A Amazon não CodeCatalyst está mais aberta a novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte [Como migrar do CodeCatalyst](migration.md).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Identity and Access Management e Amazon CodeCatalyst
Na Amazon CodeCatalyst, você cria e usa um AWS Builder ID para fazer login e acessar seus espaços e projetos. Um ID de AWS construtor não é uma identidade no AWS Identity and Access Management (IAM) e não existe em um Conta da AWS. No CodeCatalyst entanto, integra-se ao IAM ao verificar um espaço para fins de cobrança e quando conectado a um Conta da AWS para criar e usar recursos nele. Conta da AWS
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (fazer login) e *autorizado* (ter permissões) para usar os recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
Ao criar um espaço na Amazon CodeCatalyst, você deve se conectar Conta da AWS como a conta de cobrança do seu espaço. Você deve ter permissões de administrador no Conta da AWS para verificar o CodeCatalyst espaço ou ter a permissão. Você também tem a opção de adicionar uma função do IAM ao seu espaço que CodeCatalyst pode ser usada para criar e acessar recursos nesse espaço conectado Conta da AWS. Chamamos isso de um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Você pode optar por criar conexões com mais de uma Conta da AWS e criar funções de serviço para CodeCatalyst cada uma dessas contas.
**nota**
O faturamento CodeCatalyst ocorre na conta Conta da AWS designada como a cobrança. No entanto, se você criar uma função de CodeCatalyst serviço nessa Conta da AWS ou em qualquer outra conectada Conta da AWS, os recursos criados e usados pela função de CodeCatalyst serviço serão cobrados nessa função conectada Conta da AWS. Para obter mais informações, consulte [Gerenciando o faturamento](https://docs.aws.amazon.com/codecatalyst/latest/adminguide/managing-billing.html) no Amazon CodeCatalyst Administrator Guide.
**Topics**
+ [Políticas baseadas em identidade no IAM](#id-based-policies)
+ [Ações das políticas no IAM](#id-based-policies-actions)
+ [Recursos de políticas no IAM](#id-based-policies-resources)
+ [Chaves de condição de políticas no IAM](#id-based-policies-conditionkeys)
+ [Exemplos de políticas baseadas em identidade para conexões CodeCatalyst](#id-based-policy-examples)
+ [Uso de tags para controlar o acesso a recursos de conexão de conta](id-based-policy-examples-tags.md)
+ [CodeCatalyst referência de permissões](#permissions-reference)
+ [Usando funções vinculadas a serviços para CodeCatalyst](using-service-linked-roles.md)
+ [AWS políticas gerenciadas para a Amazon CodeCatalyst](security-iam-awsmanpol.md)
+ [Conceda acesso aos AWS recursos do projeto com funções do IAM](ipa-iam-roles.md)
## Políticas baseadas em identidade no IAM
As políticas baseadas em identidade são documentos JSON de políticas de permissões que você pode anexar a uma entidade. Essa identidade pode ser um usuário, um grupo de usuários ou um perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Criando políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações ou recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Você não pode especificar a entidade principal em uma política baseada em identidade porque ela se aplica ao usuário ou perfil ao qual ela está anexada. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para CodeCatalyst
Para ver exemplos de políticas CodeCatalyst baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para conexões CodeCatalyst](#id-based-policy-examples)
## Ações das políticas no IAM
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos**, e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. As ações de política geralmente têm o mesmo nome da operação de AWS API associada. Existem algumas exceções, como *ações somente de permissão*, que não têm uma operação de API correspondente. Algumas operações também exigem várias ações em uma política. Essas ações adicionais são chamadas de *ações dependentes*.
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"prefix:action1",
"prefix:action2"
]
```
## Recursos de políticas no IAM
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos**, e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. As instruções devem incluir um elemento `Resource` ou `NotResource`. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Isso pode ser feito para ações que oferecem compatibilidade com um tipo de recurso específico, conhecido como *permissões em nível de recurso*.
Para ações que não oferecem compatibilidade com permissões em nível de recurso, como operações de listagem, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
## Chaves de condição de políticas no IAM
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos**, e em que **condições**.
O elemento `Condition` (ou *bloco* `Condition`) permite que você especifique condições nas quais uma instrução estiver em vigor. O elemento `Condition` é opcional. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação.
Se você especificar vários elementos de `Condition` em uma declaração ou várias chaves em um único elemento de `Condition`, a AWS os avaliará usando uma operação lógica `AND`. Se você especificar vários valores para uma única chave de condição, a AWS avaliará a condição usando uma operação lógica `OR`. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.
Você também pode usar variáveis de espaço reservado ao especificar condições. Para obter mais informações, consulte [Elementos da política do IAM: variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do IAM*.
AWS suporta chaves de condição globais e chaves de condição específicas do serviço. Para ver todas as chaves de condição globais da AWS , consulte [Chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
## Exemplos de políticas baseadas em identidade para conexões CodeCatalyst
Em CodeCatalyst, Contas da AWS são necessários para gerenciar o faturamento de um espaço e acessar recursos nos fluxos de trabalho do projeto. Uma conexão de conta é usada para autorizar a adição de Contas da AWS a um espaço. Políticas baseadas em identidade são usadas nas Contas da AWS conectadas.
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do CodeCatalyst. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS, AWS Command Line Interface (AWS CLI) ou. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e funções permissão para executar ações nos recursos de que precisem. Por isso, o administrador precisa anexar essas políticas para os usuários que precisem delas.
Os exemplos de políticas do IAM a seguir concedem permissões para ações relacionadas às conexões de contas. Use-os para limitar o acesso para conectar contas CodeCatalyst a.
### Exemplo 1: permitir que um usuário aceite solicitações de conexão em uma única Região da AWS
A política de permissões a seguir só permite que os usuários visualizem e aceitem solicitações de conexões entre CodeCatalyst Contas da AWS e. Além disso, a política usa uma condição para permitir somente as ações na região us-west-2 e não de outra. Regiões da AWS Para visualizar e aprovar a solicitação, o usuário faz login Console de gerenciamento da AWS com a mesma conta especificada na solicitação.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:GetPendingConnection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
}
]
}
```
------
### Exemplo 2: Permitir o gerenciamento de conexões no console para um único Região da AWS
A política de permissões a seguir permite que os usuários gerenciem conexões entre CodeCatalyst e Contas da AWS em uma única região. A política usa uma condição para permitir somente as ações na região us-west-2 e não de outra. Regiões da AWS Depois de criar uma conexão, você pode criar o perfil **CodeCatalystWorkflowDevelopmentRole-*spaceName*** escolhendo a opção no Console de gerenciamento da AWS. No exemplo de política, a condição para a `iam:PassRole` ação inclui os princípios de serviço para CodeCatalyst. Somente perfis com esse acesso serão criados no Console de gerenciamento da AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
### Exemplo 3: negar o gerenciamento de conexões
A política de permissões a seguir nega aos usuários qualquer capacidade de gerenciar conexões entre CodeCatalyst e. Contas da AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codecatalyst:*"
],
"Resource": "*"
}
]
}
```
------
# Uso de tags para controlar o acesso a recursos de conexão de conta
As tags podem ser anexadas ao recurso ou passadas na solicitação para serviços compatíveis com tags. Os recursos em políticas podem ter tags, e algumas ações em políticas podem incluir tags. As chaves de condição de marcação incluem as chaves de condição `aws:RequestTag` e `aws:ResourceTag`. Ao criar uma política do IAM, é possível usar chaves de condição de tag para controlar o seguinte:
+ Quais usuários podem executar ações em um recurso de conexão, com base nas tags que o recurso já tem.
