Berechtigungen in Zusammenhang mit Benachrichtigungen in verwalteten Vollzugriffsrichtlinien Berechtigungen in Zusammenhang mit Benachrichtigungen in schreibgeschützten verwalteten Richtlinien Berechtigungen in Zusammenhang mit Benachrichtigungen in anderen verwalteten Richtlinien Beispiel: Eine Richtlinie auf Administratorebene für die Verwaltung von Benachrichtigungen AWS CodeStar Beispiel: Eine Richtlinie auf Mitwirkendenebene für die Verwendung von Benachrichtigungen AWS CodeStar Beispiel: Eine read-only-level Richtlinie für die Verwendung von AWS CodeStar Benachrichtigungen

Berechtigungen und Beispiele für AWS CodeStar Benachrichtigungen

Die folgenden Richtlinienerklärungen und Beispiele können Ihnen bei der Verwaltung von AWS CodeStar Benachrichtigungen helfen.

Berechtigungen in Zusammenhang mit Benachrichtigungen in verwalteten Vollzugriffsrichtlinien

Die AWSCodePipeline_FullAccessverwalteten Richtlinien AWSCodeCommitFullAccessAWSCodeBuildAdminAccessAWSCodeDeployFullAccess,, und enthalten die folgenden Anweisungen, um vollen Zugriff auf Benachrichtigungen in der Developer Tools-Konsole zu ermöglichen. Benutzer, für die eine dieser verwalteten Richtlinien angewendet ist, können auch Amazon-SNS-Themen für Benachrichtigungen erstellen und verwalten, Benutzer für Themen abonnieren und Abonnements beenden sowie Themen auflisten, die als Ziele für Benachrichtigungsregeln ausgewählt werden sollen.

Anmerkung

In der verwalteten Richtlinie hat der Bedingungsschlüssel codestar-notifications:NotificationsForResource einen für den Ressourcentyp für den Service spezifischen Wert. In der Vollzugriffsrichtlinie für CodeCommit lautet der Wert beispielsweisearn:aws:codecommit:*.


    {
        "Sid": "CodeStarNotificationsReadWriteAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:CreateNotificationRule",
            "codestar-notifications:DescribeNotificationRule",
            "codestar-notifications:UpdateNotificationRule",
            "codestar-notifications:DeleteNotificationRule",
            "codestar-notifications:Subscribe",
            "codestar-notifications:Unsubscribe"
        ],
        "Resource": "*",
        "Condition" : {
            "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:<vendor-code>:*"} 
        }
    },    
    {
        "Sid": "CodeStarNotificationsListAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:ListNotificationRules",
            "codestar-notifications:ListTargets",
            "codestar-notifications:ListTagsforResource",
            "codestar-notifications:ListEventTypes"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CodeStarNotificationsSNSTopicCreateAccess",
        "Effect": "Allow",
        "Action": [
            "sns:CreateTopic",
            "sns:SetTopicAttributes"
        ],
        "Resource": "arn:aws:sns:*:*:codestar-notifications*"
    },
    {
        "Sid": "SNSTopicListAccess",
        "Effect": "Allow",
        "Action": [
            "sns:ListTopics"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CodeStarNotificationsChatbotAccess",
        "Effect": "Allow",
        "Action": [
            "chatbot:DescribeSlackChannelConfigurations",
            "chatbot:ListMicrosoftTeamsChannelConfigurations"
          ],
       "Resource": "*"
    }

Berechtigungen in Zusammenhang mit Benachrichtigungen in schreibgeschützten verwalteten Richtlinien

Die AWSCodePipeline_ReadOnlyAccessverwalteten Richtlinien AWSCodeCommitReadOnlyAccessAWSCodeBuildReadOnlyAccessAWSCodeDeployReadOnlyAccess,, und enthalten die folgenden Anweisungen, um den schreibgeschützten Zugriff auf Benachrichtigungen zu ermöglichen. So können beispielsweise Benachrichtigungen für Ressourcen in der Entwicklertools-Konsole angezeigt, nicht jedoch erstellt, verwaltet oder abonniert werden.

