了解 CodeCatalyst 信任模型 - Amazon CodeCatalyst

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解 CodeCatalyst 信任模型

Amazon CodeCatalyst 信任模型允 CodeCatalyst 許在連線中扮演服務角色 AWS 帳戶。模型會連接 IAM 角色、 CodeCatalyst 服務主體和 CodeCatalyst 空間。信任原則會使用aws:SourceArn條件索引鍵,將權限授與條件索引鍵中指定的 CodeCatalyst 空間。如需有關此條件金鑰的詳細資訊,請參閱 IAM 使用者指南SourceArn中的 aws:

信任政策 為 JSON 政策文件,您會在其中定義您信任擔任角色的主體。角色信任政策是在 IAM 中連接至角色的以資源為基礎的必要政策。如需詳細資訊,請參IAM 使用者指南中的術語和概念。如需有關的服務主參與者的詳細資訊 CodeCatalyst,請參閱下列項目的服務主體 CodeCatalyst

在下列信任原則中,Principal元素中列出的服務主體會從以資源為基礎的原則授與權限,而Condition區塊則用來限制對縮短資源的存取。

"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]

在信任政策中, CodeCatalyst 服務主體會透過aws:SourceArn條件金鑰授予存取權,其中包含 CodeCatalyst 空間 ID 的 Amazon 資源名稱 (ARN)。ARN 使用下列格式:

arn:aws:codecatalyst:::space/spaceId/project/*
重要

僅在條件索引鍵中使用空格 ID,例如aws:SourceArn。請勿使用 IAM 政策陳述式中的空間 ID 做為資源 ARN。

最佳作法是在原則中盡可能減少權限的範圍。

  • 您可以在aws:SourceArn條件鍵中使用萬用字元 (*),用來指定空間中的所有專案project/*

  • 您可以在空間中的特定項目的aws:SourceArn條件鍵中指定資源級權限。project/projectId

下列項目的服務主體 CodeCatalyst

您可以在以資源為基礎的 JSON 政策中使用Principal元素來指定允許或拒絕存取資源的主體。您在信任政策中可指定的主體包含使用者、角色、帳戶和服務。您無法在以身分識別為基礎的政策中使用Principal元素;同樣地,您無法將使用者群組識別為原則中的主體 (例如以資源為基礎的政策),因為群組與權限相關,而非驗證,而主體則是經過驗證的 IAM 實體。

在信任策略中,您可以 AWS 服務 在以資源為基礎的策略的Principal元素中或在支援主體的條件索引鍵中指定。服務主體由服務定義。以下是針 CodeCatalyst對下列項目定義的服務主體:

  • 代碼催化器。Amazonaws.com-此服務主體用於將授予訪問權限的角色。 CodeCatalyst AWS

  • 代碼催化器運行者 .amazonaws.com.rproxy.goskope.com-此服務主體用於將授予工作流部署資源訪問權限的角色。 CodeCatalyst AWS CodeCatalyst

如需詳細資訊,請參閱 IAM 使用者指南中的 AWS JSON 政策元素:主體