Comprendre le modèle de CodeCatalyst confiance

Le modèle de CodeCatalyst confiance d'Amazon CodeCatalyst permet d'assumer le rôle de service dans le connecté Compte AWS. Le modèle fait le lien entre le rôle IAM, les principaux de CodeCatalyst service et l' CodeCatalyst espace. La politique de confiance utilise la clé de aws:SourceArn condition pour accorder des autorisations à l' CodeCatalyst espace spécifié dans la clé de condition. Pour plus d'informations sur cette clé de condition, consultez aws : SourceArn dans le guide de l'utilisateur IAM.

Une politique de confiance est un document de politique JSON dans lequel vous définissez les mandataires auxquels vous faites confiance pour assumer le rôle. Une politique d'approbation de rôle est une politique basée sur les ressources requise qui est attachée à un rôle dans IAM. Pour plus d'informations, consultez la section Termes et concepts du guide de l'utilisateur IAM. Pour plus de détails sur les principes de service pour CodeCatalyst, voirPrincipes de service pour CodeCatalyst.

Dans la politique de confiance suivante, les principaux de service répertoriés dans l'Principalélément reçoivent des autorisations issues de la politique basée sur les ressources, et le Condition bloc est utilisé pour limiter l'accès à la ressource délimitée.


"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
             "Principal": { 
                "Service": [ 
                    "codecatalyst-runner.amazonaws.com",
                    "codecatalyst.amazonaws.com" 
                ] 
            }, 
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
                }
            }
        }
    ]

Dans le cadre de la politique de confiance, les responsables du CodeCatalyst service ont accès via la clé de aws:SourceArn condition, qui contient le nom de ressource Amazon (ARN) pour l'identifiant de l' CodeCatalyst espace. L'ARN utilise le format suivant :


arn:aws:codecatalyst:::space/spaceId/project/*

Important

Utilisez l'identifiant de l'espace uniquement dans les clés de condition, telles queaws:SourceArn. N'utilisez pas l'ID d'espace dans les déclarations de politique IAM comme ARN de ressource.

Il est recommandé de limiter autant que possible les autorisations dans la politique.

Vous pouvez utiliser le caractère générique (*) dans la clé de aws:SourceArn condition pour spécifier tous les projets dans l'espace avecproject/*.
Vous pouvez spécifier des autorisations au niveau des ressources dans la clé de aws:SourceArn condition pour un projet spécifique dans l'espace avec. project/projectId

Principes de service pour CodeCatalyst

Vous utilisez l'Principalélément dans une politique JSON basée sur les ressources pour spécifier le principal auquel l'accès à une ressource est autorisé ou refusé. Les principaux que vous pouvez spécifier dans la politique d'approbation comprennent les utilisateurs, les rôles, les comptes et les services. Vous ne pouvez pas utiliser l'Principalélément dans une stratégie basée sur l'identité ; de même, vous ne pouvez pas identifier un groupe d'utilisateurs en tant que principal dans une stratégie (telle qu'une stratégie basée sur les ressources) car les groupes sont liés aux autorisations et non à l'authentification, et les principaux sont des entités IAM authentifiées.

Dans la politique de confiance, vous pouvez spécifier AWS services dans l'Principalélément d'une politique basée sur les ressources ou dans des clés de condition qui prennent en charge les principaux. Les principes du service sont définis par le service. Les principes de service suivants sont définis pour CodeCatalyst :

codecatalyst.amazonaws.com - Ce principal de service est utilisé pour un rôle qui accordera l'accès à. CodeCatalyst AWS
codecatalyst-runner.amazonaws.com - Ce principal de service est utilisé pour un rôle qui accordera l'accès aux ressources lors des déploiements pour les flux de travail. CodeCatalyst AWS CodeCatalyst

Pour plus d'informations, voir Éléments de politique AWS JSON : Principal dans le guide de l'utilisateur IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques pour les actions de flux de travail

Surveillance des événements et des API appels à l'aide de la journalisation