如何AWS CodeStar 使用 IAM - AWS CodeStar
AWS CodeStar以身分為基礎的原則AWS CodeStar 資源型政策以 AWS CodeStar 標籤為基礎的授權AWS CodeStar IAM角色IAM使用者存取權 AWS CodeStar聯合使用者存取 AWS CodeStar使用臨時登入資料 AWS CodeStar服務連結角色服務角色

2024 年 7 月 31 日,Amazon Web Services (AWS) 將停止建立和檢視 AWS CodeStar 專案的支援。2024 年 7 月 31 日之後,您將無法再存取 AWS CodeStar 主控台或建立新專案。但是 AWS CodeStar,由建立的 AWS 資源 (包括您的來源儲存庫、管道和組建) 將不受此變更的影響,並將繼續運作。 AWS CodeStar 連線和 AWS CodeStar 通知不會受到此停止的影響。

 

如果您想要追蹤工作、開發程式碼以及建置、測試和部署應用程式,Amazon CodeCatalyst 提供簡化的入門程序和其他功能來管理軟體專案。進一步了解 Amazon 的功能定價 CodeCatalyst。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

如何AWS CodeStar 使用 IAM

在使用IAM來管理存取權之前 AWS CodeStar,您應該瞭解哪些IAM功能可以搭配使用AWS CodeStar。若要取得有關如何AWS CodeStar 與其他 AWS 服務搭配使用的高階檢視IAM,請參閱《IAM使用者指南》IAM中的「可使用的AWS 服務」。

AWS CodeStar以身分為基礎的原則

使用以IAM身分識別為基礎的策略,您可以指定允許或拒絕的動作和資源,以及允許或拒絕處理行動的條件。 AWS CodeStar 代表您建立數個以身分識別為基礎的原則, AWS CodeStar 以便在專案範圍內建立和管理資源。 AWS CodeStar AWS CodeStar 支援特定動作、資源和條件索引鍵。若要瞭解您在JSON策略中使用的所有元素,請參閱《使用IAM者指南》中的《IAMJSON策略元素參考

動作

管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作

JSON策略Action元素描述了您可以用來允許或拒絕策略中存取的動作。策略動作通常與關聯 AWS API操作具有相同的名稱。有一些例外情況,例如沒有匹配API操作的僅限權限的操作。也有一些作業需要政策中的多個動作。這些額外的動作稱為相依動作

政策會使用動作來授予執行相關聯動作的許可。

中的策略動作在動作之前AWS CodeStar 使用下列前置詞:codestar:。例如,若要允許指定的使用IAM者編輯專案的屬性 (例如 AWS CodeStar 專案描述),您可以使用下列原則陳述式:

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codestar:UpdateProject"
      ],
      "Resource" : "arn:aws:codestar:us-east-2:project/my-first-projec"
    }
  ]
}

政策陳述式必須包含 ActionNotAction 元素。AWS CodeStar 定義了它自己的一組動作,描述您可以使用此服務執行的任務。

若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:

"Action": [
      "codestar:action1",
      "codestar:action2"

您也可以使用萬用字元 (*) 來指定多個動作。例如,若要指定開頭是 List 文字的所有動作,請包含以下動作:

"Action": "codestar:List*"

若要查看AWS CodeStar 動作清單,請參閱《IAM使用指南》AWS CodeStar中的〈定義的動作

資源

管理員可以使用 AWS JSON策略來指定誰可以存取什麼內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作

ResourceJSON原則元素會指定要套用動作的一或多個物件。陳述式必須包含 ResourceNotResource 元素。最佳做法是使用其 Amazon 資源名稱 (ARN) 指定資源。您可以針對支援特定資源類型的動作 (稱為資源層級許可) 來這麼做。

對於不支援資源層級許可的動作 (例如列出操作),請使用萬用字元 (*) 來表示陳述式適用於所有資源。

"Resource": "*"

