Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Otorgue acceso a AWS los recursos del proyecto con funciones de IAM
CodeCatalyst puede acceder a AWS los recursos conectándolo Cuenta de AWS a un CodeCatalyst espacio. A continuación, puede crear los siguientes roles de servicio y asociarlos al conectar su cuenta.
Para obtener más información sobre los elementos que se utilizan en una política de JSON, consulte la Referencia sobre los elementos de la política de JSON de IAM en la Guía del usuario de IAM.
-
Para acceder a los recursos en y Cuenta de AWS para tus CodeCatalyst proyectos y flujos de trabajo, primero debes conceder el permiso para acceder CodeCatalyst a esos recursos en tu nombre. Para ello, debe crear un rol de servicio en un entorno conectado Cuenta de AWS que CodeCatalyst pueda asumir en nombre de los usuarios y proyectos del espacio. Puede elegir entre crear y usar el rol de CodeCatalystWorkflowDevelopmentRole-
spaceNameservicio o puede crear roles de servicio personalizados y configurar estas políticas y roles de IAM manualmente. Como práctica recomendada, asigne a estas funciones la cantidad mínima de permisos necesaria.nota
Para las funciones de servicio personalizadas, se requiere el director del CodeCatalyst servicio. Para obtener más información sobre el principio CodeCatalyst de servicio y el modelo de confianza, consulteEntender el modelo de CodeCatalyst confianza.
-
Para gestionar el soporte de un espacio a través del conectado Cuenta de AWS, puede optar por crear y utilizar el rol de AWSRoleForCodeCatalystSupportservicio que permite a CodeCatalyst los usuarios acceder al soporte. Para obtener más información sobre la compatibilidad con un CodeCatalyst espacio, consulteAWS Supportpara Amazon CodeCatalyst.
Comprensión de la función CodeCatalystWorkflowDevelopmentRole-spaceNamede servicio
Puede añadir un rol de IAM a su espacio que CodeCatalyst podrá utilizar para crear recursos y acceder a ellos en un entorno conectado Cuenta de AWS. Esto se denomina rol de servicio. La forma más sencilla de crear un rol de servicio es agregar uno al crear el espacio y elegir la CodeCatalystWorkflowDevelopmentRole-spaceNameopción para ese rol. Esto no solo crea el rol de servicio con el AdministratorAccess adjunto, sino que también crea la política de confianza que CodeCatalyst permite asumir el rol en nombre de los usuarios en los proyectos del espacio. La función de servicio se limita al espacio, no a proyectos individuales. Para crear esta función, consulte Crear el CodeCatalystWorkflowDevelopmentRole-spaceNamerol para su cuenta y su espacio. Solo puedes crear un rol para cada espacio de cada cuenta.
nota
Este rol solo se recomienda para su uso con cuentas de desarrollo y utiliza la política AdministratorAccess AWS administrada, lo que le da acceso total para crear nuevas políticas y recursos en ella Cuenta de AWS.
La política asociada a la CodeCatalystWorkflowDevelopmentRole-spaceNamefunción está diseñada para funcionar con proyectos creados con planos en el espacio. Permite a los usuarios de esos proyectos desarrollar, crear, probar e implementar código utilizando los recursos de la red. Cuenta de AWS Para obtener más información, consulte Crear un rol para un AWS servicio.
La política asociada a la CodeCatalystWorkflowDevelopmentRole-spaceNamefunción es la política AdministratorAccess gestionada en AWS. Se trata de una política que otorga acceso total a todas AWS las acciones y recursos. Para ver el documento de política de JSON en la consola de IAM, consulte AdministratorAccess
La siguiente política de confianza permite CodeCatalyst asumir el CodeCatalystWorkflowDevelopmentRole-spaceNamerol. Para obtener más información sobre el modelo de CodeCatalyst confianza, consulteEntender el modelo de CodeCatalyst confianza.
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
Crear el CodeCatalystWorkflowDevelopmentRole-spaceNamerol para su cuenta y su espacio
Sigue estos pasos para crear el CodeCatalystWorkflowDevelopmentRole- rol que se usará en los flujos de trabajo de tu espacio. Para cada cuenta en la que desees tener funciones de IAM para utilizarlas en proyectos, debes añadir a tu espacio una función, como la de desarrollador. spaceName
Antes de empezar, debe disponer de privilegios administrativos para su administrador Cuenta de AWS o poder trabajar con él. Para obtener más información sobre cómo Cuentas de AWS se utilizan las funciones de IAM CodeCatalyst, consultePermitir el acceso a AWS los recursos con conexión Cuentas de AWS.
Para crear y añadir el CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName
-
Antes de empezar en la CodeCatalyst consola, abra el espacio y AWS Management Console, a continuación, asegúrese de haber iniciado sesión con lo mismo Cuenta de AWS para su espacio.
