Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accorder l'accès aux AWS ressources du projet avec des rôles IAM
CodeCatalyst pouvez accéder aux AWS ressources en vous connectant Compte AWS à un CodeCatalyst espace. Vous pouvez ensuite créer les rôles de service suivants et les associer lorsque vous connectez votre compte.
Pour plus d'informations sur les éléments que vous utilisez dans une politique JSON, consultez la référence des éléments de stratégie JSON IAM dans le guide de l'utilisateur IAM.
-
Pour accéder aux ressources dans et Compte AWS pour vos CodeCatalyst projets et flux de travail, vous devez d'abord autoriser l'accès CodeCatalyst à ces ressources en votre nom. Pour ce faire, vous devez créer un rôle de service dans un connecté Compte AWS qui CodeCatalyst peut assumer la responsabilité des utilisateurs et des projets de l'espace. Vous pouvez soit choisir de créer et d'utiliser le rôle de CodeCatalystWorkflowDevelopmentRole-
spaceNameservice, soit créer des rôles de service personnalisés et configurer ces politiques et rôles IAM manuellement. Il est recommandé d'attribuer à ces rôles le moins d'autorisations nécessaires.Note
Pour les rôles de service personnalisés, le principal CodeCatalyst de service est requis. Pour plus d'informations sur le principal CodeCatalyst de service et le modèle de confiance, consultezComprendre le modèle de CodeCatalyst confiance.
-
Pour gérer le support d'un espace via le connected Compte AWS, vous pouvez choisir de créer et d'utiliser le rôle de AWSRoleForCodeCatalystSupportservice qui permet aux CodeCatalyst utilisateurs d'accéder au support. Pour plus d'informations sur la prise en charge d'un CodeCatalyst espace, consultezAWS Supportpour Amazon CodeCatalyst.
Comprendre le rôle CodeCatalystWorkflowDevelopmentRole-spaceNamedu service
Vous pouvez ajouter un rôle IAM à votre espace qui CodeCatalyst peut être utilisé pour créer des ressources et y accéder dans un espace connecté Compte AWS. C'est ce qu'on appelle un rôle de service. Le moyen le plus simple de créer un rôle de service consiste à en ajouter un lorsque vous créez l'espace et à choisir l'CodeCatalystWorkflowDevelopmentRole-spaceNameoption correspondant à ce rôle. Cela crée non seulement le rôle de service avec les AdministratorAccess éléments attachés, mais également la politique de confiance qui permet CodeCatalyst d'assumer le rôle au nom des utilisateurs dans les projets de l'espace. Le rôle de service est limité à l'espace, et non à des projets individuels. Pour créer ce rôle, consultez Création du CodeCatalystWorkflowDevelopmentRole-spaceNamerôle pour votre compte et votre espace. Vous ne pouvez créer qu'un seul rôle pour chaque espace de chaque compte.
Note
Ce rôle est uniquement recommandé pour les comptes de développement et utilise la politique AdministratorAccess AWS gérée, ce qui lui donne un accès complet pour créer de nouvelles politiques et ressources dans ce cadre Compte AWS.
La politique associée au CodeCatalystWorkflowDevelopmentRole-spaceNamerôle est conçue pour fonctionner avec des projets créés avec des plans dans l'espace. Il permet aux utilisateurs de ces projets de développer, de créer, de tester et de déployer du code en utilisant les ressources du Connected Compte AWS. Pour plus d'informations, consultez la section Création d'un rôle pour un AWS service.
La politique attachée au CodeCatalystWorkflowDevelopmentRole-spaceNamerôle est la stratégie AdministratorAccess gérée dans AWS. Il s'agit d'une politique qui accorde un accès complet à toutes les AWS actions et ressources. Pour consulter le document de politique JSON dans la console IAM, consultez AdministratorAccess
La politique de confiance suivante permet CodeCatalyst d'assumer le CodeCatalystWorkflowDevelopmentRole-spaceNamerôle. Pour plus d'informations sur le modèle de CodeCatalyst confiance, consultezComprendre le modèle de CodeCatalyst confiance.
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]
Création du CodeCatalystWorkflowDevelopmentRole-spaceNamerôle pour votre compte et votre espace
Suivez ces étapes pour créer le CodeCatalystWorkflowDevelopmentRole- rôle qui sera utilisé pour les flux de travail de votre espace. Pour chaque compte pour lequel vous souhaitez attribuer des rôles IAM à utiliser dans des projets, vous devez ajouter à votre espace un rôle tel que le rôle de développeur. spaceName
Avant de commencer, vous devez disposer de privilèges administratifs pour votre administrateur Compte AWS ou être en mesure de travailler avec celui-ci. Pour plus d'informations sur la manière dont Comptes AWS les rôles IAM et IAM sont utilisés dans CodeCatalyst, consultezPermettre l'accès aux AWS ressources avec Connected Comptes AWS.