+ Quais tags podem ser transmitidas na solicitação de uma ação.
+ Se chaves de tags específicas podem ser usadas em uma solicitação.
Os exemplos a seguir demonstram como especificar condições de tag nas políticas para usuários de conexões de CodeCatalyst contas. Para obter mais informações sobre essas chaves de condição, consulte [Chaves de condição de políticas no IAM](security-iam.md#id-based-policies-conditionkeys).
## Exemplo 1: permitir ações com base em tags na solicitação
A política a seguir concede aos usuários permissão para aprovar conexões de conta.
Para fazer isso, ela permitirá as ações `AcceptConnection` e `TagResource` se a solicitação especificar uma tag denominada `Project` com o valor `ProjectA`. (A `aws:RequestTag` chave de condição é usada para controlar quais tags podem ser transmitidas em uma solicitação do IAM.) A `aws:TagKeys` condição garante que a chave de tag faça diferenciação de letras maiúsculas e minúsculas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
------
## Exemplo 2: permitir ações com base em tags de recursos
A política a seguir concede aos usuários permissão para executar ações e receber informações sobre recursos de conexão de conta.
Para fazer isso, ela permitirá ações específicas se a conexão tiver uma tag denominada `Project` com o valor `ProjectA`. (A `aws:ResourceTag` chave de condição é usada para controlar quais tags podem ser transmitidas em uma solicitação do IAM.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:GetConnection",
"codecatalyst:DeleteConnection",
"codecatalyst:AssociateIamRoleToConnection",
"codecatalyst:DisassociateIamRoleFromConnection",
"codecatalyst:ListIamRolesForConnection",
"codecatalyst:PutBillingAuthorization"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "ProjectA"
}
}
}
]
}
```
------
## CodeCatalyst referência de permissões
Esta seção fornece uma referência de permissões para ações usadas com o recurso de conexão da conta para Contas da AWS as quais estão conectadas CodeCatalyst. A seção a seguir descreve ações somente com permissões relacionadas à conexão de contas.
### Permissões necessárias para conexões de contas
As permissões a seguir são necessárias para trabalhar com conexões de contas.
****
| CodeCatalyst permissões para conexões de contas | Permissões obrigatórias | Recursos |
| --- | --- | --- |
| AcceptConnection | Necessário aceitar uma solicitação para conectar essa conta a um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | Compatível apenas com um caractere curinga (\$1) no elemento de política `Resource`. |
| AssociateIamRoleToConnection | Necessário para associar um perfil do IAM a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DeleteConnection | Necessário para excluir uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DisassociateIamRoleFromConnection | Necessário para desassociar um perfil do IAM a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetBillingAuthorization | Necessário para descrever a autorização de faturamento para uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetConnection | Necessário para ter uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetPendingConnection | Necessário para receber uma solicitação pendente para conectar essa conta a um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | Compatível apenas com um caractere curinga (\$1) no elemento de política `Resource`. |
| ListConnections | Necessário para listar conexões de contas que não estejam pendentes. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | Compatível apenas com um caractere curinga (\$1) no elemento de política `Resource`. |
| ListIamRolesForConnection | Necessário para listar perfis do IAM associados a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| ListTagsForResource | Necessário para listar tags associadas a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| PutBillingAuthorization | Necessário para criar ou atualizar a autorização de faturamento para uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| RejectConnection | Obrigatório para rejeitar uma solicitação para conectar essa conta a um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | Compatível apenas com um caractere curinga (\$1) no elemento de política `Resource`. |
| TagResource | Necessário para criar ou editar tags associadas a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| UntagResource | Necessário para remover tags associadas a uma conexão de conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
### Permissões necessárias para aplicações do Centro de Identidade do IAM
As permissões a seguir são necessárias para trabalhar com aplicações do Centro de Identidade do IAM.
****
| CodeCatalyst permissões para aplicativos do IAM Identity Center | Permissões obrigatórias | Recursos |
| --- | --- | --- |
| AssociateIdentityCenterApplicationToSpace | Obrigatório para associar um aplicativo do IAM Identity Center a um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| AssociateIdentityToIdentityCenterApplication | Necessário para associar uma identidade a um aplicativo do IAM Identity Center para um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchAssociateIdentitiesToIdentityCenterApplication | É necessário associar várias identidades a um aplicativo do IAM Identity Center para um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchDisassociateIdentitiesFromIdentityCenterApplication | É necessário desassociar várias identidades de um aplicativo do IAM Identity Center para um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateIdentityCenterApplication | Necessário para criar uma aplicação do Centro de Identidade do IAM. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateSpaceAdminRoleAssignment | Necessário para criar uma atribuição de função de administrador para um determinado CodeCatalyst espaço e aplicativo do IAM Identity Center. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DeleteIdentityCenterApplication | Necessário para excluir uma aplicação do Centro de Identidade do IAM. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityCenterApplicationFromSpace | Obrigatório para desassociar um aplicativo do IAM Identity Center de um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityFromIdentityCenterApplication | Necessário para desassociar uma identidade de um aplicativo do IAM Identity Center para um CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| GetIdentityCenterApplication | Necessário para ter informações sobre uma aplicação do Centro de Identidade do IAM. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListIdentityCenterApplications | Necessário para visualizar uma lista de todas as aplicações do Centro de Identidade do IAM na conta. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | Compatível apenas com um caractere curinga (\$1) no elemento de política `Resource`. |
| ListIdentityCenterApplicationsForSpace | Obrigatório para visualizar uma lista de aplicativos do IAM Identity Center por CodeCatalyst espaço. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListSpacesForIdentityCenterApplication | Necessário para visualizar uma lista de CodeCatalyst espaços pelo aplicativo IAM Identity Center. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| SynchronizeIdentityCenterApplication | Necessário para sincronizar uma aplicação do Centro de Identidade do IAM com o repositório de identidades de apoio. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| UpdateIdentityCenterApplication | Necessário para atualizar uma aplicação do Centro de Identidade do IAM. Esta é apenas uma permissão de política do IAM, e não uma ação de API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
# Usando funções vinculadas a serviços para CodeCatalyst
A Amazon CodeCatalyst usa AWS Identity and Access Management funções [vinculadas a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. CodeCatalyst As funções vinculadas ao serviço são predefinidas CodeCatalyst e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração CodeCatalyst porque você não precisa adicionar manualmente as permissões necessárias. CodeCatalyst define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só CodeCatalyst pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus CodeCatalyst recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para CodeCatalyst
CodeCatalyst usa a função vinculada ao serviço chamada **AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**— Permite que a Amazon tenha acesso CodeCatalyst somente de leitura aos perfis de instância do aplicativo e aos usuários e grupos do diretório associados em seu nome.