AWS CodeStar 項目資源具有以下內容ARN:

arn:aws:codestar:region:account:project/resource-specifier

如需的格式的詳細資訊ARNs,請參閱 Amazon 資源名稱 (ARNs) 和 AWS 服務命名空間

例如,以下111111111111內容指定my-first-projec註冊到該 AWS 區域中的 AWS 帳戶名為的 AWS CodeStar 項目us-east-2

arn:aws:codestar:us-east-2:111111111111:project/my-first-projec

以下111111111111內容指定以my-proj註冊到該 AWS 地區 AWS 帳戶的名稱開頭的任何 AWS CodeStar 專案us-east-2

arn:aws:codestar:us-east-2:111111111111:project/my-proj*

某些AWS CodeStar 動作 (例如列出專案) 無法對資源執行。在這些情況下,您必須使用萬用字元 (*)。

"LisProjects": "*"

若要查看AWS CodeStar 資源類型及其清單ARNs,請參閱《IAM使用指南》AWS CodeStar中的〈定義的資源。若要瞭解您可以針對每個資源指定ARN哪些動作,請參閱定義的動作AWS CodeStar

條件金鑰

AWS CodeStar 不提供任何服務特定的條件金鑰,但它確實支援使用某些全域條件金鑰。若要查看所有 AWS 全域條件索引鍵,請參閱使用指南中的AWS 全域條件內IAM容索引

範例

若要檢視以AWS CodeStar 身分為基礎的原則範例,請參閱。AWS CodeStar 身分型政策範例

AWS CodeStar 資源型政策

AWS CodeStar 不支援以資源為基礎的政策。

以 AWS CodeStar 標籤為基礎的授權

您可以將標籤附加至AWS CodeStar 專案,或將請求中的標籤傳遞給AWS CodeStar。如需根據標籤控制存取,請使用 codestar:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys 條件索引鍵,在政策的條件元素中,提供標籤資訊。如需標記AWS CodeStar 資源的更多資訊,請參閱在 AWS CodeStar 中使用專案標籤

若要檢視以身分識別為基礎的範例原則,以根據該 AWS CodeStar 專案的標記限制對專案的存取,請參閱。根據標籤檢視 AWS CodeStar 專案

AWS CodeStar IAM角色

IAM角色是您 AWS 帳戶中具有特定權限的實體。

您可以 AWS CodeStar 作為使用IAM者、同盟使用者、根使用者或假定的角色使用。具有適當權限的所有使用者類型都可以管理其 AWS 資源的專案權限,但會自動為使IAM用者 AWS CodeStar 管理專案權限。IAM原則角色會根據專案角色授與該使用者的權限和存取權。您可以使用主IAM控台建立其他規則,以指派給使用IAM者 AWS CodeStar 和其他權限。

例如,您可能想要讓使用者檢視但不能變更 AWS CodeStar 專案。在此情況下,您可以將IAM使用者加入至具有檢視者角色的 AWS CodeStar 專案。每個 AWS CodeStar 專案都有一組原則,可協助您控制專案的存取權。此外,您還可以控制哪些使用者可以存取 AWS CodeStar。

AWS CodeStar 對於使用者和同盟IAM使用者,存取的處理方式不同。只有IAM使用者可以新增至團隊。若要授與使IAM用者專案的權限,您可以將使用者加入至專案小組,並為使用者指派角色。若要將同盟使用者權限授與專案,您可以手動將 AWS CodeStar 專案角色的受管理原則附加至同盟使用者的角色。

下表總結各種存取類型可用的工具。

許可功能 IAM使用者 聯合身分使用者 根使用者
SSHAmazon EC2 和 Elastic Beanstalk 項目的遠端存取的密鑰管理 Checkmark symbol indicating completion or confirmation.
AWS CodeCommit SSH存取 Checkmark symbol indicating completion or confirmation.
IAM管理的使用者權限 AWS CodeStar Checkmark symbol indicating completion or confirmation.
手動管理的專案許可 Checkmark symbol indicating completion or confirmation. Checkmark symbol indicating completion or confirmation.
使用者可新增至專案做為團隊成員 Checkmark symbol indicating completion or confirmation.