Pour créer et ajouter CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName
-
Avant de commencer dans la CodeCatalyst console, ouvrez le AWS Management Console, puis assurez-vous que vous êtes connecté avec le même identifiant Compte AWS pour votre espace.
Ouvrez la CodeCatalyst console à l'adresse https://codecatalyst.aws/
. -
Accédez à votre CodeCatalyst espace. Choisissez Settings (Paramètres), puis Comptes AWS.
-
Choisissez le lien correspondant à l' Compte AWS endroit où vous souhaitez créer le rôle. La page Compte AWS de détails s'affiche.
-
Choisissez Gérer les rôles à partir de AWS Management Console.
La page Ajouter un rôle IAM à Amazon CodeCatalyst Space s'ouvre dans le AWS Management Console. Voici la page Amazon CodeCatalyst Spaces. Il se peut que vous deviez vous connecter pour accéder à la page.
-
Choisissez Créer un rôle d'administrateur de CodeCatalyst développement dans IAM. Cette option crée un rôle de service qui contient la politique d'autorisation et la politique de confiance pour le rôle de développement. Le rôle aura un nom
CodeCatalystWorkflowDevelopmentRole-. Pour plus d'informations sur le rôle et la politique de rôle, consultezComprendre le rôle CodeCatalystWorkflowDevelopmentRole-spaceNamedu service.spaceNameNote
Ce rôle est uniquement recommandé pour les comptes de développeur et utilise la politique
AdministratorAccessAWS gérée, ce qui lui donne un accès complet pour créer de nouvelles politiques et ressources dans ce cadre Compte AWS. -
Choisissez Créer un rôle de développement.
-
Sur la page des connexions, sous Rôles IAM disponibles pour CodeCatalyst, consultez le
CodeCatalystWorkflowDevelopmentRole-rôle dans la liste des rôles IAM ajoutés à votre compte.spaceName -
Pour retourner dans votre espace, choisissez Go to Amazon CodeCatalyst.
Comprendre le rôle AWSRoleForCodeCatalystSupportdu service
Vous pouvez ajouter un rôle IAM à votre espace, que CodeCatalyst les utilisateurs d'un espace peuvent utiliser pour créer des dossiers d'assistance et y accéder. C'est ce qu'on appelle un rôle de service pour le support. Le moyen le plus simple de créer un rôle de service pour le support est d'en ajouter un lorsque vous créez l'espace et de choisir l'AWSRoleForCodeCatalystSupportoption pour ce rôle. Cela crée non seulement la politique et le rôle, mais également la politique de confiance qui permet d' CodeCatalyst assumer le rôle au nom des utilisateurs dans les projets de l'espace. Le rôle de service est limité à l'espace, et non à des projets individuels. Pour créer ce rôle, consultez Création du AWSRoleForCodeCatalystSupportrôle pour votre compte et votre espace.
La politique attachée au AWSRoleForCodeCatalystSupport rôle est une politique gérée qui donne accès aux autorisations de support. Pour plus d’informations, consultez Politique gérée par AWS :AmazonCodeCatalystSupportAccess.
Le rôle de confiance de la politique permet CodeCatalyst d'assumer le rôle.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst.amazonaws.com", "codecatalyst-runner.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
Création du AWSRoleForCodeCatalystSupportrôle pour votre compte et votre espace
Suivez ces étapes pour créer le AWSRoleForCodeCatalystSupport rôle qui sera utilisé pour les demandes d'assistance dans votre espace. Le rôle doit être ajouté au compte de facturation désigné pour l'espace.
Avant de commencer, vous devez disposer de privilèges administratifs pour votre administrateur Compte AWS ou être en mesure de travailler avec celui-ci. Pour plus d'informations sur la manière dont Comptes AWS les rôles IAM et IAM sont utilisés dans CodeCatalyst, consultezPermettre l'accès aux AWS ressources avec Connected Comptes AWS.
Pour créer et ajouter CodeCatalyst AWSRoleForCodeCatalystSupport
-
Avant de commencer dans la CodeCatalyst console, ouvrez le AWS Management Console, puis assurez-vous que vous êtes connecté avec le même identifiant Compte AWS pour votre espace.
-
Accédez à votre CodeCatalyst espace. Choisissez Settings (Paramètres), puis Comptes AWS.
-
Choisissez le lien correspondant à l' Compte AWS endroit où vous souhaitez créer le rôle. La page Compte AWS de détails s'affiche.