O perfil vinculado ao serviço AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization confia nos seguintes serviços para aceitar o perfil:
+ `codecatalyst.amazonaws.com`
A política de permissões de função nomeada AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy CodeCatalyst permite concluir as seguintes ações nos recursos especificados:
+ Ação: `View application instance profiles and associated directory users and groups` para `CodeCatalyst spaces that support identity federation and SSO users and groups`
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para CodeCatalyst
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um espaço na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, CodeCatalyst cria a função vinculada ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Além disso, se você estava usando o CodeCatalyst serviço antes de 17 de novembro de 2023, quando ele começou a oferecer suporte a funções vinculadas ao serviço, CodeCatalyst criou a AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization função em sua conta. Para saber mais, consulte [Uma nova função apareceu no meu Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um espaço, CodeCatalyst cria a função vinculada ao serviço para você novamente.
Você também pode usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso **Visualizar perfis de instâncias de aplicações e usuários e grupos de diretórios associados**. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do `codecatalyst.amazonaws.com` serviço. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
## Editando uma função vinculada ao serviço para CodeCatalyst
CodeCatalyst não permite que você edite a função AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para CodeCatalyst
Você não precisa excluir manualmente a função AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization. Quando você exclui um espaço na Console de gerenciamento da AWS, na AWS CLI ou na AWS API, CodeCatalyst limpa os recursos e exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
**nota**
Se o CodeCatalyst serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir CodeCatalyst recursos usados pelo AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**
+ [Exclua o espaço](https://docs.aws.amazon.com/codecatalyst/latest/userguide/spaces-delete.htm).
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a CodeCatalyst serviços
CodeCatalyst suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
CodeCatalyst não oferece suporte ao uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Você pode usar a função AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization nas seguintes regiões.
****
| Nome da região | Identidade da região | Support em CodeCatalyst |
| --- | --- | --- |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Não |
| Leste dos EUA (Ohio) | us-east-2 | Não |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Não |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| África (Cidade do Cabo) | af-south-1 | Não |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Não |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Não |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Não |
| Ásia-Pacífico (Osaka) | ap-northeast-3 | Não |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Não |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Não |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Não |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Não |
| Canadá (Central) | ca-central-1 | Não |
| Europa (Frankfurt) | eu-central-1 | Não |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Não |
| Europa (Milão) | eu-south-1 | Não |
| Europa (Paris) | eu-west-3 | Não |
| Europa (Estocolmo) | eu-north-1 | Não |
| Oriente Médio (Barém) | me-south-1 | Não |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | Não |
| América do Sul (São Paulo) | sa-east-1 | Não |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | Não |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | Não |
# AWS políticas gerenciadas para a Amazon CodeCatalyst
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AmazonCodeCatalystSupportAccess
Essa é uma política que concede permissões para que todos os administradores e membros do espaço utilizem o plano de suporte premium Business ou Enterprise associado à conta de faturamento do espaço. Essas permissões permitem que administradores e membros do espaço utilizem o plano de suporte premium para os recursos para os quais têm permissões dentro das políticas de CodeCatalyst permissões.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `support`— Concede permissões para permitir que os usuários pesquisem, criem e resolvam casos de AWS Support. Também concede permissões para descrever comunicações, níveis de gravidade, anexos e detalhes de casos de suporte relacionados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeAttachment",
"support:DescribeCaseAttributes",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeIssueTypes",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:DescribeSupportLevel",
"support:SearchForCases",
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:InitiateCallForCase",
"support:InitiateChatForCase",
"support:PutCaseAttributes",
"support:RateCaseCommunication",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonCodeCatalystFullAccess
Esta é uma política que concede permissões para gerenciar seu CodeCatalyst espaço e contas conectadas na página Amazon CodeCatalyst Spaces no Console de gerenciamento da AWS. Este aplicativo é usado para configurar Contas da AWS que estão conectados ao seu espaço em CodeCatalyst.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `codecatalyst`— Concede permissões completas para a página Amazon CodeCatalyst Spaces no Console de gerenciamento da AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeCatalystResourceAccess",
"Effect": "Allow",
"Action": [
"codecatalyst:*",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "CodeCatalystAssociateIAMRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonCodeCatalystReadOnlyAccess
Essa é uma política que concede permissões para visualizar e listar informações de espaços e contas conectadas na página Amazon CodeCatalyst Spaces no Console de gerenciamento da AWS. Este aplicativo é usado para configurar Contas da AWS que estão conectados ao seu espaço em CodeCatalyst.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `codecatalyst`— Concede permissões somente de leitura para a página do Amazon CodeCatalyst Spaces no. Console de gerenciamento da AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:Get*",
"codecatalyst:List*"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy
Não é possível anexar AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy às entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite CodeCatalyst realizar ações em seu nome. Para obter mais informações, consulte [Usando funções vinculadas a serviços para CodeCatalyst](using-service-linked-roles.md).
Essa política permite que os clientes visualizem perfis de instâncias de aplicativos e usuários e grupos de diretórios associados ao gerenciar espaços em CodeCatalyst. Os clientes visualizarão esses recursos ao gerenciar espaços que oferecem suporte à federação de identidades e aos usuários e grupos de SSO.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `sso`— Concede permissões para permitir que os usuários visualizem perfis de instâncias de aplicativos que são gerenciados no IAM Identity Center para espaços associados em CodeCatalyst.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:ListApplications",
"sso:ListApplicationAssignments",
"sso:DescribeInstance",
"sso:DescribeApplication"
],
"Resource": "*"
}
]
}
```
------
## CodeCatalyst atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas CodeCatalyst desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página [Histórico do CodeCatalyst documento](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy](#security-iam-awsmanpol-AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy) – Nova política | CodeCatalyst adicionou a política. Concede permissões para permitir que CodeCatalyst os usuários visualizem perfis de instâncias de aplicativos e usuários e grupos de diretórios associados. | 17 de novembro de 2023 |
| [AmazonCodeCatalystSupportAccess](#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess) – Nova política | CodeCatalyst adicionou a política. Concede permissões para permitir que CodeCatalyst os usuários pesquisem, criem e resolvam casos de suporte, bem como visualizem comunicações e detalhes relacionados. | 20 de abril de 2023 |
| [AmazonCodeCatalystFullAccess](#security-iam-awsmanpol-AmazonCodeCatalystFullAccess) – Nova política | CodeCatalyst adicionou a política. Concede acesso total CodeCatalyst a. | 20 de abril de 2023 |
| [AmazonCodeCatalystReadOnlyAccess](#security-iam-awsmanpol-AmazonCodeCatalystReadOnlyAccess) – Nova política | CodeCatalyst adicionou a política. Concede acesso somente para leitura a. CodeCatalyst | 20 de abril de 2023 |
| CodeCatalyst começou a rastrear as alterações | CodeCatalyst começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 20 de abril de 2023 |
# Conceda acesso aos AWS recursos do projeto com funções do IAM
CodeCatalyst pode acessar AWS recursos conectando seu Conta da AWS a um CodeCatalyst espaço. Em seguida, você pode criar os seguintes perfis de serviço e associá-los ao conectar sua conta.
