Das CodeCatalyst Vertrauensmodell verstehen

Das CodeCatalyst Vertrauensmodell von Amazon CodeCatalyst ermöglicht es, die Servicerolle im verbundenen Bereich zu übernehmen AWS-Konto. Das Modell verbindet die IAM-Rolle, die CodeCatalyst Serviceprinzipale und den CodeCatalyst Bereich. Die Vertrauensrichtlinie verwendet den aws:SourceArn Bedingungsschlüssel, um Berechtigungen für den im Bedingungsschlüssel angegebenen CodeCatalyst Bereich zu gewähren. Weitere Informationen zu diesem Bedingungsschlüssel finden Sie unter aws: SourceArn im IAM-Benutzerhandbuch.

Eine Vertrauensrichtlinie ist ein JSON-Richtliniendokument, in dem Sie die Prinzipale definieren, denen Sie bei der Übernahme der Rolle vertrauen. Eine Rollenvertrauensrichtlinie ist eine erforderliche ressourcenbasierte Richtlinie die einer Rolle in IAM angefügt ist. Weitere Informationen finden Sie unter Begriffe und Konzepte im IAM-Benutzerhandbuch. Einzelheiten zu den Service Principals für finden Sie CodeCatalyst unter. Dienstprinzipale für CodeCatalyst

In der folgenden Vertrauensrichtlinie werden den im Principal Element aufgelisteten Dienstprinzipalen Berechtigungen aus der ressourcenbasierten Richtlinie gewährt, und der Condition Block wird verwendet, um den Zugriff auf die Ressource mit eingeschränktem Gültigkeitsbereich zu beschränken.

"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
             "Principal": { 
                "Service": [ 
                    "codecatalyst-runner.amazonaws.com",
                    "codecatalyst.amazonaws.com" 
                ] 
            }, 
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
                }
            }
        }
    ]

In der Vertrauensrichtlinie erhalten die CodeCatalyst Service Principals Zugriff über den aws:SourceArn Bedingungsschlüssel, der den Amazon-Ressourcennamen (ARN) für die CodeCatalyst Space-ID enthält. Der ARN verwendet das folgende Format:

arn:aws:codecatalyst:::space/spaceId/project/*

Wichtig

Verwenden Sie die Space-ID nur in Bedingungsschlüsseln, wie aws:SourceArn z. Verwenden Sie die Space-ID in IAM-Richtlinienanweisungen nicht als Ressourcen-ARN.

Es hat sich bewährt, die Berechtigungen in der Richtlinie so weit wie möglich einzuschränken.

• Sie können den Platzhalter (*) im aws:SourceArn Bedingungsschlüssel verwenden, um alle Projekte in dem Bereich mit project/* anzugeben.

• Sie können im aws:SourceArn Bedingungsschlüssel Berechtigungen auf Ressourcenebene für ein bestimmtes Projekt im Bereich mit angeben. project/projectId

Dienstprinzipale für CodeCatalyst

Sie verwenden das Principal Element in einer ressourcenbasierten JSON-Richtlinie, um den Prinzipal anzugeben, dem der Zugriff auf eine Ressource gewährt oder verweigert wird. Zu den Auftraggeber, die Sie in der Vertrauensrichtlinie angeben können, gehören Benutzer, Rollen, Konten und Services. Sie können das Principal Element nicht in einer identitätsbasierten Richtlinie verwenden. Ebenso können Sie eine Benutzergruppe nicht als Principal in einer Richtlinie (z. B. einer ressourcenbasierten Richtlinie) identifizieren, da sich Gruppen auf Berechtigungen und nicht auf Authentifizierung beziehen und Prinzipale authentifizierte IAM-Entitäten sind.

In der Vertrauensrichtlinie können Sie im Principal Element einer ressourcenbasierten Richtlinie AWS-Services oder in Bedingungsschlüsseln angeben, dass Prinzipale unterstützt werden. Dienstprinzipale werden durch den Dienst definiert. Im Folgenden sind die Dienstprinzipale definiert für: CodeCatalyst

• codecatalyst.amazonaws.com — Dieser Service Principal wird für eine Rolle verwendet, die Zugriff gewährt auf. CodeCatalyst AWS

• codecatalyst-runner.amazonaws.com — Dieser Service Principal wird für eine Rolle verwendet, die Zugriff auf Ressourcen in Bereitstellungen für Workflows gewährt. CodeCatalyst AWS CodeCatalyst

Weitere Informationen finden Sie unter AWS JSON-Richtlinienelemente: Principal im IAM-Benutzerhandbuch.