-
Choisissez Gérer les rôles à partir de AWS Management Console.
La page Ajouter un rôle IAM à Amazon CodeCatalyst Space s'ouvre dans le AWS Management Console. Voici la page Amazon CodeCatalyst Spaces. Vous devrez peut-être vous connecter pour accéder à la page.
-
Sous Détails de CodeCatalyst l'espace, choisissez Ajouter un rôle de CodeCatalyst support. Cette option crée un rôle de service qui contient la politique d'autorisation et la politique de confiance pour le rôle de développement préliminaire. Le rôle portera un nom AWSRoleForCodeCatalystSupportavec un identifiant unique ajouté. Pour plus d'informations sur le rôle et la politique de rôle, consultezComprendre le rôle AWSRoleForCodeCatalystSupportdu service.
-
Sur la page Ajouter un rôle pour le CodeCatalyst support, laissez la valeur par défaut sélectionnée, puis choisissez Créer un rôle.
-
Sous Rôles IAM disponibles pour CodeCatalyst, consultez le
CodeCatalystWorkflowDevelopmentRole-rôle dans la liste des rôles IAM ajoutés à votre compte.spaceName -
Pour retourner dans votre espace, choisissez Go to Amazon CodeCatalyst.
Configuration des rôles IAM pour les actions de flux de travail dans CodeCatalyst
Cette section décrit les rôles et les politiques IAM que vous pouvez créer pour les utiliser avec votre CodeCatalyst compte. Pour obtenir des instructions sur la création d'exemples de rôles, consultezCréation manuelle de rôles pour les actions de flux de travail. Après avoir créé votre rôle IAM, copiez l'ARN du rôle pour ajouter le rôle IAM à la connexion de votre compte et associez-le à l'environnement de votre projet. Pour en savoir plus, veuillez consulter la section Ajouter IAM des rôles aux connexions aux comptes.
CodeCatalyst rôle de construction pour l'accès à Amazon S3
Pour les actions de création de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de CodeCatalystWorkflowDevelopmentRole-spaceNameservice par défaut ou créer un rôle IAM nommé CodeCatalystBuildRoleforS3Access. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les AWS CloudFormation ressources de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
-
Écrivez dans des compartiments Amazon S3.
-
Support à la création de ressources avec AWS CloudFormation. Cela nécessite un accès à Amazon S3.
Ce rôle utilise la politique suivante :
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "resource_ARN", "Effect": "Allow" }] }
Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*"
CodeCatalyst créer un rôle pour AWS CloudFormation
Pour les actions de création de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de CodeCatalystWorkflowDevelopmentRole-spaceNameservice par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les AWS CloudFormation ressources de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
-
Support à la création de ressources avec AWS CloudFormation. Cela est requis, de même que le rôle de CodeCatalyst création pour l'accès à Amazon S3 et le rôle de CodeCatalyst déploiement pour AWS CloudFormation.
Les politiques AWS gérées suivantes doivent être associées à ce rôle :
-
AWSCloudFormationFullAccess
-
IAM FullAccess
-
Amazon S3 FullAccess
-
API Amazon GatewayAdministrator
-
AWSLambdaFullAccess
CodeCatalyst rôle de construction pour CDK
Pour les CodeCatalyst flux de travail qui exécutent des actions de génération du CDK, tels que les applications Web modernes à trois niveaux, vous pouvez utiliser le rôle de CodeCatalystWorkflowDevelopmentRole-spaceNameservice par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit démarrer et exécuter les commandes de génération du CDK pour les AWS CloudFormation ressources de votre. Compte AWS
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
-
Écrivez dans des compartiments Amazon S3.
-
Support à la création de structures CDK et de piles de AWS CloudFormation ressources. Cela nécessite l'accès à Amazon S3 pour le stockage des artefacts, à Amazon ECR pour le support des référentiels d'images et à SSM pour la gouvernance et la surveillance du système pour les instances virtuelles.
Ce rôle utilise la politique suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }
Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*"
CodeCatalyst rôle de déploiement pour AWS CloudFormation
Pour les actions de déploiement de CodeCatalyst flux de travail qui utilisent AWS CloudFormation, vous pouvez utiliser le rôle de CodeCatalystWorkflowDevelopmentRole-spaceNameservice par défaut ou vous pouvez utiliser une politique avec des autorisations étendues qui CodeCatalyst doit exécuter des tâches sur les AWS CloudFormation ressources de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
-
Permet CodeCatalyst d'invoquer une fonction λ pour effectuer un déploiement bleu/vert via. AWS CloudFormation
-
Permet de CodeCatalyst créer et de mettre à jour des piles et des ensembles de modifications dans. AWS CloudFormation
Ce rôle utilise la politique suivante :
{"Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "resource_ARN", "Effect": "Allow" }
Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*"
CodeCatalyst rôle de déploiement pour Amazon EC2
CodeCatalyst les actions de déploiement du flux de travail utilisent un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon EC2 de votre. Compte AWS La politique par défaut pour le CodeCatalystWorkflowDevelopmentRole-spaceNamerôle n'inclut pas les autorisations pour Amazon EC2 ou Amazon EC2 Auto Scaling.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
-
Créez des déploiements Amazon EC2.