IAM使用者存取權 AWS CodeStar

當您將IAM使用者新增至專案並為使用者選擇角色時,會自動將適當的策略 AWS CodeStar 套用至IAM使用者。對於IAM使用者,您不需要直接附加或管理中的原則或權限IAM。若要取得有關將IAM使用者加入至 AWS CodeStar 專案的資訊,請參閱〈〉新增團隊成員到 AWS CodeStar 專案 。若要取得有關從 AWS CodeStar 專案移除IAM使用者的資訊,請參閱〈〉從 AWS CodeStar 專案移除團隊成員

將內嵌原則附加至IAM使用者

當您將使用者新增至專案時, AWS CodeStar 會自動附加與使用者角色相符之專案的受管理原則。您不應手動將專案的 AWS CodeStar 受管理原則附加至IAM使用者。除此之外AWSCodeStarFullAccess,我們不建議您在 AWS CodeStar 專案中附加變更IAM使用者權限的策略。如果您決定建立並附加自己的策略,請參閱《IAM使用指南》中的〈新增和移除IAM身分識別權限

聯合使用者存取 AWS CodeStar

您可以使用來 AWS Directory Service自企業使用IAM者目錄、Web 身分識別提供者或擔任角色的使用者的使用者識別,而不是建立使用IAM者或使用 root 使用者。這些稱為「聯合身分使用者」

透過手動將 AWS CodeStar 專案AWS CodeStar 層級政策和權限中所述的受管理策略附加到使用者的角色,以授予同盟使用者對您專案的存取權。IAM AWS CodeStar 建立專案資源和IAM角色之後,您可以附加擁有者、參與者或檢視者原則。

先決條件:

  • 您必須已設定身分提供者。例如,您可以設定SAML身分識別提供者,並透過提供者設定 AWS 驗證。如需設定身分識別提供者的詳細資訊,請參閱建立IAM身分識別提供者。如需SAML同盟的詳細資訊,請參閱關於SAML以 2.0 為基礎的聯合

  • 透過身分提供者身分提供者請求存取時,您必須已經建立要讓聯合身分使用者擔任的角色。STS信任原則必須附加至允許同盟使用者擔任該角色的角色。如需詳細資訊,請參閱《使IAM者指南》中的「同盟使用者和角色」。

  • 您必須已經創建了 AWS CodeStar 項目並知道項目 ID。

如需有關為身分提供者建立角色的詳細資訊,請參閱為第三方身分提供者 (聯合身分) 建立角色

將 AWSCodeStarFullAccess 受管理的原則附加至同盟使用者的角色

連接 AWSCodeStarFullAccess 受管政策以授予聯合身分使用者建立專案的許可。若要執行這些步驟,您必須以 root 使用者、帳戶中的系統管理員使用者身分登入主控台,或是具有關聯AdministratorAccess受管理策略IAM或同等策略的使用者或同盟使用者身分登入主控台。

注意

在您建立專案之後,不會自動套用您的專案擁有者權限。使用具有您帳戶的管理許可的角色,連接擁有者受管政策,如將專案的 AWS CodeStar 檢視者/參與者/擁有者管理的原則附加至同盟使用者的角色中所述。

  1. 開啟主IAM控台。在導覽窗格中,選擇政策

  2. 在搜尋欄位中輸入 AWSCodeStarFullAccess。此時會顯示策略名稱,其策略類型為 AWS Managed。您可以擴展政策以查看政策陳述式中的許可。

  3. 選取政策旁的圓圈,然後在 Policy actions (政策動作) 下方選擇 Attach (連接)

  4. Summary (摘要) 頁面上選擇 Attached entities (連接的實體) 索引標籤。選擇 Attach (連接)。

  5. Attach Policy (連接政策) 頁面上,在搜尋欄位中篩選聯合身分使用者的角色。選取角色名稱旁邊的方塊,然後選擇 Attach policy (連接政策)Attached entities (連接的實體) 索引標籤將會顯示新的連接。