Para ter mais informações sobre os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
+ Para acessar recursos em e Conta da AWS para seus CodeCatalyst projetos e fluxos de trabalho, você deve primeiro conceder permissão CodeCatalyst para acessar esses recursos em seu nome. Para fazer isso, você deve criar uma função de serviço em um ambiente conectado Conta da AWS que CodeCatalyst possa assumir em nome de usuários e projetos no espaço. Você pode optar por criar e usar o perfil de serviço **CodeCatalystWorkflowDevelopmentRole-*spaceName*** ou criar perfis de serviço personalizados e configurar essas políticas e perfis do IAM manualmente. Como prática recomendada, atribua esses perfis à menor quantidade de permissões necessária.
**nota**
Para funções de serviço personalizadas, é necessário o responsável pelo CodeCatalyst serviço. Para obter mais informações sobre o principal CodeCatalyst de serviço e o modelo de confiança, consulte[Entendendo o modelo de CodeCatalyst confiança](trust-model.md).
+ Para gerenciar o suporte para um espaço por meio do Connected Conta da AWS, você pode escolher criar e usar a função de **AWSRoleForCodeCatalystSupport**serviço que permite que CodeCatalyst os usuários acessem o suporte. Para obter mais informações sobre suporte para um CodeCatalyst espaço, consulte[Suporte para o Amazon CodeCatalyst](support.md).
## Noções básicas sobre o perfil de serviço **CodeCatalystWorkflowDevelopmentRole-*spaceName***
Você pode adicionar uma função do IAM ao seu espaço que CodeCatalyst pode ser usada para criar e acessar recursos em um ambiente conectado Conta da AWS. Chamamos isso de um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). A maneira mais simples de criar um perfil de serviço é adicionar um ao criar o espaço e escolher a opção **CodeCatalystWorkflowDevelopmentRole-*spaceName*** para esse perfil. Isso não apenas cria a função de serviço com o `AdministratorAccess` anexo, mas também cria a política de confiança que permite assumir CodeCatalyst a função em nome dos usuários em projetos no espaço. O perfil de serviço tem como escopo o espaço, não os projetos individuais. Para criar essa função, consulte [Criar o perfil **CodeCatalystWorkflowDevelopmentRole-*spaceName*** para a conta e o espaço](#ipa-iam-roles-service-create). Só será possível criar um perfil para cada espaço em cada conta.
**nota**
Essa função só é recomendada para uso com contas de desenvolvimento e usa a política `AdministratorAccess` AWS gerenciada, dando a ela acesso total para criar novas políticas e recursos nela Conta da AWS.
A política anexada ao perfil **CodeCatalystWorkflowDevelopmentRole-*spaceName*** foi projetada para funcionar com projetos criados com esquemas no espaço. Ela permite que os usuários desses projetos desenvolvam, criem, testem e implantem código usando recursos na Conta da AWS conectada. Para obter mais informações, consulte [Criação de uma função para um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
A política anexada à **CodeCatalystWorkflowDevelopmentRole-*spaceName***função é a política `AdministratorAccess` gerenciada em AWS. Essa é uma política que concede acesso total a todas as AWS ações e recursos. Para ver o documento de política JSON no console do IAM, consulte [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess).
A política de confiança a seguir CodeCatalyst permite assumir a **CodeCatalystWorkflowDevelopmentRole-*spaceName***função. Para obter mais informações sobre o modelo de CodeCatalyst confiança, consulte[Entendendo o modelo de CodeCatalyst confiança](trust-model.md).
```
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst-runner.amazonaws.com",
"codecatalyst.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
}
}
}
]
```
## Criar o perfil **CodeCatalystWorkflowDevelopmentRole-*spaceName*** para a conta e o espaço
Siga estas etapas para criar o perfil `CodeCatalystWorkflowDevelopmentRole-spaceName` que será usado para fluxos de trabalho em seu espaço. Para cada conta que você deseja que tenha perfis do IAM para uso em projetos, no seu espaço, você deve adicionar um perfil, como o perfil de desenvolvedor.
Antes de começar, você deve ter privilégios administrativos para seu administrador Conta da AWS ou ser capaz de trabalhar com ele. Para obter mais informações sobre como Contas da AWS as funções do IAM são usadas em CodeCatalyst, consulte[Permitindo acesso a AWS recursos com conexão Contas da AWS](ipa-connect-account.md).
**Para criar e adicionar o CodeCatalyst **CodeCatalystWorkflowDevelopmentRole-*spaceName*****
1. Antes de começar no CodeCatalyst console, abra o e Console de gerenciamento da AWS, em seguida, verifique se você está logado com o mesmo Conta da AWS em seu espaço.
1. Abra o CodeCatalyst console em [https://codecatalyst.aws/](https://codecatalyst.aws/).
1. Navegue até seu CodeCatalyst espaço. Escolha **Settings (Configurações)** e **Contas da AWS**.
1. Escolha o link para Conta da AWS onde você deseja criar a função. A página **Detalhes da Conta da AWS ** é exibida.
1. Escolha **Gerenciar funções em Console de gerenciamento da AWS**.
A página **Adicionar função do IAM ao CodeCatalyst espaço da Amazon** é aberta no Console de gerenciamento da AWS. Esta é a página do **Amazon CodeCatalyst Spaces**. Talvez seja necessário fazer login para acessá-la.
1. Escolha **Criar função CodeCatalyst de administrador de desenvolvimento no IAM**. Essa opção cria um perfil de serviço que contém a política de permissões e a política de confiança para o perfil de desenvolvimento. O perfil terá um nome `CodeCatalystWorkflowDevelopmentRole-spaceName`. Para ter mais informações sobre o perfil e a política de perfis, consulte [Noções básicas sobre o perfil de serviço **CodeCatalystWorkflowDevelopmentRole-*spaceName***](#ipa-iam-roles-service-role).
**nota**
Essa função só é recomendada para uso com contas de desenvolvedor e usa a política `AdministratorAccess` AWS gerenciada, dando a ela acesso total para criar novas políticas e recursos nela Conta da AWS.
1. Selecione **Criar perfil de desenvolvimento**.
1. Na página de conexões, em **Funções do IAM disponíveis para CodeCatalyst**, veja a `CodeCatalystWorkflowDevelopmentRole-spaceName` função na lista de funções do IAM adicionadas à sua conta.