-
Lisez les balises d'une instance ou identifiez une instance Amazon EC2 à l'aide des noms de groupes Auto Scaling.
-
Lisez, créez, mettez à jour et supprimez les groupes Amazon EC2 Auto Scaling, les hooks de cycle de vie et les politiques de dimensionnement.
-
Publiez des informations dans les rubriques Amazon SNS.
-
Récupérez des informations sur les CloudWatch alarmes.
-
Lisez et mettez à jour Elastic Load Balancing.
Ce rôle utilise la politique suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:CompleteLifecycleAction", "autoscaling:DeleteLifecycleHook", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLifecycleHooks", "autoscaling:PutLifecycleHook", "autoscaling:RecordLifecycleActionHeartbeat", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:EnableMetricsCollection", "autoscaling:DescribePolicies", "autoscaling:DescribeScheduledActions", "autoscaling:DescribeNotificationConfigurations", "autoscaling:SuspendProcesses", "autoscaling:ResumeProcesses", "autoscaling:AttachLoadBalancers", "autoscaling:AttachLoadBalancerTargetGroups", "autoscaling:PutScalingPolicy", "autoscaling:PutScheduledUpdateGroupAction", "autoscaling:PutNotificationConfiguration", "autoscaling:PutWarmPool", "autoscaling:DescribeScalingActivities", "autoscaling:DeleteAutoScalingGroup", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:TerminateInstances", "tag:GetResources", "sns:Publish", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets" ], "Resource": "resource_ARN" } ] }
Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*"
CodeCatalyst rôle de déploiement pour Amazon ECS
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Vous pouvez utiliser le rôle de CodeCatalystWorkflowDevelopmentRole-spaceNameservice par défaut ou créer un rôle IAM pour les actions de déploiement à utiliser pour les CodeCatalyst déploiements Lambda. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon ECS de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
-
Lancez le déploiement progressif d'Amazon ECS pour le compte d'un CodeCatalyst utilisateur, sur un compte spécifié dans la CodeCatalyst connexion.
-
Lisez, mettez à jour et supprimez des ensembles de tâches Amazon ECS.
-
Mettez à jour les groupes cibles, les auditeurs et les règles d'Elastic Load Balancing.
-
Appelez les fonctions Lambda.
-
Accédez aux fichiers de révision dans les compartiments Amazon S3.
-
Récupérez des informations sur les CloudWatch alarmes.
-
Publiez des informations dans les rubriques Amazon SNS.
Ce rôle utilise la politique suivante :
{ "Version": "2012-10-17", "Statement": [{ "Action":[ "ecs:DescribeServices", "ecs:CreateTaskSet", "ecs:DeleteTaskSet", "ecs:ListClusters", "ecs:RegisterTaskDefinition", "ecs:UpdateServicePrimaryTaskSet", "ecs:UpdateService", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:ModifyListener", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:ModifyRule", "lambda:InvokeFunction", "lambda:ListFunctions", "cloudwatch:DescribeAlarms", "sns:Publish", "sns:ListTopics", "s3:GetObject", "s3:GetObjectVersion", "codedeploy:CreateApplication", "codedeploy:CreateDeployment", "codedeploy:CreateDeploymentGroup", "codedeploy:GetApplication", "codedeploy:GetDeployment", "codedeploy:GetDeploymentGroup", "codedeploy:ListApplications", "codedeploy:ListDeploymentGroups", "codedeploy:ListDeployments", "codedeploy:StopDeployment", "codedeploy:GetDeploymentTarget", "codedeploy:ListDeploymentTargets", "codedeploy:GetDeploymentConfig", "codedeploy:GetApplicationRevision", "codedeploy:RegisterApplicationRevision", "codedeploy:BatchGetApplicationRevisions", "codedeploy:BatchGetDeploymentGroups", "codedeploy:BatchGetDeployments", "codedeploy:BatchGetApplications", "codedeploy:ListApplicationRevisions", "codedeploy:ListDeploymentConfigs", "codedeploy:ContinueDeployment" ], "Resource":"*", "Effect":"Allow" },{"Action":[ "iam:PassRole" ], "Effect":"Allow", "Resource":"*", "Condition":{"StringLike":{"iam:PassedToService":[ "ecs-tasks.amazonaws.com", "codedeploy.amazonaws.com" ] } } }] }
Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*"
CodeCatalyst rôle de déploiement pour Lambda
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Vous pouvez utiliser le rôle de CodeCatalystWorkflowDevelopmentRole-spaceNameservice par défaut ou créer un rôle IAM pour les actions de déploiement à utiliser pour les CodeCatalyst déploiements Lambda. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
-
Lisez, mettez à jour et invoquez des fonctions et des alias Lambda.
