As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de identidade e acesso para AWS CodeStar notificações e AWS CodeConnections

AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. IAMos administradores controlam quem pode ser autenticado (conectado) e autorizado (tem permissões) a usar AWS CodeStar notificações e AWS CodeConnections recursos. IAMé um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

Público

A forma como você usa AWS Identity and Access Management (IAM) difere, dependendo do trabalho que você faz em AWS CodeStar Notificações AWS CodeConnections e.

Usuário do serviço — Se você usar as AWS CodeStar Notificações e o AWS CodeConnections serviço para fazer seu trabalho, seu administrador fornecerá as credenciais e as permissões de que você precisa. À medida que você usa mais AWS CodeStar notificações e AWS CodeConnections recursos para fazer seu trabalho, talvez precise de permissões adicionais. Entender como o acesso é gerenciado pode ajudar você a solicitar as permissões corretas ao seu administrador. Se você não conseguir acessar um recurso nas AWS CodeStar Notificações e AWS CodeConnections, consulteAWS CodeStar Notificações de solução de problemas, AWS CodeConnections identidade e acesso.

Administrador de serviços — Se você é responsável pelas AWS CodeStar notificações e pelos AWS CodeConnections recursos da sua empresa, provavelmente tem acesso total às AWS CodeStar notificações AWS CodeConnections e. É seu trabalho determinar quais AWS CodeStar notificações, AWS CodeConnections recursos e recursos seus usuários do serviço devem acessar. Em seguida, você deve enviar solicitações ao IAM administrador para alterar as permissões dos usuários do serviço. Revise as informações nesta página para entender os conceitos básicos doIAM. Para saber mais sobre como sua empresa pode usar IAM com AWS CodeStar Notificações e AWS CodeConnections, consulteComo os recursos no console de ferramentas do desenvolvedor funcionam com IAM.

IAMadministrador — Se você for IAM administrador, talvez queira saber detalhes sobre como criar políticas para gerenciar o acesso às AWS CodeStar Notificações AWS CodeConnections e. Para ver exemplos de AWS CodeStar notificações e políticas AWS CodeConnections baseadas em identidade que você pode usar emIAM, consulte. Exemplos de políticas baseadas em identidade

Autenticando com identidades

A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado (conectado AWS) como IAM usuário ou assumindo uma IAM função. Usuário raiz da conta da AWS

Você pode entrar AWS como uma identidade federada usando credenciais fornecidas por meio de uma fonte de identidade. AWS IAM Identity Center Os usuários (do IAM Identity Center), a autenticação de login único da sua empresa e suas credenciais do Google ou do Facebook são exemplos de identidades federadas. Quando você entra como uma identidade federada, seu administrador configurou previamente a federação de identidades usando IAM funções. Ao acessar AWS usando a federação, você está assumindo indiretamente uma função.

Dependendo do tipo de usuário que você é, você pode entrar no AWS Management Console ou no portal de AWS acesso. Para obter mais informações sobre como fazer login em AWS, consulte Como fazer login Conta da AWS no Guia do Início de Sessão da AWS usuário.

Se você acessar AWS programaticamente, AWS fornece um kit de desenvolvimento de software (SDK) e uma interface de linha de comando (CLI) para assinar criptograficamente suas solicitações usando suas credenciais. Se você não usa AWS ferramentas, você mesmo deve assinar as solicitações. Para obter mais informações sobre como usar o método recomendado para você mesmo assinar solicitações, consulte Assinar AWS API solicitações no Guia IAM do usuário.

Independente do método de autenticação usado, também pode ser exigido que você forneça informações adicionais de segurança. Por exemplo, AWS recomenda que você use a autenticação multifator (MFA) para aumentar a segurança da sua conta. Para saber mais, consulte Autenticação multifator no Guia AWS IAM Identity Center do usuário e Uso da autenticação multifator (MFA) AWS no Guia do IAMusuário.

Usuário raiz da conta da AWS

Ao criar uma Conta da AWS, você começa com uma identidade de login que tem acesso completo a todos Serviços da AWS os recursos da conta. Essa identidade é chamada de usuário Conta da AWS raiz e é acessada fazendo login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele puder executar. Para ver a lista completa de tarefas que exigem que você faça login como usuário raiz, consulte Tarefas que exigem credenciais de usuário raiz no Guia do IAM usuário.

