON Resource especifica o objeto ou os objetos aos quais a ação se aplica. As instruções devem incluir um elemento Resource ou NotResource. Como prática recomendada, especifique um recurso usando seu nome do recurso da Amazon (ARN). Isso pode ser feito para ações que oferecem compatibilidade com um tipo de recurso específico, conhecido como permissões em nível de recurso.
Para ações que não oferecem compatibilidade com permissões em nível de recurso, como operações de listagem, use um curinga (*) para indicar que a instrução se aplica a todos os recursos.
"Resource": "*"Chaves de condição de políticas no IAM
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos, e em que condições.
O elemento Condition (ou bloco Condition) permite que você especifique condições nas quais uma instrução estiver em vigor. O elemento Condition é opcional. É possível criar expressões condicionais que usem agentes de condição, como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação.
Se você especificar vários elementos de Condition em uma declaração ou várias chaves em um único elemento de Condition, a AWS os avaliará usando uma operação lógica AND. Se você especificar vários valores para uma única chave de condição, a AWS
avaliará a condição usando uma operação lógica OR. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.
Você também pode usar variáveis de espaço reservado ao especificar condições. Para obter mais informações, consulte Elementos da política do IAM: variáveis e tags no Guia do usuário do IAM.
AWS suporta chaves de condição globais e chaves de condição específicas do serviço. Para ver todas as chaves de condição globais da AWS , consulte Chaves de contexto de condição globais da AWS no Guia do usuário do IAM.
Exemplos de políticas baseadas em identidade para conexões CodeCatalyst
Em CodeCatalyst, Contas da AWS são necessários para gerenciar o faturamento de um espaço e acessar recursos nos fluxos de trabalho do projeto. Uma conexão de conta é usada para autorizar a adição de Contas da AWS a um espaço. Políticas baseadas em identidade são usadas nas Contas da AWS conectadas.
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do CodeCatalyst. Eles também não podem realizar tarefas usando a AWS API AWS Management Console, AWS Command Line Interface (AWS CLI) ou. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e funções permissão para executar ações nos recursos de que precisem. Por isso, o administrador precisa anexar essas políticas para os usuários que precisem delas.
Os exemplos de políticas do IAM a seguir concedem permissões para ações relacionadas às conexões de contas. Use-os para limitar o acesso para conectar contas CodeCatalyst a.
Exemplo 1: permitir que um usuário aceite solicitações de conexão em uma única Região da AWS
A política de permissões a seguir só permite que os usuários visualizem e aceitem solicitações de conexões entre CodeCatalyst Contas da AWS e. Além disso, a política usa uma condição para permitir somente as ações na região us-west-2 e não de outra. Regiões da AWS Para visualizar e aprovar a solicitação, o usuário faz login AWS Management Console com a mesma conta especificada na solicitação.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:GetPendingConnection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
}
]
}Exemplo 2: Permitir o gerenciamento de conexões no console para um único Região da AWS
A política de permissões a seguir permite que os usuários gerenciem conexões entre CodeCatalyst e Contas da AWS em uma única região. A política usa uma condição para permitir somente as ações na região us-west-2 e não de outra. Regiões da AWS Depois de criar uma conexão, você pode criar o CodeCatalystWorkflowDevelopmentRole-spaceNamefunção escolhendo a opção no AWS Management Console. No exemplo de política, a condição para a iam:PassRole ação inclui os princípios de serviço para CodeCatalyst. Somente perfis com esse acesso serão criados no AWS Management Console.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}Exemplo 3: negar o gerenciamento de conexões
A política de permissões a seguir nega aos usuários qualquer capacidade de gerenciar conexões entre CodeCatalyst e. Contas da AWS
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codecatalyst:*"
],
"Resource": "*"
}
]
}CodeCatalyst referência de permissões
Esta seção fornece uma referência de permissões para ações usadas com o recurso de conexão da conta para Contas da AWS as quais estão conectadas CodeCatalyst. A seção a seguir descreve ações somente com permissões relacionadas à conexão de contas.