Anmerkung


   {
        "Sid": "CodeStarNotificationsPowerUserAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:DescribeNotificationRule"
        ],
        "Resource": "*",
        "Condition" : {
            "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:<vendor-code>:*"} 
        }
    },    
    {
        "Sid": "CodeStarNotificationsListAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:ListNotificationRules",
            "codestar-notifications:ListEventTypes",
            "codestar-notifications:ListTargets"
        ],
        "Resource": "*"
    }

Berechtigungen in Zusammenhang mit Benachrichtigungen in anderen verwalteten Richtlinien

Die AWSCodeBuildDeveloperAccessverwalteten Richtlinien AWSCodeCommitPowerUserAWSCodeBuildDeveloperAccess, und enthalten die folgenden Anweisungen, damit Entwickler, auf die eine dieser verwalteten Richtlinien angewendet wurde, Benachrichtigungen erstellen, bearbeiten und abonnieren können. Sie können Benachrichtigungsregeln nicht löschen und auch keine Tags für Ressourcen verwalten.

Anmerkung


    {
        "Sid": "CodeStarNotificationsReadWriteAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:CreateNotificationRule",
            "codestar-notifications:DescribeNotificationRule",
            "codestar-notifications:UpdateNotificationRule",
            "codestar-notifications:Subscribe",
            "codestar-notifications:Unsubscribe"
        ],
        "Resource": "*",
        "Condition" : {
            "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:<vendor-code>:*"} 
        }
    },    
    {
        "Sid": "CodeStarNotificationsListAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:ListNotificationRules",
            "codestar-notifications:ListTargets",
            "codestar-notifications:ListTagsforResource",
            "codestar-notifications:ListEventTypes"
        ],
        "Resource": "*"
    },
    {
        "Sid": "SNSTopicListAccess",
        "Effect": "Allow",
        "Action": [
            "sns:ListTopics"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CodeStarNotificationsChatbotAccess",
        "Effect": "Allow",
        "Action": [
            "chatbot:DescribeSlackChannelConfigurations",
            "chatbot:ListMicrosoftTeamsChannelConfigurations"
          ],
       "Resource": "*"
    }

Beispiel: Eine Richtlinie auf Administratorebene für die Verwaltung von Benachrichtigungen AWS CodeStar

In diesem Beispiel möchten Sie einem IAM-Benutzer in Ihrem AWS Konto vollen Zugriff auf AWS CodeStar Benachrichtigungen gewähren, sodass der Benutzer die Details der Benachrichtigungsregeln überprüfen und Benachrichtigungsregeln, Ziele und Ereignistypen auflisten kann. Sie möchten dem Benutzer außerdem Berechtigungen zum Hinzufügen, Ändern und Löschen von Benachrichtigungsregeln gewähren. Dies ist eine Vollzugriffsrichtlinie, die den Benachrichtigungsberechtigungen entspricht, die in den AWSCodeBuildAdminAccess, AWSCodeCommitFullAccessAWSCodeDeployFullAccess, und AWSCodePipeline_FullAccessverwalteten Richtlinien enthalten sind. Wie bei diesen verwalteten Richtlinien sollten Sie diese Art von Richtlinienerklärung nur IAM-Benutzern, -Gruppen oder -Rollen anhängen, die vollen Administratorzugriff auf Benachrichtigungen und Benachrichtigungsregeln in Ihrem gesamten AWS Konto benötigen.

Anmerkung

Diese Richtlinie beinhaltet CreateNotificationRule. Jeder Benutzer, für den diese Richtlinie auf seinen IAM-Benutzer oder seine IAM-Rolle angewendet wird, kann Benachrichtigungsregeln für alle Ressourcentypen erstellen, die von AWS CodeStar Benachrichtigungen im AWS Konto unterstützt werden, auch wenn dieser Benutzer selbst keinen Zugriff auf diese Ressourcen hat. Ein Benutzer mit dieser Richtlinie könnte beispielsweise eine Benachrichtigungsregel für ein CodeCommit Repository erstellen, ohne über die erforderlichen Zugriffsrechte zu verfügen CodeCommit.