Grupos e usuários do IAM

Um IAMusuário é uma identidade dentro da sua Conta da AWS que tem permissões específicas para uma única pessoa ou aplicativo. Sempre que possível, recomendamos confiar em credenciais temporárias em vez de criar IAM usuários que tenham credenciais de longo prazo, como senhas e chaves de acesso. No entanto, se você tiver casos de uso específicos que exijam credenciais de longo prazo com IAM os usuários, recomendamos que você alterne as chaves de acesso. Para obter mais informações, consulte Alterne as chaves de acesso regularmente para casos de uso que exigem credenciais de longo prazo no Guia do IAMusuário.

Um IAMgrupo é uma identidade que especifica uma coleção de IAM usuários. Não é possível fazer login como um grupo. É possível usar grupos para especificar permissões para vários usuários de uma vez. Os grupos facilitam o gerenciamento de permissões para grandes conjuntos de usuários. Por exemplo, você pode ter um grupo chamado IAMAdminse conceder a esse grupo permissões para administrar IAM recursos.

Usuários são diferentes de perfis. Um usuário é exclusivamente associado a uma pessoa ou a uma aplicação, mas um perfil pode ser assumido por qualquer pessoa que precisar dele. Os usuários têm credenciais permanentes de longo prazo, mas os perfis fornecem credenciais temporárias. Para saber mais, consulte Quando criar um IAM usuário (em vez de uma função) no Guia do IAM usuário.

IAMfunções

Uma IAMfunção é uma identidade dentro da sua Conta da AWS que tem permissões específicas. É semelhante a um IAM usuário, mas não está associado a uma pessoa específica. Você pode assumir temporariamente uma IAM função no AWS Management Console trocando de funções. Você pode assumir uma função chamando uma AWS API operação AWS CLI or ou usando uma personalizadaURL. Para obter mais informações sobre métodos de uso de funções, consulte Usando IAM funções no Guia IAM do usuário.

IAMfunções com credenciais temporárias são úteis nas seguintes situações:

Para saber se usar IAM funções ou IAM usuários, consulte Quando criar uma IAM função (em vez de um usuário) no Guia do IAM usuário.

Gerenciando acesso usando políticas

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política é um objeto AWS que, quando associada a uma identidade ou recurso, define suas permissões. AWS avalia essas políticas quando um principal (usuário, usuário raiz ou sessão de função) faz uma solicitação. As permissões nas políticas determinam se a solicitação será permitida ou negada. A maioria das políticas é armazenada AWS como JSON documentos. Para obter mais informações sobre a estrutura e o conteúdo dos documentos de JSON política, consulte Visão geral das JSON políticas no Guia IAM do usuário.

Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.

Por padrão, usuários e funções não têm permissões. Para conceder permissão aos usuários para realizar ações nos recursos de que precisam, um IAM administrador pode criar IAM políticas. O administrador pode então adicionar as IAM políticas às funções e os usuários podem assumir as funções.

IAMas políticas definem permissões para uma ação, independentemente do método usado para realizar a operação. Por exemplo, suponha que você tenha uma política que permite a ação iam:GetRole. Um usuário com essa política pode obter informações de função do AWS Management Console AWS CLI, do ou do AWS API.

Políticas baseadas em identidade

Políticas baseadas em identidade são documentos de políticas de JSON permissões que você pode anexar a uma identidade, como um IAM usuário, grupo de usuários ou função. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Criação de IAM políticas no Guia do IAMusuário.

As políticas baseadas em identidade podem ser categorizadas ainda adicionalmente como políticas em linha ou políticas gerenciadas. As políticas em linha são anexadas diretamente a um único usuário, grupo ou perfil. As políticas gerenciadas são políticas autônomas que você pode associar a vários usuários, grupos e funções em seu Conta da AWS. As políticas AWS gerenciadas incluem políticas gerenciadas e políticas gerenciadas pelo cliente. Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte Escolha entre políticas gerenciadas e políticas em linha no Guia do IAMusuário.

