本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为关联账户配置IAM角色
您可以在 AWS Identity and Access Management (IAM) 中为要添加的账户创建角色 CodeCatalyst。如果您要添加结算账号,则无需创建角色。
在您的中 AWS 账户,您必须拥有为要添加到空间中的角色创建角色的权限。 AWS 账户 有关IAM角色和策略的更多信息(包括IAM参考和策略示例),请参阅身份与访问管理与亚马逊 CodeCatalyst。有关中使用的信任策略和服务主体的更多信息 CodeCatalyst,请参阅了解 CodeCatalyst 信任模型。
在中 CodeCatalyst,您必须使用空间管理员角色登录才能完成向空间添加帐户(以及角色,如果适用)的步骤。
您可以使用以下方法之一将角色添加到您的账户关联中。
-
创建包含权限策略和信任策略的服务角色 CodeCatalystWorkflowDevelopmentRole-
spaceName
角色,请参阅CodeCatalystWorkflowDevelopmentRole-spaceName角色。 -
有关创建角色和添加策略以根据蓝图创建项目的示例,请参阅创建IAM角色并使用 CodeCatalyst信任策略。
-
有关创建角色时要使用的示例IAM角色策略列表,请参阅使用 IAM 角色授予对项目 AWS 资源的访问权限。
-
有关为工作流操作创建角色的详细步骤,请参阅该操作的工作流程教程,如下所示:
主题
CodeCatalystWorkflowDevelopmentRole-spaceName
角色
您可以在中将开发者角色创建为 “一键下单” 角色。IAM您必须在要添加帐户的空间中拥有 Space 管理员或 P ower 用户角色。您还必须对要添加的 AWS 账户 具有管理权限。
在开始以下步骤之前,您必须 AWS Management Console 使用要添加到 CodeCatalyst 空间的相同帐户登录。否则,控制台将返回未知账户错误。
要创建并添加 CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName
-
在开始进入 CodeCatalyst 控制台之前,请先打开 AWS Management Console,然后确保您的空间使用相同 AWS 账户 的方式登录。
打开 CodeCatalyst 控制台,网址为 https://codecatalyst.aws/
。 -
导航到您的 CodeCatalyst 空间。选择 Settings (设置),然后选择 AWS 账户。
-
选择要创建角色的 AWS 账户 位置的链接。将显示AWS 账户 详细信息页面。
-
从中选择管理角色 AWS Management Console。
将IAM角色添加到 Amazon CodeCatalyst 空间页面将在中打开 AWS Management Console。这是 Amazon CodeCatalyst 空间页面。您可能需要登录才能访问该页面。
-
在中选择创建 CodeCatalyst 开发管理员角色IAM。此选项创建的服务角色包含开发角色的权限策略和信任策略。该角色将有一个名字
CodeCatalystWorkflowDevelopmentRole-
。有关角色和角色策略的更多信息,请参阅了解CodeCatalystWorkflowDevelopmentRole-spaceName服务角色。spaceName
注意
此角色仅建议与开发者账户一起使用,并且使用
AdministratorAccess
AWS 托管策略,授予其在其中创建新策略和资源的完全访问权限 AWS 账户。 -
选择创建开发角色。
-
在 “连接” 页面的 “可用IAM角色” 下 CodeCatalyst,查看添加到您账户的IAM角色列表中的角色。
CodeCatalystWorkflowDevelopmentRole-
spaceName
-
要返回您的空间,请选择 Go to Amazon CodeCatalyst。
AWSRoleForCodeCatalystSupport角色
您可以在中将支持角色创建为 “一键下单” 角色。IAM您必须在要添加帐户的空间中拥有 Space 管理员或 P ower 用户角色。您还必须对要添加的 AWS 账户 具有管理权限。
在开始以下步骤之前,您必须 AWS Management Console 使用要添加到 CodeCatalyst 空间的相同帐户登录。否则,控制台将返回未知账户错误。
要创建并添加 CodeCatalyst AWSRoleForCodeCatalystSupport
-
在开始进入 CodeCatalyst 控制台之前,请先打开 AWS Management Console,然后确保您的空间使用相同 AWS 账户 的方式登录。
-
导航到您的 CodeCatalyst 空间。选择 Settings (设置),然后选择 AWS 账户。
-
选择要创建角色的 AWS 账户 位置的链接。将显示AWS 账户 详细信息页面。
-
从中选择管理角色 AWS Management Console。
将IAM角色添加到 Amazon CodeCatalyst 空间页面将在中打开 AWS Management Console。这是 Amazon CodeCatalyst Spaces 页面。您可能需要登录才能访问该页面。
-
在CodeCatalyst 空间详情下,选择添加 Su CodeCatalyst pport 角色。此选项创建的服务角色包含预览版开发角色的权限策略和信任策略。该角色将有一个名字 AWSRoleForCodeCatalystSupport并附加唯一标识符。有关角色和角色策略的更多信息,请参阅了解AWSRoleForCodeCatalystSupport服务角色。
-
在 “为 Su CodeCatalyst pport 添加角色” 页面上,将默认角色保留为选中状态,然后选择创建角色。
-
在 “可用IAM角色”
CodeCatalystWorkflowDevelopmentRole-
下 CodeCatalyst,在添加到您账户的IAM角色列表中查看该角色。spaceName
-
要返回您的空间,请选择 Go to Amazon CodeCatalyst。
创建IAM角色并使用 CodeCatalyst信任策略
IAM在 AWS 账户 连接中 CodeCatalyst 使用的角色必须配置为使用此处提供的信任策略。使用这些步骤创建IAM角色并附加允许您根据蓝图创建项目的策略。 CodeCatalyst
或者,您可以创建一个包含该角色的权限策略和信任策略的服务CodeCatalystWorkflowDevelopmentRole-
角色。有关更多信息,请参阅 向账户关联添加IAM角色。spaceName
登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
选择 角色,然后选择 创建角色。
-
选择自定义信任策略。
-
在自定义信任策略窗体下,粘贴以下信任策略。
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
-
选择下一步。
-
在 “添加权限” 下,搜索并选择您已在中创建的自定义策略IAM。
-
选择下一步。
-
在角色名称中,输入角色的名称,例如:
codecatalyst-project-role
-
选择 Create role(创建角色)。
-
复制角色 Amazon 资源名称 (ARN)。在向账户关联或环境中添加角色时,您需要提供此信息。