Abre la CodeCatalyst consola en https://codecatalyst.aws/
. -
Navega hasta tu CodeCatalyst espacio. Elija Settings (Configuración) y después Cuentas de AWS:
-
Elija el enlace en el Cuenta de AWS que desee crear el rol. Aparece la página de Cuenta de AWS detalles.
-
Elija Administrar roles desde AWS Management Console.
La página Añadir función de IAM al CodeCatalyst espacio de Amazon se abre en. AWS Management Console Esta es la página de Amazon CodeCatalyst Spaces. Es posible que deba iniciar sesión para acceder a la página.
-
Elija Crear un rol CodeCatalyst de administrador de desarrollo en IAM. Esta opción crea un rol de servicio que contiene la política de permisos y la política de confianza del rol de desarrollo. El rol tendrá un nombre
CodeCatalystWorkflowDevelopmentRole-. Para obtener más información sobre el rol y la política de roles, consulteComprensión de la función CodeCatalystWorkflowDevelopmentRole-spaceNamede servicio.spaceNamenota
Este rol solo se recomienda para su uso con cuentas de desarrollador y usa la política
AdministratorAccessAWS administrada, lo que le da acceso total para crear nuevas políticas y recursos en ella Cuenta de AWS. -
Selecciona Crear rol de desarrollo.
-
En la página de conexiones, en la sección Funciones de IAM disponibles para CodeCatalyst, consulta la
CodeCatalystWorkflowDevelopmentRole-función en la lista de funciones de IAM añadidas a tu cuenta.spaceName -
Para volver a tu espacio, selecciona Ir a Amazon CodeCatalyst.
Entender la función AWSRoleForCodeCatalystSupportde servicio
Puede añadir una función de IAM a su espacio que CodeCatalyst los usuarios de un espacio puedan utilizar para crear casos de soporte y acceder a ellos. Esto se denomina rol de servicio de soporte. La forma más sencilla de crear un rol de servicio de soporte es añadir uno al crear el espacio y elegir la AWSRoleForCodeCatalystSupport opción para ese rol. Esto no solo crea la política y el rol, sino que también crea la política de confianza que permite CodeCatalyst asumir el rol en nombre de los usuarios en los proyectos del espacio. La función de servicio se limita al espacio, no a proyectos individuales. Para crear esta función, consulte Crear el AWSRoleForCodeCatalystSupportrol para tu cuenta y tu espacio.
La política asociada a la AWSRoleForCodeCatalystSupport función es una política administrada que proporciona acceso a los permisos de soporte. Para obtener más información, consulte Política administrada de AWS: AmazonCodeCatalystSupportAccess.
El rol de confianza de la política CodeCatalyst permite asumir el rol.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst.amazonaws.com", "codecatalyst-runner.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
Crear el AWSRoleForCodeCatalystSupportrol para tu cuenta y tu espacio
Sigue estos pasos para crear el AWSRoleForCodeCatalystSupport rol que se usará para los casos de soporte en tu espacio. El rol debe agregarse a la cuenta de facturación designada para el espacio.
Antes de empezar, debe disponer de privilegios administrativos para su administrador Cuenta de AWS o poder trabajar con él. Para obtener más información sobre cómo Cuentas de AWS se utilizan las funciones de IAM CodeCatalyst, consultePermitir el acceso a AWS los recursos con conexión Cuentas de AWS.
Para crear y añadir el CodeCatalyst AWSRoleForCodeCatalystSupport
-
Antes de empezar en la CodeCatalyst consola, abra el espacio y AWS Management Console, a continuación, asegúrese de haber iniciado sesión con lo mismo Cuenta de AWS para su espacio.
-
Navega hasta tu CodeCatalyst espacio. Elija Settings (Configuración) y después Cuentas de AWS:
-
Elija el enlace en el Cuenta de AWS que desee crear el rol. Aparece la página de Cuenta de AWS detalles.
-
Elija Administrar roles desde AWS Management Console.
La página Añadir función de IAM al CodeCatalyst espacio de Amazon se abre en. AWS Management Console Esta es la página de Amazon CodeCatalyst Spaces. Puede que tengas que iniciar sesión para acceder a la página.
-
En los detalles del CodeCatalyst espacio, selecciona Add CodeCatalyst Support role. Esta opción crea un rol de servicio que contiene la política de permisos y la política de confianza para el rol de desarrollo preliminar. El rol tendrá un nombre AWSRoleForCodeCatalystSupportcon un identificador único adjunto. Para obtener más información sobre el rol y la política de roles, consulteEntender la función AWSRoleForCodeCatalystSupportde servicio.
-
En la página Añadir función para CodeCatalyst Support, deje seleccionada la opción predeterminada y, a continuación, elija Crear función.