-
Accédez aux fichiers de révision dans les compartiments Amazon S3.
-
Récupérez des informations sur les alarmes liées CloudWatch aux événements.
-
Publiez des informations dans les rubriques Amazon SNS.
Ce rôle utilise la politique suivante :
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*"
CodeCatalyst rôle de déploiement pour Lambda
Pour les actions de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de CodeCatalystWorkflowDevelopmentRole-spaceNameservice par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
-
Lisez, mettez à jour et invoquez des fonctions et des alias Lambda.
-
Accédez aux fichiers de révision dans les compartiments Amazon S3.
-
Récupérez des informations sur les CloudWatch alarmes.
-
Publiez des informations dans les rubriques Amazon SNS.
Ce rôle utilise la politique suivante :
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:UpdateAlias", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig", "sns:Publish" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:::function:CodeDeployHook_*", "Effect": "Allow" } ] }
Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*"
CodeCatalyst rôle de déploiement pour AWS SAM
Pour les actions de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de CodeCatalystWorkflowDevelopmentRole-spaceNameservice par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches AWS SAM et AWS CloudFormation des ressources sur votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
-
Permet CodeCatalyst d'invoquer une fonction Lambda pour effectuer le déploiement d'applications sans serveur et d'applications CLI AWS SAM .
-
Permet de CodeCatalyst créer et de mettre à jour des piles et des ensembles de modifications dans. AWS CloudFormation
Ce rôle utilise la politique suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }
Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*"
CodeCatalyst rôle en lecture seule pour Amazon EC2
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon EC2 de votre. Compte AWS Le rôle CodeCatalystWorkflowDevelopmentRole-spaceNamede service n'inclut pas les autorisations pour Amazon EC2 ni les actions décrites pour Amazon. CloudWatch
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
-
Obtenez le statut des instances Amazon EC2.
-
Obtenez CloudWatch des statistiques pour les instances Amazon EC2.
Ce rôle utilise la politique suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe", "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": "elasticloadbalancing:Describe", "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:Describe" ], "Resource": "resource_ARN" }, { "Effect": "Allow", "Action": "autoscaling:Describe", "Resource": "resource_ARN" } ] }
Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*"
CodeCatalyst rôle en lecture seule pour Amazon ECS
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon ECS de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
-
Lisez les ensembles de tâches Amazon ECS.
-
Récupérez des informations sur les CloudWatch alarmes.
Ce rôle utilise la politique suivante :
*{* "Version": "2012-10-17", "Statement": [ { "Action": [ "ecs:DescribeServices", "cloudwatch:DescribeAlarms" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeRules" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam:::role/ecsTaskExecutionRole", "arn:aws:iam:::role/ECSTaskExecution" ], "Condition": { "StringLike": { "iam:PassedToService": [ "ecs-tasks.amazonaws.com" ] } } } ] }
Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*"
CodeCatalyst rôle en lecture seule pour Lambda
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS
Ce rôle donne des autorisations pour ce qui suit :
-
Lisez les fonctions Lambda et les alias.
-
Accédez aux fichiers de révision dans les compartiments Amazon S3.
-
Récupérez des informations sur les CloudWatch alarmes.
Le rôle utilise la stratégie suivante.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarms", "lambda:GetAlias", "lambda:GetProvisionedConcurrencyConfig" ], "Resource": "resource_ARN", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::/CodeDeploy/", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "", "Condition": { "StringEquals": { "s3:ExistingObjectTag/UseWithCodeDeploy": "true" } }, "Effect": "Allow" } ] }
Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*"
Création manuelle de rôles pour les actions de flux de travail
CodeCatalyst les actions de flux de travail utilisent les rôles IAM que vous créez, appelés rôle de construction, rôle de déploiement et rôle de pile.
Suivez ces étapes pour créer ces rôles dans IAM.
Pour créer un rôle de déploiement
-
Créez une politique pour le rôle, comme suit :
-
Connectez-vous à AWS.
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez Policies (Politiques).
-
Sélectionnez Create policy (Créer une politique).