1. Para retornar ao seu espaço, escolha **Go to Amazon CodeCatalyst**.
## Noções básicas sobre o perfil de serviço **AWSRoleForCodeCatalystSupport**
Você pode adicionar uma função do IAM ao seu espaço que CodeCatalyst os usuários em um espaço possam usar para criar e acessar casos de suporte. Isso é chamado de [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) para suporte. A maneira mais simples de criar um perfil de serviço para suporte é adicionar um ao criar o espaço e escolher a opção `AWSRoleForCodeCatalystSupport` para esse perfil. Isso não apenas cria a política e a função, mas também cria a política de confiança que CodeCatalyst permite assumir a função em nome dos usuários em projetos no espaço. O perfil de serviço tem como escopo o espaço, não os projetos individuais. Para criar essa função, consulte [Criação do perfil **AWSRoleForCodeCatalystSupport** para a conta e o espaço](#ipa-iam-roles-support-create).
A política anexada ao perfil `AWSRoleForCodeCatalystSupport` é uma política gerenciada que fornece acesso às permissões de suporte. Para obter mais informações, consulte [AWS política gerenciada: AmazonCodeCatalystSupportAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess).
A função de confiança da política CodeCatalyst permite assumir a função.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Criação do perfil **AWSRoleForCodeCatalystSupport** para a conta e o espaço
Siga estas etapas para criar o perfil `AWSRoleForCodeCatalystSupport` que será usado para casos de suporte em seu espaço. O perfil deve ser adicionado à conta de faturamento designada para o espaço.
Antes de começar, você deve ter privilégios administrativos para seu administrador Conta da AWS ou ser capaz de trabalhar com ele. Para obter mais informações sobre como Contas da AWS as funções do IAM são usadas em CodeCatalyst, consulte[Permitindo acesso a AWS recursos com conexão Contas da AWS](ipa-connect-account.md).
**Para criar e adicionar o CodeCatalyst **AWSRoleForCodeCatalystSupport****
1. Antes de começar no CodeCatalyst console, abra o e Console de gerenciamento da AWS, em seguida, verifique se você está logado com o mesmo Conta da AWS em seu espaço.
1. Navegue até seu CodeCatalyst espaço. Escolha **Settings (Configurações)** e **Contas da AWS**.
1. Escolha o link para Conta da AWS onde você deseja criar a função. A página **Detalhes da Conta da AWS ** é exibida.
1. Escolha **Gerenciar funções em Console de gerenciamento da AWS**.
A página **Adicionar função do IAM ao CodeCatalyst espaço da Amazon** é aberta no Console de gerenciamento da AWS. Esta é a página do **Amazon CodeCatalyst Spaces**. Talvez seja necessário fazer login para acessá-la.
1. Em **detalhes do CodeCatalyst espaço**, escolha **Adicionar função de CodeCatalyst Support**. Essa opção cria um perfil de serviço que contém a política de permissões e a política de confiança para o perfil de desenvolvimento de demonstração. O perfil terá um nome **AWSRoleForCodeCatalystSupport** com um identificador exclusivo anexado. Para ter mais informações sobre o perfil e a política de perfis, consulte [Noções básicas sobre o perfil de serviço **AWSRoleForCodeCatalystSupport**](#ipa-iam-roles-support-role).
1. Na página **Adicionar função para CodeCatalyst Support**, deixe o padrão selecionado e escolha **Criar função**.
1. Em **Funções do IAM disponíveis para CodeCatalyst**, veja a `CodeCatalystWorkflowDevelopmentRole-spaceName` função na lista de funções do IAM adicionadas à sua conta.
1. Para retornar ao seu espaço, escolha **Go to Amazon CodeCatalyst**.
## Configurando funções do IAM para ações de fluxo de trabalho em CodeCatalyst
Esta seção detalha as funções e políticas do IAM que você pode criar para usar com sua CodeCatalyst conta. Para receber instruções para criar perfis de exemplo, consulte [Criação manual de perfis para ações de fluxo de trabalho](#ipa-iam-roles-actions). Depois de criar o perfil do IAM, copie o ARN da função para adicionar o perfil do IAM à conexão da sua conta e associá-lo ao ambiente do projeto. Para saber mais, consulte [Adicionar perfis do IAM às conexões da conta](ipa-connect-account-addroles.md).
### CodeCatalyst função de criação para acesso ao Amazon S3
Para ações CodeCatalyst de criação de fluxo de trabalho, você pode usar a função de **CodeCatalystWorkflowDevelopmentRole-*spaceName***serviço padrão ou criar uma função do IAM chamada **CodeCatalystBuildRoleforS3Access**. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas em CloudFormation recursos em seu Conta da AWS.
Esse perfil concede permissões para o seguinte:
+ Gravar em buckets do Amazon S3.
+ Support a construção de recursos com CloudFormation. Isso requer acesso do Amazon S3.
Esse perfil usa a seguinte política:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
### CodeCatalyst criar função para CloudFormation
Para ações CodeCatalyst de criação de fluxo de trabalho, você pode usar a função de **CodeCatalystWorkflowDevelopmentRole-*spaceName***serviço padrão ou criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas em CloudFormation recursos em seu Conta da AWS.
Esse perfil concede permissões para o seguinte:
+ Support a construção de recursos com CloudFormation. Isso é necessário junto com a função de CodeCatalyst criação para acesso ao Amazon S3 e a função de CodeCatalyst implantação para. CloudFormation
As seguintes políticas AWS gerenciadas devem ser anexadas a essa função:
+ **AWSCloudFormationFullAccess**
+ **IAMFullAcesso**
+ **Amazon S3 FullAccess**
+ **APIGatewayAdministrador da Amazon**
+ **AWSLambdaFullAccess**
### CodeCatalyst função de criação para o CDK
Para CodeCatalyst fluxos de trabalho que executam ações de criação do CDK, como o aplicativo web moderno de três camadas, você pode usar a função de **CodeCatalystWorkflowDevelopmentRole-*spaceName***serviço padrão ou criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa inicializar e executar comandos de criação do CDK para CloudFormation recursos em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
+ Gravar em buckets do Amazon S3.
+ Support a construção de construções de CDK e pilhas de CloudFormation recursos. Isso requer acesso ao Amazon S3 para armazenamento de artefatos, ao Amazon ECR para suporte ao repositório de imagens e ao SSM para governança e monitoramento do sistema para instâncias virtuais.
Esse perfil usa a seguinte política:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
### CodeCatalyst função de implantação para CloudFormation
Para ações CodeCatalyst de implantação de fluxo de trabalho que usam CloudFormation, você pode usar a função de **CodeCatalystWorkflowDevelopmentRole-*spaceName***serviço padrão ou usar uma política com permissões de escopo que CodeCatalyst precisa executar tarefas em CloudFormation recursos em seu Conta da AWS.
Esse perfil concede permissões para o seguinte:
+ Permita CodeCatalyst invocar uma função λ para realizar a blue/green CloudFormation implantação.