-
En Funciones de IAM disponibles para CodeCatalyst, consulta la
CodeCatalystWorkflowDevelopmentRole-función en la lista de funciones de IAM añadidas a tu cuenta.spaceName -
Para volver a tu espacio, selecciona Ir a Amazon CodeCatalyst.
Configurar las funciones de IAM para las acciones del flujo de trabajo en CodeCatalyst
En esta sección se detallan las funciones y políticas de IAM que puede crear para utilizarlas con su CodeCatalyst cuenta. Para obtener instrucciones sobre cómo crear roles de ejemplo, consulteCrear roles manualmente para las acciones del flujo de trabajo. Tras crear el rol de IAM, copia el ARN del rol para añadir el rol de IAM a la conexión de tu cuenta y asociarlo al entorno de tu proyecto. Para obtener más información, consulte Añadir IAM roles a las conexiones de cuentas.
CodeCatalyst rol de creación para el acceso a Amazon S3
Para las acciones de creación de CodeCatalyst flujos de trabajo, puede usar el rol de CodeCatalystWorkflowDevelopmentRole-spaceNameservicio predeterminado o puede crear un rol de IAM denominado CodeCatalystBuildRoleforS3Access. Este rol usa una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en AWS CloudFormation sus recursos. Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
-
Escribe en los buckets de Amazon S3.
-
Support the building of resources with AWS CloudFormation. Esto requiere acceso a Amazon S3.
Este rol usa la siguiente política:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "resource_ARN", "Effect": "Allow" }] }
nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*"
CodeCatalyst crear un rol para AWS CloudFormation
Para las acciones de creación de CodeCatalyst flujos de trabajo, puedes usar el rol de CodeCatalystWorkflowDevelopmentRole-spaceNameservicio predeterminado o puedes crear un rol de IAM con los permisos necesarios. Este rol usa una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en sus AWS CloudFormation recursos. Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
-
Support the building of resources with AWS CloudFormation. Esto es obligatorio junto con la función de CodeCatalyst compilación para el acceso a Amazon S3 y la función de CodeCatalyst implementación para AWS CloudFormation.
Se deben adjuntar a esta función las siguientes políticas AWS administradas:
-
AWSCloudFormationFullAccess
-
IAM FullAccess
-
Amazon S3 FullAccess
-
API de Amazon GatewayAdministrator
-
AWSLambdaFullAccess
CodeCatalyst rol de creación para CDK
Para CodeCatalyst los flujos de trabajo que ejecutan acciones de creación de CDK, como una aplicación web moderna de tres niveles, puede utilizar el rol de CodeCatalystWorkflowDevelopmentRole-spaceNameservicio predeterminado o puede crear un rol de IAM con los permisos necesarios. Este rol usa una política con permisos específicos que CodeCatalyst necesita iniciar y ejecutar comandos de compilación de CDK para los recursos de su empresa. AWS CloudFormation Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
-
Escribe en los buckets de Amazon S3.
-
Support la creación de construcciones de CDK y pilas de AWS CloudFormation recursos. Esto requiere acceso a Amazon S3 para el almacenamiento de artefactos, a Amazon ECR para el soporte de repositorios de imágenes y a SSM para el control y la supervisión del sistema para las instancias virtuales.
Este rol usa la siguiente política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }
nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*"
CodeCatalyst implementar un rol para AWS CloudFormation
Para las acciones de implementación del CodeCatalyst flujo de trabajo que utilizan AWS CloudFormation, puede usar el rol de CodeCatalystWorkflowDevelopmentRole-spaceNameservicio predeterminado o puede usar una política con permisos específicos que CodeCatalyst necesite ejecutar tareas en AWS CloudFormation los recursos de su Cuenta de AWS propiedad.
Este rol otorga permisos para hacer lo siguiente:
-
Permite CodeCatalyst invocar una función λ para realizar un despliegue azul/verde de forma continua. AWS CloudFormation
-
CodeCatalyst Permiten crear y actualizar pilas y conjuntos de cambios en. AWS CloudFormation
Este rol usa la siguiente política:
{"Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "resource_ARN", "Effect": "Allow" }
nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*"
CodeCatalyst rol de implementación para Amazon EC2
CodeCatalyst las acciones de despliegue del flujo de trabajo utilizan un rol de IAM con los permisos necesarios. Esta función utiliza una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en los recursos de Amazon EC2 de su empresa. Cuenta de AWS La política predeterminada del CodeCatalystWorkflowDevelopmentRole-spaceNamerol no incluye los permisos para Amazon EC2 o Amazon EC2 Auto Scaling.
Este rol otorga permisos para hacer lo siguiente:
-
Cree despliegues de Amazon EC2.