{
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "AWSCodeStarNotificationsFullAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:CreateNotificationRule",
            "codestar-notifications:DeleteNotificationRule",
            "codestar-notifications:DescribeNotificationRule",
            "codestar-notifications:ListNotificationRules",
            "codestar-notifications:UpdateNotificationRule",
            "codestar-notifications:Subscribe",
            "codestar-notifications:Unsubscribe",
            "codestar-notifications:DeleteTarget",
            "codestar-notifications:ListTargets",
            "codestar-notifications:ListTagsforResource",
            "codestar-notifications:TagResource",
            "codestar-notifications:UntagResource"
        ],
        "Resource": "*"
     }
   ]
}

Beispiel: Eine Richtlinie auf Mitwirkendenebene für die Verwendung von Benachrichtigungen AWS CodeStar

In diesem Beispiel möchten Sie Zugriff auf die day-to-day Verwendung von AWS CodeStar Benachrichtigungen gewähren, z. B. auf das Erstellen und Abonnieren von Benachrichtigungen, aber nicht auf destruktivere Aktionen wie das Löschen von Benachrichtigungsregeln oder -zielen. Dies entspricht dem Zugriff, der in den AWSCodeCommitPowerUserverwalteten Richtlinien AWSCodeBuildDeveloperAccessAWSCodeDeployDeveloperAccess, und bereitgestellt wird.

Anmerkung

Diese Richtlinie beinhaltet CreateNotificationRule. Jeder Benutzer, für den diese Richtlinie auf seinen IAM-Benutzer oder seine IAM-Rolle angewendet wurde, kann Benachrichtigungsregeln für alle Ressourcentypen erstellen, die von AWS CodeStar Benachrichtigungen im AWS Konto unterstützt werden, auch wenn dieser Benutzer selbst keinen Zugriff auf diese Ressourcen hat. Ein Benutzer mit dieser Richtlinie könnte beispielsweise eine Benachrichtigungsregel für ein CodeCommit Repository erstellen, ohne über die erforderlichen Zugriffsrechte zu verfügen CodeCommit.


{
    "Version": "2012-10-17",
    "Sid": "AWSCodeStarNotificationsPowerUserAccess",
        "Effect": "Allow",
        "Action": [
            "codestar-notifications:CreateNotificationRule",
            "codestar-notifications:DescribeNotificationRule",
            "codestar-notifications:ListNotificationRules",
            "codestar-notifications:UpdateNotificationRule",
            "codestar-notifications:Subscribe",
            "codestar-notifications:Unsubscribe",
            "codestar-notifications:ListTargets",
            "codestar-notifications:ListTagsforResource"
        ],
        "Resource": "*"
        }
    ]
}

Beispiel: Eine read-only-level Richtlinie für die Verwendung von AWS CodeStar Benachrichtigungen

In diesem Beispiel möchten Sie einem IAM-Benutzer in Ihrem Konto schreibgeschützten Zugriff auf die Benachrichtigungsregeln, Ziele und Ereignistypen in Ihrem AWS -Konto gewähren. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die die Anzeige dieser Elemente gestattet. Dies entspricht den Berechtigungen, die in den AWSCodePipeline_ReadOnlyAccessverwalteten Richtlinien AWSCodeBuildReadOnlyAccessAWSCodeCommitReadOnly, und enthalten sind.


{
    "Version": "2012-10-17",
    "Id": "CodeNotification__ReadOnly",
    "Statement": [
        {
            "Sid": "Reads_API_Access",
            "Effect": "Allow",
            "Action": [
                "CodeNotification:DescribeNotificationRule",
                "CodeNotification:ListNotificationRules",
                "CodeNotification:ListTargets",
                "CodeNotification:ListEventTypes"
            ],
            "Resource": "*"
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für identitätsbasierte Richtlinien

Berechtigungen und Beispiele für AWS CodeConnections