-
Choisissez l'onglet JSON.
-
Supprimez le code existant.
-
Collez le code suivant :
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:Describe*", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:List*", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*" -
Choisissez Suivant : Balises.
-
Choisissez Suivant : Vérification.
-
Dans Nom, entrez :
codecatalyst-deploy-policy -
Choisissez Créer une politique.
Vous venez de créer une politique d'autorisation.
-
-
Créez le rôle de déploiement comme suit :
-
Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.
-
Choisissez une politique de confiance personnalisée.
-
Supprimez la politique de confiance personnalisée existante.
-
Ajoutez la politique de confiance personnalisée suivante :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Choisissez Suivant.
-
Dans Politiques d'autorisations, recherchez
codecatalyst-deploy-policyet cochez la case correspondante. -
Choisissez Suivant.
-
Dans Nom du rôle, entrez :
codecatalyst-deploy-role -
Dans le champ Description du rôle, entrez :
CodeCatalyst deploy role -
Sélectionnez Créer un rôle.
Vous venez de créer un rôle de déploiement avec une politique de confiance et une politique d'autorisations.
-
-
Obtenez l'ARN du rôle de déploiement, comme suit :
-
Dans le panneau de navigation, choisissez Roles (Rôles).
-
Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (
codecatalyst-deploy-role). -
Choisissez le rôle dans la liste.
La page Résumé du rôle apparaît.
-
En haut, copiez la valeur de l'ARN.
Vous avez maintenant créé le rôle de déploiement avec les autorisations appropriées et obtenu son ARN.
-
Pour créer un rôle de build
-
Créez une politique pour le rôle, comme suit :
-
Connectez-vous à AWS.
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez Policies (Politiques).
-
Sélectionnez Create policy (Créer une politique).
-
Choisissez l'onglet JSON.
-
Supprimez le code existant.
-
Collez le code suivant :
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:PutObject", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }] }Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*" -
Choisissez Suivant : Balises.
-
Choisissez Suivant : Vérification.
-
Dans Nom, entrez :
codecatalyst-build-policy -
Choisissez Créer une politique.
Vous venez de créer une politique d'autorisation.
-
-
Créez le rôle de build, comme suit :
-
Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.
-
Choisissez une politique de confiance personnalisée.
-
Supprimez la politique de confiance personnalisée existante.
-
Ajoutez la politique de confiance personnalisée suivante :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Choisissez Suivant.
-
Dans Politiques d'autorisations, recherchez
codecatalyst-build-policyet cochez la case correspondante. -
Choisissez Suivant.
-
Dans Nom du rôle, entrez :
codecatalyst-build-role -
Dans le champ Description du rôle, entrez :
CodeCatalyst build role -
Sélectionnez Créer un rôle.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
-
-
Obtenez l'ARN du rôle de build, comme suit :
-
Dans le panneau de navigation, choisissez Roles (Rôles).
-
Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (
codecatalyst-build-role). -
Choisissez le rôle dans la liste.
La page Résumé du rôle apparaît.
-
En haut, copiez la valeur de l'ARN.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.
-
Pour créer un rôle de pile
Note
Il n'est pas nécessaire de créer un rôle de pile, bien que cela soit recommandé pour des raisons de sécurité. Si vous ne créez pas le rôle de pile, vous devrez ajouter les politiques d'autorisation décrites plus loin dans cette procédure au rôle de déploiement.
-
Connectez-vous à AWS l'aide du compte sur lequel vous souhaitez déployer votre stack.
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation, sélectionnez Rôles, puis sélectionnez Créer un rôle.
-
En haut de la page, sélectionnez le AWS service.
-
Dans la liste des services, sélectionnez CloudFormation.
-
Sélectionnez Next: Permissions (Étape suivante : autorisations).
-
Dans le champ de recherche, ajoutez les politiques nécessaires pour accéder aux ressources de votre pile. Par exemple, si votre pile inclut une AWS Lambda fonction, vous devez ajouter une politique qui accorde l'accès à Lambda.
Astuce
Si vous ne savez pas quelles politiques ajouter, vous pouvez les omettre pour le moment. Lorsque vous testez l'action, si vous ne disposez pas des autorisations appropriées AWS CloudFormation , des erreurs indiquent les autorisations que vous devez ajouter.
-
Choisissez Suivant : Balises.
-
Choisissez Suivant : Vérification.
-
Dans Nom du rôle, entrez :
codecatalyst-stack-role -
Sélectionnez Créer un rôle.
-
Pour obtenir l'ARN du rôle de pile, procédez comme suit :
-
Dans le panneau de navigation, choisissez Roles (Rôles).
-
Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (
codecatalyst-stack-role). -
Choisissez le rôle dans la liste.