-
Lea las etiquetas de una instancia o identifique una instancia de Amazon EC2 mediante los nombres de los grupos de Auto Scaling.
-
Leer, crear, actualizar y eliminar grupos de Amazon EC2 Auto Scaling, enlaces de ciclo de vida y políticas de escalado.
-
Publicar información para temas de Amazon SNS.
-
Recupere información sobre CloudWatch las alarmas.
-
Leer y actualizar Elastic Load Balancing.
Este rol usa la siguiente política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:CompleteLifecycleAction", "autoscaling:DeleteLifecycleHook", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLifecycleHooks", "autoscaling:PutLifecycleHook", "autoscaling:RecordLifecycleActionHeartbeat", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:EnableMetricsCollection", "autoscaling:DescribePolicies", "autoscaling:DescribeScheduledActions", "autoscaling:DescribeNotificationConfigurations", "autoscaling:SuspendProcesses", "autoscaling:ResumeProcesses", "autoscaling:AttachLoadBalancers", "autoscaling:AttachLoadBalancerTargetGroups", "autoscaling:PutScalingPolicy", "autoscaling:PutScheduledUpdateGroupAction", "autoscaling:PutNotificationConfiguration", "autoscaling:PutWarmPool", "autoscaling:DescribeScalingActivities", "autoscaling:DeleteAutoScalingGroup", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:TerminateInstances", "tag:GetResources", "sns:Publish", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets" ], "Resource": "resource_ARN" } ] }
nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*"
CodeCatalyst rol de implementación para Amazon ECS
Para las acciones del CodeCatalyst flujo de trabajo, puede crear un rol de IAM con los permisos necesarios. Puede usar la función de CodeCatalystWorkflowDevelopmentRole-spaceNameservicio predeterminada o puede crear una función de IAM para CodeCatalyst implementar acciones que se utilizarán en las implementaciones de Lambda. Esta función utiliza una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en los recursos de Amazon ECS de su Cuenta de AWS empresa.
Este rol otorga permisos para hacer lo siguiente:
-
Inicie el despliegue continuo de Amazon ECS en nombre de un CodeCatalyst usuario, en una cuenta especificada en la CodeCatalyst conexión.
-
Leer, actualizar y eliminar conjuntos de tareas de Amazon ECS.
-
Actualizar grupos de destino de Elastic Load Balancing, oyentes y reglas.
-
Invoque funciones Lambda.
-
Acceder a archivos de revisión en buckets de Amazon S3.
-
Recupere información sobre CloudWatch las alarmas.
-
Publicar información para temas de Amazon SNS.
Este rol usa la siguiente política:
{ "Version": "2012-10-17", "Statement": [{ "Action":[ "ecs:DescribeServices", "ecs:CreateTaskSet", "ecs:DeleteTaskSet", "ecs:ListClusters", "ecs:RegisterTaskDefinition", "ecs:UpdateServicePrimaryTaskSet", "ecs:UpdateService", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:ModifyListener", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:ModifyRule", "lambda:InvokeFunction", "lambda:ListFunctions", "cloudwatch:DescribeAlarms", "sns:Publish", "sns:ListTopics", "s3:GetObject", "s3:GetObjectVersion", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetDeployment", "codedeploy:GetDeploymentGroup", "codedeploy:ListApplications", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:StopDeployment", "codedeploy:GetDeploymentTarget", "codedeploy:ListDeploymentTargets", "codedeploy:GetDeploymentConfig", "codedeploy:GetApplicationRevision", "codedeploy:RegisterApplicationRevision", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:BatchGetApplications", "codedeploy:ListApplicationRevisions", "codedeploy:ListDeploymentConfigs", "codedeploy:ContinueDeployment" ], "Resource":"*", "Effect":"Allow" },{"Action":[ "iam:PassRole" ], "Effect":"Allow", "Resource":"*", "Condition":{"StringLike":{"iam:PassedToService":[ "ecs-tasks.amazonaws.com", "codedeploy.amazonaws.com" ] } } }] }
nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*"
CodeCatalyst rol de implementación para Lambda
Para las acciones CodeCatalyst del flujo de trabajo, puede crear un rol de IAM con los permisos necesarios. Puede usar la función de CodeCatalystWorkflowDevelopmentRole-spaceNameservicio predeterminada o crear una función de IAM para CodeCatalyst implementar acciones que se utilizarán en las implementaciones de Lambda. Esta función utiliza una política con permisos limitados que CodeCatalyst necesita para ejecutar tareas en los recursos de Lambda de su empresa. Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
-
Lea, actualice e invoque funciones y alias de Lambda.
-
Acceder a archivos de revisión en buckets de Amazon S3.
-
Recupere información sobre CloudWatch las alarmas de eventos.