AWS CodeConnections referência de permissões

As tabelas a seguir listam cada AWS CodeConnections API operação, as ações correspondentes para as quais você pode conceder permissões e o formato do recurso ARN a ser usado para conceder permissões. Eles AWS CodeConnections APIs são agrupados em tabelas com base no escopo das ações permitidas por issoAPI. Consulte-o ao escrever políticas de permissões que você pode anexar a uma IAM identidade (políticas baseadas em identidade).

Quando você cria uma política de permissões, você especifica as ações no campo Action da política. Você especifica o valor do recurso no Resource campo da política como umARN, com ou sem um caractere curinga (*).

Para expressar condições nas suas políticas de conexão, use as chaves de condição descritas aqui e listadas em Chaves de condição. Você também pode usar chaves de condição AWS-wide. Para obter uma lista completa AWS de teclas amplas, consulte Chaves disponíveis no Guia do IAM usuário.

Para especificar uma ação, use o codeconnections prefixo seguido pelo nome da API operação (por exemplo, codeconnections:ListConnections oucodeconnections:CreateConnection.

Uso de curingas

Para especificar várias ações ou recursos, use um caractere curinga (*) em seuARN. Por exemplo, codeconnections:* especifica todas as AWS CodeConnections ações e codeconnections:Get* especifica todas as AWS CodeConnections ações que começam com a palavra. Get O exemplo a seguir concede acesso a todos os repositórios com nomes que começam com MyConnection.

arn:aws:codeconnections:us-west-2:account-ID:connection/*

Você pode usar curingas somente com o connection recursos listados na tabela a seguir. Você não pode usar curingas com region ou account-id recursos. Para obter mais informações sobre curingas, consulte IAMidentificadores no Guia IAM do usuário.

Permissões para gerenciar conexões

Uma função ou usuário designado para usar AWS CLI ou SDK visualizar, criar ou excluir conexões deve ter permissões limitadas ao seguinte.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections

Use as barras de rolagem para ver o restante da tabela.

Estas operações oferecem suporte às seguintes chaves de condição:

Permissões para gerenciamento de hosts

Uma função ou usuário designado para usar AWS CLI ou SDK visualizar, criar ou excluir hosts deve ter permissões limitadas ao seguinte.

codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts

Use as barras de rolagem para ver o restante da tabela.

Estas operações oferecem suporte às seguintes chaves de condição:

Permissões para concluir conexões

Uma função ou um usuário designado para gerenciar conexões no console deve ter as permissões necessárias para concluir uma conexão no console e criar uma instalação, o que inclui autorizar o handshake para o provedor e criar instalações para conexões a serem usadas. Use as permissões a seguir além das permissões acima.

As IAM operações a seguir são usadas pelo console ao realizar um handshake baseado em navegador. AsListInstallationTargets,GetInstallationUrl, StartOAuthHandshakeUpdateConnectionInstallation, e GetIndividualAccessToken são permissões IAM de política. Não são API ações.

codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation

Com base nisso, as permissões a seguir são necessárias para usar, criar, atualizar ou excluir uma conexão no console.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken

Use as barras de rolagem para ver o restante da tabela.

Estas operações oferecem suporte às chaves de condição a seguir.

Permissões para configurar hosts

Uma função ou um usuário designado para gerenciar conexões no console deve ter as permissões necessárias para concluir uma conexão no console, o que inclui autorizar o handshake para o provedor e instalar a aplicação host. Use as permissões a seguir além das permissões para hosts acima.

As IAM operações a seguir são usadas pelo console ao realizar um registro de host baseado em navegador. RegisterAppCodee StartAppRegistrationHandshake são permissões IAM de política. Não são API ações.

codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Com base nisso, as permissões a seguir são necessárias para usar, criar, atualizar ou excluir uma conexão no console que requer um host (como os tipos de provedor instalados).

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Use as barras de rolagem para ver o restante da tabela.

Estas operações oferecem suporte às chaves de condição a seguir.

Transmitir uma conexão para um serviço

Quando uma conexão é passada para um serviço (por exemplo, quando uma conexão ARN é fornecida em uma definição de pipeline para criar ou atualizar um pipeline), o usuário deve ter a codeconnections:PassConnection permissão.

Use as barras de rolagem para ver o restante da tabela.