-
Sur la page Résumé, copiez la valeur ARN du rôle.
-
Utilisation AWS CloudFormation pour créer des politiques et des rôles dans IAM
Vous pouvez choisir de créer et d'utiliser des AWS CloudFormation modèles pour créer les politiques et les rôles dont vous avez besoin pour accéder aux ressources dans et Compte AWS pour vos CodeCatalyst projets et flux de travail. AWS CloudFormation est un service qui vous aide à modéliser et à configurer vos AWS ressources afin que vous puissiez passer moins de temps à gérer ces ressources et plus de temps à vous concentrer sur les applications qui s'exécutent sur AWS. Si vous avez l'intention de créer plusieurs rôles Comptes AWS, la création d'un modèle peut vous aider à effectuer cette tâche plus rapidement.
L'exemple de modèle suivant crée un rôle et une politique d'action de déploiement.
Parameters: CodeCatalystAccountId: Type: String Description: Account ID from the connections page ExternalId: Type: String Description: External ID from the connections page Resources: CrossAccountRole: Type: 'AWS::IAM::Role' Properties: AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Principal: AWS: - !Ref CodeCatalystAccountId Action: - 'sts:AssumeRole' Condition: StringEquals: sts:ExternalId: !Ref ExternalId Path: / Policies: - PolicyName: CodeCatalyst-CloudFormation-action-policy PolicyDocument: Version: "2012-10-17" Statement: - Effect: Allow Action: - 'cloudformation:CreateStack' - 'cloudformation:DeleteStack' - 'cloudformation:Describe*' - 'cloudformation:UpdateStack' - 'cloudformation:CreateChangeSet' - 'cloudformation:DeleteChangeSet' - 'cloudformation:ExecuteChangeSet' - 'cloudformation:SetStackPolicy' - 'cloudformation:ValidateTemplate' - 'cloudformation:List*' - 'iam:PassRole' Resource: '*'
Création manuelle du rôle pour le plan de l'application Web
Le plan d'application CodeCatalyst Web utilise les rôles IAM que vous créez, appelés rôle de construction pour CDK, rôle de déploiement et rôle de pile.
Suivez ces étapes pour créer le rôle dans IAM.
Pour créer un rôle de build
-
Créez une politique pour le rôle, comme suit :
-
Connectez-vous à AWS.
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez Policies (Politiques).
-
Choisissez Create Policy (Créer une politique).
-
Choisissez l'onglet JSON.
-
Supprimez le code existant.
-
Collez le code suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "ecr:*", "ssm:*", "s3:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "*" } ] }Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*" -
Choisissez Suivant : Balises.
-
Choisissez Suivant : Vérification.
-
Dans Nom, entrez :
codecatalyst-webapp-build-policy -
Choisissez Créer une politique.
Vous venez de créer une politique d'autorisation.
-
-
Créez le rôle de build, comme suit :
-
Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.
-
Choisissez une politique de confiance personnalisée.
-
Supprimez la politique de confiance personnalisée existante.
-
Ajoutez la politique de confiance personnalisée suivante :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Choisissez Suivant.
-
Associez la politique d'autorisations au rôle de build. Sur la page Ajouter des autorisations, dans la section Politiques d'autorisations, recherchez
codecatalyst-webapp-build-policyet cochez la case correspondante. -
Choisissez Suivant.
-
Dans Nom du rôle, entrez :
codecatalyst-webapp-build-role -
Dans le champ Description du rôle, entrez :
CodeCatalyst Web app build role -
Sélectionnez Créer un rôle.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
-
-
Associez la politique d'autorisations au rôle de build, comme suit :
-
Dans le volet de navigation, choisissez Rôles, puis recherchez
codecatalyst-webapp-build-role. -
Choisissez
codecatalyst-webapp-build-roled'en afficher les détails. -
Dans l'onglet Autorisations, choisissez Ajouter des autorisations, puis choisissez Joindre des politiques.
-
Recherchez
codecatalyst-webapp-build-policy, cochez sa case, puis choisissez Joindre des politiques.Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.
-
-
Obtenez l'ARN du rôle de build, comme suit :
-
Dans le panneau de navigation, choisissez Roles (Rôles).
-
Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (
codecatalyst-webapp-build-role). -
Choisissez le rôle dans la liste.
La page Résumé du rôle apparaît.
-
En haut, copiez la valeur de l'ARN.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.
-
Création manuelle de rôles pour le plan SAM
Le plan CodeCatalyst SAM utilise les rôles IAM que vous créez, appelés rôle de création CloudFormation et rôle de déploiement pour SAM.
Suivez ces étapes pour créer les rôles dans IAM.