+ Permite CodeCatalyst criar e atualizar pilhas e conjuntos de alterações em. CloudFormation
Esse perfil usa a seguinte política:
```
{"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:Describe*",
"cloudformation:UpdateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:SetStackPolicy",
"cloudformation:ValidateTemplate",
"cloudformation:List*",
"iam:PassRole"
],
"Resource": "resource_ARN",
"Effect": "Allow"
}
```
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
### CodeCatalyst função de implantação para o Amazon EC2
CodeCatalyst as ações de implantação do fluxo de trabalho usam uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon EC2 em seu. Conta da AWS A política padrão do perfil **CodeCatalystWorkflowDevelopmentRole-*spaceName*** não inclui permissões para o Amazon EC2 ou o Amazon EC2 Auto Scaling.
Esse perfil concede permissões para o seguinte:
+ Crie implantações do Amazon EC2.
+ Leia as tags em uma instância ou identifique uma instância do Amazon EC2 pelos nomes de grupo do Auto Scaling.
+ Ler, criar, atualizar e excluir grupos do Amazon EC2 Auto Scaling, ganchos do ciclo de vida e políticas de escalabilidade.
+ Publique informações nos tópicos do Amazon SNS.
+ Recupere informações sobre CloudWatch alarmes.
+ Leia e atualize o Elastic Load Balancing.
Esse perfil usa a seguinte política:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
### CodeCatalyst função de implantação para o Amazon ECS
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Você pode usar a função de **CodeCatalystWorkflowDevelopmentRole-*spaceName***serviço padrão ou criar uma função do IAM para CodeCatalyst implantar ações a serem usadas em implantações do Lambda. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon ECS em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
+ Inicie a implantação contínua do Amazon ECS em nome de um CodeCatalyst usuário, em uma conta especificada na CodeCatalyst conexão.
+ Ler, atualizar e excluir conjuntos de tarefas do Amazon ECS.
+ Atualizar grupos de destino, receptores e regras do Elastic Load Balancing.
+ Invocar funções do Lambda.
+ Acessar arquivos de revisão em buckets do Amazon S3.
+ Recupere informações sobre CloudWatch alarmes.
+ Publique informações nos tópicos do Amazon SNS.
Esse perfil usa a seguinte política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action":[
"ecs:DescribeServices",
"ecs:CreateTaskSet",
"ecs:DeleteTaskSet",
"ecs:ListClusters",
"ecs:RegisterTaskDefinition",
"ecs:UpdateServicePrimaryTaskSet",
"ecs:UpdateService",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:ModifyRule",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"cloudwatch:DescribeAlarms",
"sns:Publish",
"sns:ListTopics",
"s3:GetObject",
"s3:GetObjectVersion",
"codedeploy:CreateApplication",
"codedeploy:CreateDeployment",
"codedeploy:CreateDeploymentGroup",
"codedeploy:GetApplication",
"codedeploy:GetDeployment",
"codedeploy:GetDeploymentGroup",
"codedeploy:ListApplications",
"codedeploy:ListDeploymentGroups",
"codedeploy:ListDeployments",
"codedeploy:StopDeployment",
"codedeploy:GetDeploymentTarget",
"codedeploy:ListDeploymentTargets",
"codedeploy:GetDeploymentConfig",
"codedeploy:GetApplicationRevision",
"codedeploy:RegisterApplicationRevision",
"codedeploy:BatchGetApplicationRevisions",
"codedeploy:BatchGetDeploymentGroups",
"codedeploy:BatchGetDeployments",
"codedeploy:BatchGetApplications",
"codedeploy:ListApplicationRevisions",
"codedeploy:ListDeploymentConfigs",
"codedeploy:ContinueDeployment"
],
"Resource":"*",
"Effect":"Allow"
},{"Action":[
"iam:PassRole"
],
"Effect":"Allow",
"Resource":"*",
"Condition":{"StringLike":{"iam:PassedToService":[
"ecs-tasks.amazonaws.com",
"codedeploy.amazonaws.com"
]
}
}
}]
}
```
------
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
### CodeCatalyst função de implantação para Lambda
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Você pode usar a função de **CodeCatalystWorkflowDevelopmentRole-*spaceName***serviço padrão ou criar uma função do IAM para CodeCatalyst implantar ações a serem usadas em implantações do Lambda. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
+ Ler, atualizar e invocar funções do Lambda e aliases.
+ Acessar arquivos de revisão em buckets do Amazon S3.
+ Recupere informações sobre alarmes de CloudWatch eventos.
+ Publique informações nos tópicos do Amazon SNS.
Esse perfil usa a seguinte política:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
### CodeCatalyst função de implantação para Lambda
Para ações CodeCatalyst de fluxo de trabalho, você pode usar a função de **CodeCatalystWorkflowDevelopmentRole-*spaceName***serviço padrão ou criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
+ Ler, atualizar e invocar funções do Lambda e aliases.
+ Acessar arquivos de revisão em buckets do Amazon S3.
+ Recupere informações sobre CloudWatch alarmes.
+ Publique informações nos tópicos do Amazon SNS.
Esse perfil usa a seguinte política:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
### CodeCatalyst função de implantação para AWS SAM
Para ações CodeCatalyst de fluxo de trabalho, você pode usar a função de **CodeCatalystWorkflowDevelopmentRole-*spaceName***serviço padrão ou criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas AWS SAM e CloudFormation recursos em seu Conta da AWS.
Esse perfil concede permissões para o seguinte:
+ Permita CodeCatalyst invocar uma função Lambda para realizar a implantação de aplicativos CLI e sem servidor AWS SAM .
+ Permite CodeCatalyst criar e atualizar pilhas e conjuntos de alterações em. CloudFormation
Esse perfil usa a seguinte política:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
### CodeCatalyst função somente de leitura para o Amazon EC2
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon EC2 em seu. Conta da AWS A função **CodeCatalystWorkflowDevelopmentRole-*spaceName***de serviço não inclui permissões para o Amazon EC2 ou as ações descritas para a Amazon. CloudWatch
Esse perfil concede permissões para o seguinte:
+ Obter o status de instâncias do Amazon EC2.
+ Obtenha CloudWatch métricas para instâncias do Amazon EC2.
Esse perfil usa a seguinte política:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
### CodeCatalyst função somente de leitura para Amazon ECS
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Amazon ECS em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
+ Ler conjuntos de tarefas do Amazon ECS.
+ Recupere informações sobre CloudWatch alarmes.
Esse perfil usa a seguinte política:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
### CodeCatalyst função somente de leitura para Lambda
Para ações CodeCatalyst de fluxo de trabalho, você pode criar uma função do IAM com as permissões necessárias. Essa função usa uma política com permissões definidas que CodeCatalyst precisa executar tarefas nos recursos do Lambda em seu. Conta da AWS
Esse perfil concede permissões para o seguinte:
+ Ler funções e aliases do Lambda.
+ Acessar arquivos de revisão em buckets do Amazon S3.
+ Recupere informações sobre CloudWatch alarmes.
Essa função usa a seguinte política do .
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
## Criação manual de perfis para ações de fluxo de trabalho
CodeCatalyst as ações de fluxo de trabalho usam funções do IAM que você cria, chamadas de **função de construção**, **função de implantação** e **função de pilha**.