-
Publicar información para temas de Amazon SNS.
Este rol usa la siguiente política:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*"
CodeCatalyst rol de implementación para Lambda
Para las acciones del CodeCatalyst flujo de trabajo, puede usar el rol de CodeCatalystWorkflowDevelopmentRole-spaceNameservicio predeterminado o puede crear un rol de IAM con los permisos necesarios. Esta función utiliza una política con permisos limitados que CodeCatalyst necesita para ejecutar tareas en los recursos de Lambda de su empresa. Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
-
Lea, actualice e invoque funciones y alias de Lambda.
-
Acceder a archivos de revisión en buckets de Amazon S3.
-
Recupere información sobre las alarmas. CloudWatch
-
Publicar información para temas de Amazon SNS.
Este rol usa la siguiente política:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*"
CodeCatalyst implementar un rol para AWS SAM
Para las acciones del CodeCatalyst flujo de trabajo, puede utilizar el rol de CodeCatalystWorkflowDevelopmentRole-spaceNameservicio predeterminado o puede crear un rol de IAM con los permisos necesarios. Este rol usa una política con permisos específicos que CodeCatalyst necesita para ejecutar las tareas AWS SAM y AWS CloudFormation los recursos de su empresa. Cuenta de AWS
Este rol otorga permisos para hacer lo siguiente:
-
Permite CodeCatalyst invocar una función Lambda para realizar el despliegue de aplicaciones CLI AWS SAM y sin servidor.
-
CodeCatalyst Permiten crear y actualizar pilas y conjuntos de cambios en. AWS CloudFormation
Este rol usa la siguiente política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }
nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*"
CodeCatalyst función de solo lectura para Amazon EC2
Para las acciones CodeCatalyst del flujo de trabajo, puede crear un rol de IAM con los permisos necesarios. Esta función utiliza una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en los recursos de Amazon EC2 de su empresa. Cuenta de AWS La función CodeCatalystWorkflowDevelopmentRole-spaceNamede servicio no incluye los permisos para Amazon EC2 ni las acciones descritas para Amazon. CloudWatch
Este rol otorga permisos para hacer lo siguiente:
-
Obtenga el estado de las instancias de Amazon EC2.
-
Obtenga CloudWatch métricas para las instancias de Amazon EC2.
Este rol usa la siguiente política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe", "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": "elasticloadbalancing:Describe", "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:Describe" ], "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": "autoscaling:Describe", "Resource": "resource_ARN" } ] }
nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*"
CodeCatalyst función de solo lectura para Amazon ECS
Para las acciones del CodeCatalyst flujo de trabajo, puede crear un rol de IAM con los permisos necesarios. Esta función utiliza una política con permisos específicos que CodeCatalyst necesita para ejecutar tareas en los recursos de Amazon ECS de su Cuenta de AWS empresa.
Este rol otorga permisos para hacer lo siguiente:
-
Lea los conjuntos de tareas de Amazon ECS.
-
Recupere información sobre CloudWatch las alarmas.
Este rol usa la siguiente política:
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:DescribeServices", "cloudwatch:DescribeAlarms" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeRules" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam:::role/ecsTaskExecutionRole", "arn:aws:iam:::role/ECSTaskExecution" ], "Condition": { "StringLike": { "iam:PassedToService": [ "ecs-tasks.amazonaws.com" ] } } } ] }
nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*"
CodeCatalyst función de solo lectura para Lambda
Para las acciones CodeCatalyst del flujo de trabajo, puede crear un rol de IAM con los permisos necesarios. Esta función utiliza una política con permisos limitados que CodeCatalyst necesita para ejecutar tareas en los recursos de Lambda de su empresa. Cuenta de AWS
Este rol otorga permisos para lo siguiente:
-
Lea las funciones y los alias de Lambda.
-
Acceder a archivos de revisión en buckets de Amazon S3.
-
Recupere información sobre CloudWatch las alarmas.
Este rol utiliza la siguiente política de .
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" } ] }
nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*"
Crear roles manualmente para las acciones del flujo de trabajo
CodeCatalyst Las acciones del flujo de trabajo utilizan las funciones de IAM que usted cree, denominadas función de creación, función de implementación y función de pila.
Siga estos pasos para crear estos roles en IAM.
Para crear un rol de despliegue
-
Cree una política para el rol, de la siguiente manera:
-
Inicie sesión en AWS.
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, seleccione Políticas.
-
Elija Crear política.
-
Seleccione la pestaña JSON.
-
Elimina el código existente.
-
Pegue el siguiente código:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*" -
Elija Siguiente: Etiquetas.
-
Elija Siguiente: Revisar.
-
En Nombre, introduzca:
codecatalyst-deploy-policy -
Elija Crear política.
Ahora ha creado una política de permisos.