Esta operação também é compatível com a seguinte chave de condição:

Usar uma conexão

Quando um serviço como CodePipeline usa uma conexão, a função de serviço deve ter a codeconnections:UseConnection permissão para uma determinada conexão.

Para gerenciar conexões no console, a política do usuário deve ter a permissão codeconnections:UseConnection.

Use as barras de rolagem para ver o restante da tabela.

Esta operação também é compatível com as seguintes chaves de condição:

As chaves de condição necessárias para algumas funcionalidades podem mudar ao longo do tempo. Recomendamos que você use codeconnections:UseConnection para controlar o acesso a uma conexão, a menos que seus requisitos de controle de acesso exijam permissões diferentes.

Tipos de acesso suportados para ProviderAction

Quando uma conexão é usada por um AWS serviço, isso resulta em API chamadas feitas para seu provedor de código-fonte. Por exemplo, um serviço pode listar repositórios para uma conexão do Bitbucket chamando o. https://api.bitbucket.org/2.0/repositories/username API

A chave de ProviderAction condição permite que você restrinja qual APIs provedor pode ser chamado. Como o API caminho pode ser gerado dinamicamente e varia de provedor para provedor, o ProviderAction valor é mapeado para um nome de ação abstrato em vez URL de para o. API Isso permite que você escreva políticas que têm o mesmo efeito, independentemente do tipo de provedor para a conexão.

A seguir estão os tipos de acesso concedidos para cada um dos valores ProviderAction compatíveis: A seguir estão as permissões IAM da política. Não são API ações.

Use as barras de rolagem para ver o restante da tabela.

Permissões compatíveis para marcar recursos de conexão

As IAM operações a seguir são usadas ao marcar recursos de conexão.

codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource

Use as barras de rolagem para ver o restante da tabela.

Transmitir uma conexão a um link de repositório

Quando um link do repositório é fornecido em uma configuração de sincronização, o usuário deve ter a codeconnections:PassRepository permissão para o link do repositório /resource. ARN

Use as barras de rolagem para ver o restante da tabela.

Esta operação também é compatível com a seguinte chave de condição:

Chave de condição compatível para links de repositório

As operações para links de repositório e recursos de configuração de sincronização são compatíveis com a seguinte chave de condição:

Uso de notificações e conexões no console

A experiência de notificações é incorporada aos CodePipeline consoles CodeBuild CodeCommit, CodeDeploy,, e, bem como no console de Ferramentas do Desenvolvedor, na própria barra de navegação de Configurações. Para acessar notificações nos consoles, é necessário ter uma das políticas gerenciadas para esses serviços aplicada ou um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre as AWS CodeStar notificações e AWS CodeConnections os recursos em sua AWS conta. Se você criar uma política baseada em identidade que seja mais restritiva do que as permissões mínimas exigidas, o console não funcionará conforme planejado para entidades (IAMusuários ou funções) com essa política. Para obter mais informações sobre como conceder acesso a AWS CodeBuild, AWS CodeCommit, e AWS CodeDeploy AWS CodePipeline, incluindo acesso a esses consoles, consulte os tópicos a seguir:

AWS CodeStar As notificações não têm nenhuma política AWS gerenciada. Para fornecer acesso à funcionalidade de notificação, é necessário aplicar uma das políticas gerenciadas a um dos serviços listados anteriormente ou criar políticas com o nível de permissão que deseja conceder a usuários ou entidades e anexar essas políticas aos usuários, aos grupos ou às funções que exigem essas permissões. Para obter mais informações e exemplo, consulte o seguinte:

AWS CodeConnections não tem nenhuma política AWS gerenciada. Você usa as permissões e combinações de permissões para acesso, como as permissões detalhadas em Permissões para concluir conexões.

Para obter mais informações, consulte as informações a seguir.

Você não precisa permitir permissões de console para usuários que estão fazendo chamadas somente para AWS CLI o. ou AWS API o. Em vez disso, permita o acesso somente às ações que correspondam à API operação que você está tentando realizar.

Permitir que usuários visualizem suas próprias permissões

Este exemplo mostra como você pode criar uma política que permita IAM aos usuários visualizar as políticas embutidas e gerenciadas que estão anexadas à identidade do usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando o AWS CLI ou. AWS API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}