Siga estas etapas para criar esses perfis no IAM.
**Para criar um perfil de implantação**
1. Crie uma política para o perfil da seguinte maneira:
1. Faça login em AWS.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas**.
1. Escolha **Criar política**.
1. Escolha a guia **JSON**.
1. Exclua o código existente.
1. Cole o seguinte código:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
1. Escolha **Próximo: tags**.
1. Selecione **Próximo: revisar**.
1. Em **Nome**, insira:
```
codecatalyst-deploy-policy
```
1. Selecione **Criar política**.
Agora você criou uma política de permissões.
1. Crie o perfil de implantação, da seguinte forma:
1. No painel de navegação, escolha **Perfis** e **Criar perfil**.
1. Selecione **Política de confiança personalizada**.
1. Exclua a política de confiança personalizada existente.
1. Adicione a política de confiança personalizada a seguir:
1. Escolha **Próximo**.
1. Em **Políticas de permissões**, procure `codecatalyst-deploy-policy` e marque a caixa de seleção.
1. Escolha **Próximo**.
1. Em **Nome do perfil**, insira:
```
codecatalyst-deploy-role
```
1. Em **Descrição do perfil**, insira:
```
CodeCatalyst deploy role
```
1. Selecione **Criar perfil**.
Agora você criou um perfil de implantação com uma política de confiança e uma política de permissões.
1. Obtenha o ARN do perfil de implantação, da seguinte forma:
1. No painel de navegação, escolha **Perfis**.
1. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (`codecatalyst-deploy-role`).
1. Escolha o perfil na lista.
A página **Resumo** do perfil é exibida.
1. Na parte superior, copie o valor do **ARN**.
Agora você criou o perfil de implantação com as permissões apropriadas e obteve o ARN.
**Como criar um perfil de criação**
1. Crie uma política para o perfil da seguinte maneira:
1. Faça login em AWS.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas**.
1. Escolha **Criar política**.
1. Escolha a guia **JSON**.
1. Exclua o código existente.
1. Cole o seguinte código:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
1. Escolha **Próximo: tags**.
1. Selecione **Próximo: revisar**.
1. Em **Nome**, insira:
```
codecatalyst-build-policy
```
1. Selecione **Criar política**.
Agora você criou uma política de permissões.
1. Crie o perfil de criação, da seguinte forma:
1. No painel de navegação, escolha **Perfis** e **Criar perfil**.
1. Selecione **Política de confiança personalizada**.
1. Exclua a política de confiança personalizada existente.
1. Adicione a política de confiança personalizada a seguir:
1. Escolha **Próximo**.
1. Em **Políticas de permissões**, procure `codecatalyst-build-policy` e marque a caixa de seleção.
1. Escolha **Próximo**.
1. Em **Nome do perfil**, insira:
```
codecatalyst-build-role
```
1. Em **Descrição do perfil**, insira:
```
CodeCatalyst build role
```
1. Selecione **Criar perfil**.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
1. Obtenha o ARN do perfil de criação, da seguinte forma:
1. No painel de navegação, escolha **Perfis**.
1. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (`codecatalyst-build-role`).
1. Escolha o perfil na lista.
A página **Resumo** do perfil é exibida.
1. Na parte superior, copie o valor do **ARN**.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.
**Para criar um perfil de pilha**
**nota**
Você não precisa criar um perfil de pilha, embora isso seja recomendado por motivos de segurança. Se você não criar o perfil de pilha, precisará adicionar as políticas de permissões descritas mais adiante neste procedimento ao perfil de implantação.
1. Faça login AWS usando a conta na qual você deseja implantar sua pilha.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis** e **Criar perfil**.
1. Na parte superior, selecione **Serviço da AWS **.
1. Na lista de serviços, escolha **CloudFormation**.
1. Escolha **Próximo: Permissões**.
1. Na caixa de pesquisa, adicione todas as políticas necessárias para acessar os recursos em sua pilha. Por exemplo, se sua pilha inclui uma AWS Lambda função, você precisa adicionar uma política que conceda acesso ao Lambda.
**dica**
Se não tiver certeza de quais políticas adicionar, você pode omiti-las por enquanto. Quando você testa a ação, se você não tiver as permissões corretas, CloudFormation gera erros que mostram quais permissões você precisa adicionar.
1. Escolha **Próximo: tags**.
1. Selecione **Próximo: revisar**.
1. Em **Nome do perfil**, insira:
```
codecatalyst-stack-role
```
1. Selecione **Criar perfil**.
1. Para obter o ARN do perfil de pilha, faça o seguinte:
1. No painel de navegação, escolha **Perfis**.
1. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (`codecatalyst-stack-role`).
1. Escolha o perfil na lista.
1. Na página **Resumo**, copie o valor de **ARN do perfil**.
## Usando AWS CloudFormation para criar políticas e funções no IAM
Você pode escolher criar e usar AWS CloudFormation modelos para criar as políticas e funções necessárias para acessar recursos em seus CodeCatalyst projetos e fluxos de trabalho. Conta da AWS CloudFormation é um serviço que ajuda você a modelar e configurar seus AWS recursos para que você possa passar menos tempo gerenciando esses recursos e mais tempo se concentrando nos aplicativos que são executados em AWS. Se você pretende criar funções em várias Contas da AWS, criar um modelo pode ajudá-lo a realizar essa tarefa mais rapidamente.
O modelo de exemplo a seguir cria uma política e um perfil de ação de implantação.
```
Parameters:
CodeCatalystAccountId:
Type: String
Description: Account ID from the connections page
ExternalId:
Type: String
Description: External ID from the connections page
Resources:
CrossAccountRole:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref CodeCatalystAccountId
Action:
- 'sts:AssumeRole'
Condition:
StringEquals:
sts:ExternalId: !Ref ExternalId
Path: /
Policies:
- PolicyName: CodeCatalyst-CloudFormation-action-policy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- 'cloudformation:CreateStack'
- 'cloudformation:DeleteStack'
- 'cloudformation:Describe*'
- 'cloudformation:UpdateStack'
- 'cloudformation:CreateChangeSet'
- 'cloudformation:DeleteChangeSet'
- 'cloudformation:ExecuteChangeSet'
- 'cloudformation:SetStackPolicy'
- 'cloudformation:ValidateTemplate'
- 'cloudformation:List*'
- 'iam:PassRole'
Resource: '*'
```
## Criar o perfil manualmente para o esquema da aplicação web
O blueprint do aplicativo CodeCatalyst web usa funções do IAM que você cria, chamadas de **função de construção para CDK**, função de **implantação e função** de **pilha**.
Siga estas etapas para criar o perfil no IAM.
**Como criar um perfil de criação**
1. Crie uma política para o perfil da seguinte maneira:
1. Faça login em AWS.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas**.
1. Escolha **Create Policy**.
1. Escolha a guia **JSON**.
1. Exclua o código existente.
1. Cole o seguinte código:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
1. Escolha **Próximo: tags**.
1. Selecione **Próximo: revisar**.
1. Em **Nome**, insira:
```
codecatalyst-webapp-build-policy
```
1. Selecione **Criar política**.
Agora você criou uma política de permissões.