-
-
Cree el rol de implementación de la siguiente manera:
-
En el panel de navegación, seleccione Roles y luego seleccione Crear rol.
-
Elija Política de confianza personalizada.
-
Elimine la política de confianza personalizada existente.
-
Añada la siguiente política de confianza personalizada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Elija Siguiente.
-
En Políticas de permisos, busque
codecatalyst-deploy-policyy active su casilla de verificación. -
Elija Siguiente.
-
En Nombre del rol, escriba:
codecatalyst-deploy-role -
En la descripción del rol, introduzca:
CodeCatalyst deploy role -
Elija Crear rol.
Ahora ha creado un rol de despliegue con una política de confianza y una política de permisos.
-
-
Obtenga el ARN del rol de implementación de la siguiente manera:
-
Seleccione Roles en el panel de navegación.
-
En el cuadro de búsqueda, introduce el nombre del rol que acabas de crear (
codecatalyst-deploy-role). -
Elija el rol de la lista.
Aparece la página de resumen del rol.
-
En la parte superior, copia el valor del ARN.
Ahora ha creado el rol de implementación con los permisos adecuados y ha obtenido su ARN.
-
Para crear un rol de compilación
-
Cree una política para el rol, de la siguiente manera:
-
Inicie sesión en AWS.
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, seleccione Políticas.
-
Elija Crear política.
-
Seleccione la pestaña JSON.
-
Elimina el código existente.
-
Pegue el siguiente código:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*" -
Elija Siguiente: Etiquetas.
-
Elija Siguiente: Revisar.
-
En Nombre, introduzca:
codecatalyst-build-policy -
Elija Crear política.
Ahora ha creado una política de permisos.
-
-
Cree el rol de compilación de la siguiente manera:
-
En el panel de navegación, seleccione Roles y luego seleccione Crear rol.
-
Elija Política de confianza personalizada.
-
Elimine la política de confianza personalizada existente.
-
Añada la siguiente política de confianza personalizada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Elija Siguiente.
-
En Políticas de permisos, busque
codecatalyst-build-policyy active su casilla de verificación. -
Elija Siguiente.
-
En Nombre del rol, escriba:
codecatalyst-build-role -
En la descripción del rol, introduzca:
CodeCatalyst build role -
Elija Crear rol.
Ahora ha creado un rol de compilación con una política de confianza y una política de permisos.
-
-
Obtenga el ARN del rol de compilación de la siguiente manera:
-
Seleccione Roles en el panel de navegación.
-
En el cuadro de búsqueda, introduce el nombre del rol que acabas de crear (
codecatalyst-build-role). -
Elija el rol de la lista.
Aparece la página de resumen del rol.
-
En la parte superior, copia el valor del ARN.
Ahora ha creado el rol de compilación con los permisos adecuados y ha obtenido su ARN.
-
Para crear un rol de pila
nota
No es necesario crear un rol de pila, aunque se recomienda hacerlo por motivos de seguridad. Si no crea la función de pila, tendrá que añadir las políticas de permisos que se describen más adelante en este procedimiento a la función de implementación.
-
Inicia sesión AWS con la cuenta en la que quieres implementar tu pila.
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, selecciona Funciones y, a continuación, selecciona Crear función.
-
En la parte superior, selecciona AWS servicio.
-
De la lista de servicios, selecciona CloudFormation.
-
Elija Siguiente: permisos.
-
En el cuadro de búsqueda, agrega las políticas necesarias para acceder a los recursos de tu pila. Por ejemplo, si su pila incluye una AWS Lambda función, debe añadir una política que conceda acceso a Lambda.
sugerencia
Si no está seguro de qué políticas añadir, puede omitirlas por ahora. Cuando pruebas la acción, si no tienes los permisos adecuados, AWS CloudFormation genera errores que muestran qué permisos debes añadir.
-
Elija Siguiente: Etiquetas.
-
Elija Siguiente: Revisar.
-
En Nombre del rol, ingresa:
codecatalyst-stack-role -
Elija Crear rol.
-
Para obtener el ARN del rol de pila, haga lo siguiente:
-
Seleccione Roles en el panel de navegación.
-
En el cuadro de búsqueda, introduce el nombre del rol que acabas de crear (
codecatalyst-stack-role). -
Elija el rol de la lista.
-
En la página de resumen, copie el valor del ARN del rol.
-
Se utiliza AWS CloudFormation para crear políticas y funciones en IAM
Puede optar por crear y utilizar AWS CloudFormation plantillas para crear las políticas y funciones que necesita para acceder a los recursos y Cuenta de AWS para sus CodeCatalyst proyectos y flujos de trabajo. AWS CloudFormation es un servicio que le ayuda a modelar y configurar sus AWS recursos para que pueda dedicar menos tiempo a gestionarlos y más tiempo a centrarse en las aplicaciones en las que se ejecutan AWS. Si tiene la intención de crear funciones en varios Cuentas de AWS, la creación de una plantilla puede ayudarle a realizar esta tarea con mayor rapidez.