Pour créer un rôle de build pour CloudFormation
-
Créez une politique pour le rôle, comme suit :
-
Connectez-vous à AWS.
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez Policies (Politiques).
-
Choisissez Create Policy (Créer une politique).
-
Choisissez l'onglet JSON.
-
Supprimez le code existant.
-
Collez le code suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:*", "cloudformation:*" ], "Resource": "*" } ] }Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*" -
Choisissez Suivant : Balises.
-
Choisissez Suivant : Vérification.
-
Dans Nom, entrez :
codecatalyst-SAM-build-policy -
Choisissez Créer une politique.
Vous venez de créer une politique d'autorisation.
-
-
Créez le rôle de build, comme suit :
-
Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.
-
Choisissez une politique de confiance personnalisée.
-
Supprimez la politique de confiance personnalisée existante.
-
Ajoutez la politique de confiance personnalisée suivante :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Choisissez Suivant.
-
Associez la politique d'autorisations au rôle de build. Sur la page Ajouter des autorisations, dans la section Politiques d'autorisations, recherchez
codecatalyst-SAM-build-policyet cochez la case correspondante. -
Choisissez Suivant.
-
Dans Nom du rôle, entrez :
codecatalyst-SAM-build-role -
Dans le champ Description du rôle, entrez :
CodeCatalyst SAM build role -
Sélectionnez Créer un rôle.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
-
-
Associez la politique d'autorisations au rôle de build, comme suit :
-
Dans le volet de navigation, choisissez Rôles, puis recherchez
codecatalyst-SAM-build-role. -
Choisissez
codecatalyst-SAM-build-roled'en afficher les détails. -
Dans l'onglet Autorisations, choisissez Ajouter des autorisations, puis choisissez Joindre des politiques.
-
Recherchez
codecatalyst-SAM-build-policy, cochez sa case, puis choisissez Joindre des politiques.Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.
-
-
Obtenez l'ARN du rôle de build, comme suit :
-
Dans le panneau de navigation, choisissez Roles (Rôles).
-
Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (
codecatalyst-SAM-build-role). -
Choisissez le rôle dans la liste.
La page Résumé du rôle apparaît.
-
En haut, copiez la valeur de l'ARN.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.
-
Pour créer un rôle de déploiement pour SAM
-
Créez une politique pour le rôle, comme suit :
-
Connectez-vous à AWS.
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez Policies (Politiques).
-
Choisissez Create Policy (Créer une politique).
-
Choisissez l'onglet JSON.
-
Supprimez le code existant.
-
Collez le code suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "iam:PassRole", "iam:DeleteRole", "iam:GetRole", "iam:TagRole", "iam:CreateRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "cloudformation:*", "lambda:*", "apigateway:*" ], "Resource": "*" } ] }Note
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
"Resource": "*" -
Choisissez Suivant : Balises.
-
Choisissez Suivant : Vérification.
-
Dans Nom, entrez :
codecatalyst-SAM-deploy-policy -
Choisissez Créer une politique.
Vous venez de créer une politique d'autorisation.
-
-
Créez le rôle de build, comme suit :
-
Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.
-
Choisissez une politique de confiance personnalisée.
-
Supprimez la politique de confiance personnalisée existante.
-
Ajoutez la politique de confiance personnalisée suivante :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
Choisissez Suivant.
-
Associez la politique d'autorisations au rôle de build. Sur la page Ajouter des autorisations, dans la section Politiques d'autorisations, recherchez
codecatalyst-SAM-deploy-policyet cochez la case correspondante. -
Choisissez Suivant.
-
Dans Nom du rôle, entrez :
codecatalyst-SAM-deploy-role -
Dans le champ Description du rôle, entrez :
CodeCatalyst SAM deploy role -
Sélectionnez Créer un rôle.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
-
-
Associez la politique d'autorisations au rôle de build, comme suit :
-
Dans le volet de navigation, choisissez Rôles, puis recherchez
codecatalyst-SAM-deploy-role. -
Choisissez
codecatalyst-SAM-deploy-roled'en afficher les détails. -
Dans l'onglet Autorisations, choisissez Ajouter des autorisations, puis choisissez Joindre des politiques.
-
Recherchez
codecatalyst-SAM-deploy-policy, cochez sa case, puis choisissez Joindre des politiques.Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.
-
-
Obtenez l'ARN du rôle de build, comme suit :
-
Dans le panneau de navigation, choisissez Roles (Rôles).
-
Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (
codecatalyst-SAM-deploy-role). -
Choisissez le rôle dans la liste.
La page Résumé du rôle apparaît.
-
En haut, copiez la valeur de l'ARN.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.
-