1. Crie o perfil de criação, da seguinte forma:
1. No painel de navegação, escolha **Perfis** e **Criar perfil**.
1. Selecione **Política de confiança personalizada**.
1. Exclua a política de confiança personalizada existente.
1. Adicione a política de confiança personalizada a seguir:
1. Escolha **Próximo**.
1. Anexe a política de permissões ao perfil de criação. Na página **Adicionar permissões**, na seção **Políticas de permissões**, pesquise `codecatalyst-webapp-build-policy` e marque a caixa de seleção.
1. Escolha **Próximo**.
1. Em **Nome do perfil**, insira:
```
codecatalyst-webapp-build-role
```
1. Em **Descrição do perfil**, insira:
```
CodeCatalyst Web app build role
```
1. Selecione **Criar perfil**.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
1. Anexe a política de permissões ao perfil de criação, da seguinte maneira:
1. No painel de navegação, selecione **Perfis** e procure `codecatalyst-webapp-build-role`.``
1. Selecione `codecatalyst-webapp-build-role` para exibir os detalhes.``
1. Na guia **Permissões**, escolha **Adicionar permissões** e **Anexar políticas**.
1. Procure `codecatalyst-webapp-build-policy`, marque a caixa de seleção e selecione **Anexar políticas**.
Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
1. Obtenha o ARN do perfil de criação, da seguinte forma:
1. No painel de navegação, escolha **Perfis**.
1. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (`codecatalyst-webapp-build-role`).
1. Escolha o perfil na lista.
A página **Resumo** do perfil é exibida.
1. Na parte superior, copie o valor do **ARN**.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.
## Criação manual de perfis para o esquema do SAM
O blueprint do CodeCatalyst SAM usa funções do IAM que você cria, chamadas de **função de criação CloudFormation** e **função de implantação do SAM**.
Siga estas etapas para criar os perfis no IAM.
**Para criar uma função de construção para CloudFormation**
1. Crie uma política para o perfil da seguinte maneira:
1. Faça login em AWS.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas**.
1. Escolha **Create Policy**.
1. Escolha a guia **JSON**.
1. Exclua o código existente.
1. Cole o seguinte código:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*",
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
1. Escolha **Próximo: tags**.
1. Selecione **Próximo: revisar**.
1. Em **Nome**, insira:
```
codecatalyst-SAM-build-policy
```
1. Selecione **Criar política**.
Agora você criou uma política de permissões.
1. Crie o perfil de criação, da seguinte forma:
1. No painel de navegação, escolha **Perfis** e **Criar perfil**.
1. Selecione **Política de confiança personalizada**.
1. Exclua a política de confiança personalizada existente.
1. Adicione a política de confiança personalizada a seguir:
1. Escolha **Próximo**.
1. Anexe a política de permissões ao perfil de criação. Na página **Adicionar permissões**, na seção **Políticas de permissões**, pesquise `codecatalyst-SAM-build-policy` e marque a caixa de seleção.
1. Escolha **Próximo**.
1. Em **Nome do perfil**, insira:
```
codecatalyst-SAM-build-role
```
1. Em **Descrição do perfil**, insira:
```
CodeCatalyst SAM build role
```
1. Selecione **Criar perfil**.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
1. Anexe a política de permissões ao perfil de criação, da seguinte maneira:
1. No painel de navegação, selecione **Perfis** e procure `codecatalyst-SAM-build-role`.``
1. Selecione `codecatalyst-SAM-build-role` para exibir os detalhes.``
1. Na guia **Permissões**, escolha **Adicionar permissões** e **Anexar políticas**.
1. Procure `codecatalyst-SAM-build-policy`, marque a caixa de seleção e selecione **Anexar políticas**.
Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
1. Obtenha o ARN do perfil de criação, da seguinte forma:
1. No painel de navegação, escolha **Perfis**.
1. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (`codecatalyst-SAM-build-role`).
1. Escolha o perfil na lista.
A página **Resumo** do perfil é exibida.
1. Na parte superior, copie o valor do **ARN**.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.
**Para criar um perfil de implantação para o SAM**
1. Crie uma política para o perfil da seguinte maneira:
1. Faça login em AWS.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas**.
1. Escolha **Create Policy**.
1. Escolha a guia **JSON**.
1. Exclua o código existente.
1. Cole o seguinte código:
**nota**
Na primeira vez em que o perfil for usado para executar ações de fluxo de trabalho, use o caractere curinga na declaração de política de recursos e defina o escopo da política com o nome do recurso depois que ele estiver disponível.
```
"Resource": "*"
```
1. Escolha **Próximo: tags**.
1. Selecione **Próximo: revisar**.
1. Em **Nome**, insira:
```
codecatalyst-SAM-deploy-policy
```
1. Selecione **Criar política**.
Agora você criou uma política de permissões.
1. Crie o perfil de criação, da seguinte forma:
1. No painel de navegação, escolha **Perfis** e **Criar perfil**.
1. Selecione **Política de confiança personalizada**.
1. Exclua a política de confiança personalizada existente.
1. Adicione a política de confiança personalizada a seguir:
1. Escolha **Próximo**.
1. Anexe a política de permissões ao perfil de criação. Na página **Adicionar permissões**, na seção **Políticas de permissões**, pesquise `codecatalyst-SAM-deploy-policy` e marque a caixa de seleção.
1. Escolha **Próximo**.
1. Em **Nome do perfil**, insira:
```
codecatalyst-SAM-deploy-role
```
1. Em **Descrição do perfil**, insira:
```
CodeCatalyst SAM deploy role
```
1. Selecione **Criar perfil**.
Agora você criou um perfil de criação com uma política de confiança e uma política de permissões.
1. Anexe a política de permissões ao perfil de criação, da seguinte maneira:
1. No painel de navegação, selecione **Perfis** e procure `codecatalyst-SAM-deploy-role`.``
1. Selecione `codecatalyst-SAM-deploy-role` para exibir os detalhes.``
1. Na guia **Permissões**, escolha **Adicionar permissões** e **Anexar políticas**.
1. Procure `codecatalyst-SAM-deploy-policy`, marque a caixa de seleção e selecione **Anexar políticas**.
Agora você anexou a política de permissões ao perfil de criação. O perfil de criação agora tem duas políticas: uma política de permissões e uma política de confiança.
1. Obtenha o ARN do perfil de criação, da seguinte forma:
1. No painel de navegação, escolha **Perfis**.
1. Na caixa de pesquisa, insira o nome do perfil que você acabou de criar (`codecatalyst-SAM-deploy-role`).
1. Escolha o perfil na lista.
A página **Resumo** do perfil é exibida.
1. Na parte superior, copie o valor do **ARN**.
Agora você criou o perfil de criação com as permissões apropriadas e obteve o ARN.