La siguiente plantilla de ejemplo crea una política y un rol de acción de despliegue.
Parameters: CodeCatalystAccountId: Type: String Description: Account ID from the connections page ExternalId: Type: String Description: External ID from the connections page Resources: CrossAccountRole: Type: 'AWS::IAM::Role' Properties: AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Principal: AWS: - !Ref CodeCatalystAccountId Action: - 'sts:AssumeRole' Condition: StringEquals: sts:ExternalId: !Ref ExternalId Path: / Policies: - PolicyName: CodeCatalyst-CloudFormation-action-policy PolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Action: - 'cloudformation:CreateStack' - 'cloudformation:DeleteStack' - 'cloudformation:Describe*' - 'cloudformation:UpdateStack' - 'cloudformation:CreateChangeSet' - 'cloudformation:DeleteChangeSet' - 'cloudformation:ExecuteChangeSet' - 'cloudformation:SetStackPolicy' - 'cloudformation:ValidateTemplate' - 'cloudformation:List*' - 'iam:PassRole' Resource: '*'
Crear el rol manualmente para el esquema de la aplicación web
El esquema de la aplicación CodeCatalyst web utiliza las funciones de IAM que usted crea, denominadas función de creación para CDK, función de implementación y función de pila.
Siga estos pasos para crear el rol en IAM.
Para crear un rol de compilación
-
Cree una política para el rol, de la siguiente manera:
-
Inicie sesión en AWS.
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, seleccione Políticas.
-
Seleccione Crear política.
-
Seleccione la pestaña JSON.
-
Elimina el código existente.
-
Pegue el siguiente código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*" -
Elija Siguiente: Etiquetas.
-
Elija Siguiente: Revisar.
-
En Nombre, introduzca:
codecatalyst-webapp-build-policy -
Elija Crear política.
Ahora ha creado una política de permisos.
-
-
Cree el rol de compilación de la siguiente manera:
-
En el panel de navegación, seleccione Roles y luego seleccione Crear rol.
-
Elija Política de confianza personalizada.
-
Elimine la política de confianza personalizada existente.
-
Añada la siguiente política de confianza personalizada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Elija Siguiente.
-
Adjunta la política de permisos a la función de compilación. En la página Añadir permisos, en la sección Políticas de permisos, busque
codecatalyst-webapp-build-policyy active su casilla de verificación. -
Elija Siguiente.
-
En Nombre del rol, escriba:
codecatalyst-webapp-build-role -
En la descripción del rol, introduzca:
CodeCatalyst Web app build role -
Elija Crear rol.
Ahora ha creado un rol de compilación con una política de confianza y una política de permisos.
-
-
Adjunta la política de permisos al rol de compilación de la siguiente manera:
-
En el panel de navegación, elija Roles y, a continuación, busque
codecatalyst-webapp-build-role. -
Elija
codecatalyst-webapp-build-rolemostrar sus detalles. -
En la pestaña Permisos, selecciona Añadir permisos y, a continuación, selecciona Adjuntar políticas.
-
Busque
codecatalyst-webapp-build-policy, active su casilla de verificación y, a continuación, elija Adjuntar políticas.Ahora ha adjuntado la política de permisos a la función de creación. La función de creación ahora tiene dos políticas: una política de permisos y una política de confianza.
-
-
Obtenga el ARN del rol de compilación de la siguiente manera:
-
Seleccione Roles en el panel de navegación.
-
En el cuadro de búsqueda, introduce el nombre del rol que acabas de crear (
codecatalyst-webapp-build-role). -
Elija el rol de la lista.
Aparece la página de resumen del rol.
-
En la parte superior, copia el valor del ARN.
Ahora ha creado el rol de compilación con los permisos adecuados y ha obtenido su ARN.
-
Creación manual de funciones para el plan SAM
El plan CodeCatalyst SAM utiliza las funciones de IAM que usted crea, denominadas función de creación CloudFormation y función de implementación para SAM.
Siga estos pasos para crear los roles en IAM.
Para crear un rol de compilación para CloudFormation
-
Cree una política para el rol, de la siguiente manera:
-
Inicie sesión en AWS.
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, seleccione Políticas.
-
Seleccione Crear política.
-
Seleccione la pestaña JSON.
-
Elimina el código existente.
-
Pegue el siguiente código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:*", "cloudformation:*" ], "Resource": "*" } ] }nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*" -
Elija Siguiente: Etiquetas.
-
Elija Siguiente: Revisar.