Permissões necessárias para conexões de contas
As permissões a seguir são necessárias para trabalhar com conexões de contas.
| CodeCatalyst permissões para conexões de contas | Permissões obrigatórias | Recursos |
|---|---|---|
| AcceptConnection | Necessário aceitar uma solicitação para conectar essa conta a um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. |
Compatível apenas com um caractere curinga (*) no elemento de política |
| AssociateIamRoleToConnection | Necessário para associar um perfil do IAM a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| DeleteConnection | Necessário para excluir uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| DisassociateIamRoleFromConnection | Necessário para desassociar um perfil do IAM a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| GetBillingAuthorization | Necessário para descrever a autorização de faturamento para uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| GetConnection | Necessário para ter uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| GetPendingConnection | Necessário para receber uma solicitação pendente para conectar essa conta a um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. |
Compatível apenas com um caractere curinga (*) no elemento de política |
| ListConnections | Necessário para listar conexões de contas que não estejam pendentes. Esta é apenas uma permissão de política do IAM, e não uma ação de API. |
Compatível apenas com um caractere curinga (*) no elemento de política |
| ListIamRolesForConnection | Necessário para listar perfis do IAM associados a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| ListTagsForResource | Necessário para listar tags associadas a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| PutBillingAuthorization | Necessário para criar ou atualizar a autorização de faturamento para uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| RejectConnection | Obrigatório para rejeitar uma solicitação para conectar essa conta a um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. |
Compatível apenas com um caractere curinga (*) no elemento de política |
| TagResource | Necessário para criar ou editar tags associadas a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| UntagResource | Necessário para remover tags associadas a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
Permissões necessárias para aplicações do Centro de Identidade do IAM
As permissões a seguir são necessárias para trabalhar com aplicações do Centro de Identidade do IAM.
| CodeCatalyst permissões para aplicativos do IAM Identity Center | Permissões obrigatórias | Recursos |
|---|---|---|
| AssociateIdentityCenterApplicationToSpace | Obrigatório para associar um aplicativo do IAM Identity Center a um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| AssociateIdentityToIdentityCenterApplication | Obrigatório para associar uma identidade a um aplicativo do IAM Identity Center para um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| BatchAssociateIdentitiesToIdentityCenterApplication | É necessário associar várias identidades a um aplicativo do IAM Identity Center para um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| BatchDisassociateIdentitiesFromIdentityCenterApplication | É necessário desassociar várias identidades de um aplicativo do IAM Identity Center para um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| CreateIdentityCenterApplication | Necessário para criar uma aplicação do Centro de Identidade do IAM. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| CreateSpaceAdminRoleAssignment | Necessário para criar uma atribuição de função de administrador para um determinado CodeCatalyst espaço e aplicativo do IAM Identity Center. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| DeleteIdentityCenterApplication | Necessário para excluir uma aplicação do Centro de Identidade do IAM. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| DisassociateIdentityCenterApplicationFromSpace | Obrigatório para desassociar um aplicativo do IAM Identity Center de um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| DisassociateIdentityFromIdentityCenterApplication | Necessário para desassociar uma identidade de um aplicativo do IAM Identity Center para um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| GetIdentityCenterApplication | Necessário para ter informações sobre uma aplicação do Centro de Identidade do IAM. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| ListIdentityCenterApplications | Necessário para visualizar uma lista de todas as aplicações do Centro de Identidade do IAM na conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. |
Compatível apenas com um caractere curinga (*) no elemento de política |
| ListIdentityCenterApplicationsForSpace | Obrigatório para visualizar uma lista de aplicativos do IAM Identity Center por CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| ListSpacesForIdentityCenterApplication | Necessário para visualizar uma lista de CodeCatalyst espaços pelo aplicativo IAM Identity Center. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| SynchronizeIdentityCenterApplication | Necessário para sincronizar uma aplicação do Centro de Identidade do IAM com o repositório de identidades de apoio. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
| UpdateIdentityCenterApplication | Necessário para atualizar uma aplicação do Centro de Identidade do IAM. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region: |
