本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的許可和範例 AWS CodeConnections
下列政策陳述式和範例可協助您管理 AWS CodeConnections。
如需有關如何使用這些範例 IAM 政策文件建立 JSON 身分型政策的資訊,請參閱 IAM 使用者指南中的在 JSON 索引標籤上建立政策。
範例: AWS CodeConnections 使用 CLI 建立和使用主控台檢視的政策
指定使用 或 AWS CLI SDK 來檢視、建立、標記或刪除連線的角色或使用者,其許可應限制如下。
注意
只具有下列許可,並無法在主控台中完成連線。您需要新增下一節中的許可。
若要使用主控台來檢視可用連線的清單、檢視標籤和使用連線,請使用下列政策。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConnectionsFullAccess", "Effect": "Allow", "Action": [ "codeconnections:CreateConnection", "codeconnections:DeleteConnection", "codeconnections:UseConnection", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:TagResource", "codeconnections:ListTagsForResource", "codeconnections:UntagResource" ], "Resource": "*" } ] }
範例: AWS CodeConnections 使用主控台建立 的政策
指定要管理在主控台中連線的角色或使用者,應具備完成主控台中的連線及建立安裝所需的許可,包括授權供應商進行交握,以及建立供連線使用的安裝。也應該新增 UseConnection 以使用主控台中的連線。請使用下列政策來在主控台中檢視、使用、建立、標記或刪除連線。
注意
從 2024 年 7 月 1 日起,主控台會在 資源 ARN codeconnections中建立與 的連線。具有兩個服務字首的資源將繼續顯示在主控台中。
注意
對於使用主控台建立的資源,政策陳述式動作必須包含 codestar-connections作為服務字首,如下列範例所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codestar-connections:CreateConnection", "codestar-connections:DeleteConnection", "codestar-connections:GetConnection", "codestar-connections:ListConnections", "codestar-connections:GetInstallationUrl", "codestar-connections:GetIndividualAccessToken", "codestar-connections:ListInstallationTargets", "codestar-connections:StartOAuthHandshake", "codestar-connections:UpdateConnectionInstallation", "codestar-connections:UseConnection", "codestar-connections:TagResource", "codestar-connections:ListTagsForResource", "codestar-connections:UntagResource" ], "Resource": [ "*" ] } ] }
範例:管理 的管理員層級政策 AWS CodeConnections
在此範例中,您想要授予 AWS 帳戶中的 IAM 使用者對 CodeConnections 的完整存取權,以便使用者可以新增、更新和刪除連線。這是完整存取政策,相當於 AWSCodePipeline_FullAccess 受管政策。如同該受管政策,您僅應將此類政策陳述式連接至需要完全管理存取您 AWS 帳戶間連線的 IAM 使用者、群組或角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConnectionsFullAccess", "Effect": "Allow", "Action": [ "codeconnections:CreateConnection", "codeconnections:DeleteConnection", "codeconnections:UseConnection", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListInstallationTargets", "codeconnections:GetInstallationUrl", "codeconnections:StartOAuthHandshake", "codeconnections:UpdateConnectionInstallation", "codeconnections:GetIndividualAccessToken", "codeconnections:TagResource", "codeconnections:ListTagsForResource", "codeconnections:UntagResource" ], "Resource": "*" } ] }
範例:使用 的貢獻者層級政策 AWS CodeConnections
在此範例中,您想要授予 day-to-day 用量的存取權 CodeConnections,例如建立和檢視連線的詳細資訊,但不要授予更具破壞性的動作,例如刪除連線。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCodeConnectionsPowerUserAccess", "Effect": "Allow", "Action": [ "codeconnections:CreateConnection", "codeconnections:UseConnection", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListInstallationTargets", "codeconnections:GetInstallationUrl", "codeconnections:GetIndividualAccessToken", "codeconnections:StartOAuthHandshake", "codeconnections:UpdateConnectionInstallation", "codeconnections:ListTagsForResource" ], "Resource": "*" } ] }
範例:使用 的 A read-only-level 政策 AWS CodeConnections
在此範例中,您想要授予帳戶中的 IAM 使用者對 AWS 帳戶中連線的唯讀存取權。此範例會示範如何建立允許檢視這些項目的政策。
{ "Version": "2012-10-17", "Id": "Connections__ReadOnly", "Statement": [ { "Sid": "Reads_API_Access", "Effect": "Allow", "Action": [ "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListInstallationTargets", "codeconnections:GetInstallationUrl", "codeconnections:ListTagsForResource" ], "Resource": "*" } ] }
範例: AWS CodeConnections 搭配指定儲存庫使用 的範圍縮減政策
在下列範例中,客戶希望 CodeBuild 服務角色存取指定的 Bitbucket 儲存庫。 CodeBuild 服務角色的政策:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "codeconnections:UseConnection" ], "Resource": "arn:aws:codeconnections:us-west-2:connection:3dee99b9-172f-4ebe-a257-722365a39557", "Condition": {"ForAllValues:StringEquals": {"codeconnections:FullRepositoryId": "myrepoowner/myreponame"}} } }
範例:使用 Word 連線的政策 CodePipeline
在下列範例中,管理員想要使用者使用與 CodePipeline 的連線。連接至使用者的政策:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "codeconnections:PassConnection" ], "Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f", "Condition": {"ForAllValues:StringEquals": {"codeconnections:PassedToService": "codepipeline.amazonaws.com"}} } }
範例:將 a CodeBuild 服務角色用於 Bitbucket 讀取操作搭配 AWS CodeConnections
在下列範例中,無論儲存庫為何,客戶都希望 CodeBuild 服務角色在 Bitbucket 上執行讀取操作。 CodeBuild 服務角色的政策:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "codeconnections:UseConnection" ], "Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f", "Condition": {"ForAllValues:StringEquals": {"codeconnections:ProviderPermissionsRequired": "read_only"}} } }
範例:限制 CodeBuild 服務角色使用 執行操作 AWS CodeConnections
在下列範例中,客戶想要防止 CodeBuild 服務角色執行 等操作CreateRepository。Word CodeBuild 服務角色的政策:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "codeconnections:UseConnection" ], "Resource": "arn:aws:codeconnections:us-west-2:connection/aEXAMPLE-8aad-4d5d-8878-dfcab0bc441f", "Condition": {"ForAllValues:StringNotEquals": {"codeconnections:ProviderAction": "CreateRepository"}} } }