將專案的 AWS CodeStar 檢視者/參與者/擁有者管理的原則附加至同盟使用者的角色

將適當的 擁有者、作者群或檢視者受管政策連接至使用者的角色,藉此授予聯合身分使用者存取您的專案。受管政策可提供適當的許可層級。與IAM使用者不同,您必須為同盟使用者手動連結和中斷連結受管理的原則。這等同於將專案權限指派給中的專案團隊成員 AWS CodeStar。若要執行這些步驟,您必須以 root 使用者、帳戶中的系統管理員使用者身分登入主控台,或是具有關聯AdministratorAccess受管理策略IAM或同等策略的使用者或同盟使用者身分登入主控台。

先決條件:

  • 您必須已經建立您的聯合身分使用者將要擔任的角色或已擁有現有的角色。

  • 您必須知道您要授予哪個許可層級。連接至擁有者、作者群及檢視者角色的受管政策,為您的專案提供以角色為基礎的許可。

  • 您的 AWS CodeStar 專案必須已建立完成。在建立專案IAM之前,無法在中使用受管理的策略。

  1. 開啟主IAM控台。在導覽窗格中,選擇政策

  2. 在搜尋欄位中輸入您的專案 ID。此時將會顯示符合您專案的政策名稱,其政策類型為 Customer managed (客戶受管)。您可以擴展政策以查看政策陳述式中的許可。

  3. 選擇下列其中一項受管政策。選取政策旁的圓圈,然後在 Policy actions (政策動作) 下方選擇 Attach (連接)

  4. Summary (摘要) 頁面上選擇 Attached entities (連接的實體) 索引標籤。選擇 Attach (連接)。

  5. Attach Policy (連接政策) 頁面上,在搜尋欄位中篩選聯合身分使用者的角色。選取角色名稱旁邊的方塊,然後選擇 Attach policy (連接政策)Attached entities (連接的實體) 索引標籤將會顯示新的連接。

從同盟使用者的角色中斷連結 AWS CodeStar 受管理的策略

刪除 AWS CodeStar 專案之前,您必須手動卸離任何已附加至同盟使用者角色的受管理原則。若要執行這些步驟,您必須以 root 使用者、帳戶中的系統管理員使用者身分登入主控台,或是具有關聯AdministratorAccess受管理策略IAM或同等策略的使用者或同盟使用者身分登入主控台。

  1. 開啟主IAM控台。在導覽窗格中,選擇政策

  2. 在搜尋欄位中輸入您的專案 ID。

  3. 選取政策旁的圓圈,然後在 Policy actions (政策動作) 下方選擇 Attach (連接)

  4. Summary (摘要) 頁面上選擇 Attached entities (連接的實體) 索引標籤。

  5. 在搜尋欄位中篩選聯合身分使用者的角色。請選擇分離

將 AWS Cloud9 受管理的原則附加至同盟使用者的角色

如果您使用的是 AWS Cloud9 開發環境,請將AWSCloud9User受管理的原則附加至使用者的角色,以授與同盟使用者的存取權。與IAM使用者不同,您必須為同盟使用者手動連結和中斷連結受管理的原則。若要執行這些步驟,您必須以 root 使用者、帳戶中的系統管理員使用者身分登入主控台,或是具有關聯AdministratorAccess受管理策略IAM或同等策略的使用者或同盟使用者身分登入主控台。

先決條件:

  • 您必須已經建立您的聯合身分使用者將要擔任的角色或已擁有現有的角色。

  • 您必須知道您要授予哪個許可層級:

    • AWSCloud9User 受管政策允許使用者執行下列動作:

      • 建立自己的 AWS Cloud9 開發環境。

      • 取得其環境的相關資訊。

      • 變更其環境的設定。

    • AWSCloud9Administrator 受管政策允許使用者為自己或其他使用者執行下列動作:

      • 建立環境。

      • 取得環境的相關資訊。

      • 刪除環境。

      • 變更環境的設定。

  1. 開啟主IAM控台。在導覽窗格中,選擇政策

  2. 在搜尋欄位中輸入政策名稱。隨即顯示受管理的策略,其策略類型為受AWS 管理。您可以擴展政策以查看政策陳述式中的許可。

  3. 選擇下列其中一項受管政策。選取政策旁的圓圈,然後在 Policy actions (政策動作) 下方選擇 Attach (連接)

  4. Summary (摘要) 頁面上選擇 Attached entities (連接的實體) 索引標籤。選擇 Attach (連接)。

  5. Attach Policy (連接政策) 頁面上,在搜尋欄位中篩選聯合身分使用者的角色。選擇角色名稱旁邊的方塊,然後選擇 Attach policy (連接政策)Attached entities (連接的實體) 索引標籤將會顯示新的連接。

從同盟使用者的角色中斷連結 AWS Cloud9 受管理的策略

如果您使用的是 AWS Cloud9 開發環境,您可以透過卸離授與存取權的原則來移除聯合身分使用者的存取權。若要執行這些步驟,您必須以 root 使用者、帳戶中的系統管理員使用者身分登入主控台,或是具有關聯AdministratorAccess受管理策略IAM或同等策略的使用者或同盟使用者身分登入主控台。

  1. 開啟主IAM控台。在導覽窗格中,選擇政策

  2. 在搜尋欄位中輸入您的專案名稱。

  3. 選取政策旁的圓圈,然後在 Policy actions (政策動作) 下方選擇 Attach (連接)

  4. Summary (摘要) 頁面上選擇 Attached entities (連接的實體) 索引標籤。

  5. 在搜尋欄位中篩選聯合身分使用者的角色。請選擇分離

使用臨時登入資料 AWS CodeStar

您可以使用臨時認證登入同盟、擔任IAM角色或擔任跨帳戶角色。您可以透過呼叫AssumeRole或之類的 AWS STS API作業來取得臨時安全登入資料GetFederationToken

AWS CodeStar 支援使用臨時認證,但 AWS CodeStar 團隊成員功能不適用於聯合存取。 AWS CodeStar 小組成員功能僅支援將IAM使用者新增為團隊成員。

服務連結角色

服務連結角色可讓 AWS 服務存取其他服務中的資源,以代表您完成動作。服務連結角色會顯示在您的IAM帳戶中,且屬於服務所有。 管理員可以檢視,但不能編輯服務連結角色的許可。

AWS CodeStar 不支援服務連結角色。

服務角色

此功能可讓服務代表您擔任服務角色。此角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會顯示在您的IAM帳戶中,且屬於帳戶所有。這表示 管理員可以變更此角色的許可。不過,這樣可能會破壞此服務的功能。

AWS CodeStar 支援服務角色。 AWS CodeStar 在為您的專案建立和管理資源時 aws-codestar-service-role,會使用服務角色。如需詳細資訊,請參閱IAM使用指南中的角色術語和概念

重要

您必須以 管理員使用者或根帳戶身分登入來建立此服務角色。如需詳細資訊,請參閱使用指南中的「僅首次存取:您的 root 使用者認證」和「建立您的第一個管理員IAM使用者和群組」。

此角色是在中第一次建立專案時為您建立的 AWS CodeStar。此服務角色將代表您:

  • 建立您在建立專案時選擇的資源。

  • 在 AWS CodeStar 專案儀表板中顯示有關這些資源的資訊。

它也可以在您管理專案的資源時代表您。如需此政策陳述式的範例,請參閱 AWSCodeStarServiceRole 政策

此外,還會根據專案類型 AWS CodeStar 建立數個專案特定的服務角色。 AWS CloudFormation 而且會針對每個專案類型建立工具鏈角色。

  • AWS CloudFormation 角色允 AWS CodeStar 許訪問 AWS CloudFormation 以創建和修改 AWS CodeStar 項目的堆棧。

  • 工具鏈角色可 AWS CodeStar 讓您存取其他 AWS 服務,以建立和修改 AWS CodeStar 專案的資源。