-
En Nombre, introduzca:
codecatalyst-SAM-build-policy -
Elija Crear política.
Ahora ha creado una política de permisos.
-
-
Cree el rol de compilación de la siguiente manera:
-
En el panel de navegación, seleccione Roles y luego seleccione Crear rol.
-
Elija Política de confianza personalizada.
-
Elimine la política de confianza personalizada existente.
-
Añada la siguiente política de confianza personalizada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Elija Siguiente.
-
Adjunta la política de permisos a la función de compilación. En la página Añadir permisos, en la sección Políticas de permisos, busque
codecatalyst-SAM-build-policyy active su casilla de verificación. -
Elija Siguiente.
-
En Nombre del rol, escriba:
codecatalyst-SAM-build-role -
En la descripción del rol, introduzca:
CodeCatalyst SAM build role -
Elija Crear rol.
Ahora ha creado un rol de compilación con una política de confianza y una política de permisos.
-
-
Adjunta la política de permisos al rol de compilación de la siguiente manera:
-
En el panel de navegación, elija Roles y, a continuación, busque
codecatalyst-SAM-build-role. -
Elija
codecatalyst-SAM-build-rolemostrar sus detalles. -
En la pestaña Permisos, selecciona Añadir permisos y, a continuación, selecciona Adjuntar políticas.
-
Busque
codecatalyst-SAM-build-policy, active su casilla de verificación y, a continuación, elija Adjuntar políticas.Ahora ha adjuntado la política de permisos a la función de creación. La función de creación ahora tiene dos políticas: una política de permisos y una política de confianza.
-
-
Obtenga el ARN del rol de compilación de la siguiente manera:
-
Seleccione Roles en el panel de navegación.
-
En el cuadro de búsqueda, introduce el nombre del rol que acabas de crear (
codecatalyst-SAM-build-role). -
Elija el rol de la lista.
Aparece la página de resumen del rol.
-
En la parte superior, copia el valor del ARN.
Ahora ha creado el rol de compilación con los permisos adecuados y ha obtenido su ARN.
-
Para crear un rol de implementación para SAM
-
Cree una política para el rol, de la siguiente manera:
-
Inicie sesión en AWS.
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, seleccione Políticas.
-
Seleccione Crear política.
-
Seleccione la pestaña JSON.
-
Elimina el código existente.
-
Pegue el siguiente código:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }nota
La primera vez que se utilice el rol para ejecutar acciones de flujo de trabajo, utilice el comodín en la declaración de política de recursos y, a continuación, defina la política con el nombre del recurso cuando esté disponible.
"Resource": "*" -
Elija Siguiente: Etiquetas.
-
Elija Siguiente: Revisar.
-
En Nombre, introduzca:
codecatalyst-SAM-deploy-policy -
Elija Crear política.
Ahora ha creado una política de permisos.
-
-
Cree el rol de compilación de la siguiente manera:
-
En el panel de navegación, seleccione Roles y luego seleccione Crear rol.
-
Elija Política de confianza personalizada.
-
Elimine la política de confianza personalizada existente.
-
Añada la siguiente política de confianza personalizada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Elija Siguiente.
-
Adjunta la política de permisos a la función de compilación. En la página Añadir permisos, en la sección Políticas de permisos, busque
codecatalyst-SAM-deploy-policyy active su casilla de verificación. -
Elija Siguiente.
-
En Nombre del rol, escriba:
codecatalyst-SAM-deploy-role -
En la descripción del rol, introduzca:
CodeCatalyst SAM deploy role -
Elija Crear rol.
Ahora ha creado un rol de compilación con una política de confianza y una política de permisos.
-
-
Adjunta la política de permisos al rol de compilación de la siguiente manera:
-
En el panel de navegación, elija Roles y, a continuación, busque
codecatalyst-SAM-deploy-role. -
Elija
codecatalyst-SAM-deploy-rolemostrar sus detalles. -
En la pestaña Permisos, selecciona Añadir permisos y, a continuación, selecciona Adjuntar políticas.
-
Busque
codecatalyst-SAM-deploy-policy, active su casilla de verificación y, a continuación, elija Adjuntar políticas.Ahora ha adjuntado la política de permisos a la función de creación. La función de creación ahora tiene dos políticas: una política de permisos y una política de confianza.
-
-
Obtenga el ARN del rol de compilación de la siguiente manera:
-
Seleccione Roles en el panel de navegación.
-
En el cuadro de búsqueda, introduce el nombre del rol que acabas de crear (
codecatalyst-SAM-deploy-role). -
Elija el rol de la lista.
Aparece la página de resumen del rol.
-
En la parte superior, copia el valor del ARN.
Ahora ha creado el rol de compilación con los permisos adecuados y ha obtenido su ARN.
-
