本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
開發人員工具主控台中的功能如何搭配 使用 IAM
使用 IAM 管理 開發人員工具主控台中功能的存取之前,您應該了解哪些IAM功能可供搭配使用。若要取得通知和其他 AWS 服務如何與 搭配使用的高階檢視IAM,請參閱 IAM 使用者指南 中的AWS 使用 的服務IAM。
開發人員工具主控台中的身分型政策
透過身分IAM型政策,您可以指定允許或拒絕的動作和資源,以及允許或拒絕動作的條件。 AWS CodeStar 通知並 AWS CodeConnections 支援特定動作、資源和條件金鑰。若要了解您在JSON政策中使用的所有元素,請參閱 IAM 使用者指南 中的IAMJSON政策元素參考。
動作
管理員可以使用 AWS JSON政策來指定誰可以存取什麼。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
JSON 政策的 Action元素說明您可以用來允許或拒絕政策中存取的動作。政策動作通常具有與相關聯 AWS API操作相同的名稱。有一些例外狀況,例如沒有相符API操作的僅限許可動作。也有一些作業需要政策中的多個動作。這些額外的動作稱為相依動作。
政策會使用動作來授予執行相關聯動作的許可。
開發人員工具主控台中通知的政策動作在動作前面使用下列字首:codestar-notifications and codeconnections。例如,若要授予某人檢視其帳戶中的所有通知規則,請在其政策中包含 codestar-notifications:ListNotificationRules 動作。政策陳述式必須包含 Action或 NotAction元素。 AWS CodeStar 通知並 AWS CodeConnections 定義自己的動作集,描述您可以使用此服務執行的任務。
若要在單一陳述式中指定多個 AWS CodeStar 通知動作,請以逗號分隔它們,如下所示。
"Action": [ "codestar-notifications:action1", "codestar-notifications:action2"
若要在單一陳述式中指定多個 AWS CodeConnections 動作,請以逗號分隔它們,如下所示。
"Action": [ "codeconnections:action1", "codeconnections:action2"
您也可以使用萬用字元 (*) 來指定多個動作。例如,如需指定開頭是 List 文字的所有動作,請包含以下動作:
"Action": "codestar-notifications:List*"
AWS CodeStar 通知API動作包括:
-
CreateNotificationRule -
DeleteNotificationRule -
DeleteTarget -
DescribeNotificationRule -
ListEventTypes -
ListNotificationRules -
ListTagsForResource -
ListTargets -
Subscribe -
TagResource -
Unsubscribe -
UntagResource -
UpdateNotificationRule
AWS CodeConnections API 動作包括下列項目:
-
CreateConnection -
DeleteConnection -
GetConnection -
ListConnections -
ListTagsForResource -
TagResource -
UntagResource
在 中需要下列僅限許可的動作, AWS CodeConnections 才能完成身分驗證交握:
-
GetIndividualAccessToken -
GetInstallationUrl -
ListInstallationTargets -
StartOAuthHandshake -
UpdateConnectionInstallation
在 中需要下列僅限許可的動作 AWS CodeConnections 才能使用連線:
-
UseConnection
在 中需要下列僅限許可的動作, AWS CodeConnections 才能將連線傳遞至 服務:
-
PassConnection
若要查看 AWS CodeStar 通知和 AWS CodeConnections 動作清單,請參閱 IAM 使用者指南 中的由 AWS CodeStar 通知和動作定義的動作 AWS CodeConnections。
資源
AWS CodeStar 通知 和 AWS CodeConnections 不支援在政策ARNs中指定資源。
條件索引鍵
AWS CodeStar 通知和 AWS CodeConnections 定義自己的條件金鑰集,並支援使用某些全域條件金鑰。若要查看所有 AWS 全域條件索引鍵,請參閱 IAM 使用者指南 中的AWS 全域條件內容索引鍵。
所有 AWS CodeStar 通知動作都支援codestar-notifications:NotificationsForResource條件金鑰。如需詳細資訊,請參閱 身分型政策範例。
AWS CodeConnections 定義可用於IAM政策Condition元素的下列條件索引鍵。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需詳細資訊,請參閱AWS CodeConnections 許可參考。
| 條件索引鍵 | 描述 |
|---|---|
|
|
根據第三方儲存庫的分支名稱來篩選存取權 |
|
|
透過請求中傳遞的儲存庫來篩選存取。僅適用於用來存取特定儲存庫的 UseConnection 請求 |
codeconnections:InstallationId |
根據用來更新連線的第三方 ID (例如 Bitbucket 應用程式安裝 ID) 來篩選存取權。可讓您限制哪些第三方應用程式安裝可以用來建立連線 |
codeconnections:OwnerId |
根據第三方供應商的擁有者或帳戶 ID 來篩選存取權 |
|
|
根據委託人允許傳遞連線的服務來篩選存取權 |
|
|
根據 UseConnection 請求中的供應商動作 (例如 ListRepositories) 來篩選存取權。 |
codeconnections:ProviderPermissionsRequired |
根據第三方供應商許可類型來篩選存取權 |
|
|
根據請求中傳遞的第三方供應商類型來篩選存取 |
codeconnections:ProviderTypeFilter |
根據用來篩選結果的第三方供應商類型來篩選存取 |
codeconnections:RepositoryName |
根據第三方儲存庫名稱來篩選存取權 |
範例
若要檢視 AWS CodeStar 通知和身分 AWS CodeConnections 型政策的範例,請參閱 身分型政策範例。
AWS CodeStar 通知 AWS CodeConnections 和資源型政策
AWS CodeStar 通知 和 AWS CodeConnections 不支援資源型政策。
以標籤為基礎的授權
您可以將標籤連接至 AWS CodeStar 通知 AWS CodeConnections 和資源,或在請求中傳遞標籤。如需根據標籤控制存取,請使用 codestar-notifications and codeconnections:ResourceTag/、key-nameaws:RequestTag/ 或 key-nameaws:TagKeys 條件索引鍵,在政策的條件元素中,提供標籤資訊。如需標記策略的詳細資訊,請參閱標記 AWS 資源 。如需標記 AWS CodeStar 通知 AWS CodeConnections 和資源的詳細資訊,請參閱 標記連線資源。
若要檢視身分型政策範例,用於根據該資源的標籤來限制資源的存取權,請參閱「使用標籤控制對 AWS CodeConnections 資源的存取」。
IAM 角色
IAM 角色是您 AWS 帳戶中具有特定許可的實體。
使用暫時登入資料
您可以使用臨時憑證來登入聯合,並擔任IAM角色或跨帳戶角色。您可以透過呼叫 AWS STS API AssumeRole或 等操作來取得臨時安全憑證GetFederationToken。
AWS CodeStar 通知並 AWS CodeConnections 支援使用臨時憑證。
服務連結角色
服務連結角色可讓 AWS 服務存取其他服務中的資源,以代表您完成動作。服務連結角色會顯示在您的帳戶中IAM,並由 服務擁有。IAM 管理員可以檢視但無法編輯服務連結角色的許可。
AWS CodeStar 通知支援服務連結角色。如需建立或管理 AWS CodeStar 通知 AWS CodeConnections 和服務連結角色的詳細資訊,請參閱 針 AWS CodeStar 對通知使用服務連結角色。
CodeConnections 不支援服務連結角色。
