本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 CodeCatalyst 信任模型
Amazon CodeCatalyst 信任模型允 CodeCatalyst 許在連線中扮演服務角色 AWS 帳戶。模型會連接 IAM 角色、 CodeCatalyst 服務主體和 CodeCatalyst 空間。信任原則會使用aws:SourceArn
條件索引鍵,將權限授與條件索引鍵中指定的 CodeCatalyst 空間。如需有關此條件金鑰的詳細資訊,請參閱 IAM 使用者指南SourceArn中的 aws:。
信任政策 為 JSON 政策文件,您會在其中定義您信任擔任角色的主體。角色信任政策是在 IAM 中連接至角色的以資源為基礎的必要政策。如需詳細資訊,請參閱 IAM 使用者指南中的術語和概念。如需有關的服務主參與者的詳細資訊 CodeCatalyst,請參閱下列項目的服務主體 CodeCatalyst。
在下列信任原則中,Principal
元素中列出的服務主體會從以資源為基礎的原則授與權限,而Condition
區塊則用來限制對縮短資源的存取。
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/
spaceId
/project/*" } } } ]
在信任政策中, CodeCatalyst 服務主體會透過aws:SourceArn
條件金鑰授予存取權,其中包含 CodeCatalyst 空間 ID 的 Amazon 資源名稱 (ARN)。ARN 使用下列格式:
arn:aws:codecatalyst:::space/
spaceId
/project/*
重要
僅在條件索引鍵中使用空格 ID,例如aws:SourceArn
。請勿使用 IAM 政策陳述式中的空間 ID 做為資源 ARN。
最佳作法是在原則中盡可能減少權限的範圍。
-
您可以在
aws:SourceArn
條件鍵中使用萬用字元 (*),用來指定空間中的所有專案project/*
。 -
您可以在空間中的特定項目的
aws:SourceArn
條件鍵中指定資源級權限。project/
projectId
下列項目的服務主體 CodeCatalyst
您可以在以資源為基礎的 JSON 政策中使用Principal
元素來指定允許或拒絕存取資源的主體。您在信任政策中可指定的主體包含使用者、角色、帳戶和服務。您無法在以身分識別為基礎的政策中使用Principal
元素;同樣地,您無法將使用者群組識別為原則中的主體 (例如以資源為基礎的政策),因為群組與權限相關,而非驗證,而主體則是經過驗證的 IAM 實體。
在信任策略中,您可以 AWS 服務 在以資源為基礎的策略的Principal
元素中或在支援主體的條件索引鍵中指定。服務主體由服務定義。以下是針 CodeCatalyst對下列項目定義的服務主體:
-
代碼催化器。Amazonaws.com-此服務主體用於將授予訪問權限的角色。 CodeCatalyst AWS
-
代碼催化器運行者 .amazonaws.com.rproxy.goskope.com-此服務主體用於將授予工作流部署資源訪問權限的角色。 CodeCatalyst AWS CodeCatalyst
如需詳細資訊,請參閱 IAM 使用者指南中的 AWS JSON 政策元素:主體。