Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des identités et des accès pour AWS CodeStar les notifications et AWS CodeConnections
AWS Identity and Access Management (IAM) est un outil AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. IAMles administrateurs contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser les AWS CodeStar notifications et les AWS CodeConnections ressources. IAMest un AWS service outil que vous pouvez utiliser sans frais supplémentaires.
Note
Les actions pour les ressources créées sous le nouveau préfixe de service codeconnections sont disponibles. La création d'une ressource sous le nouveau préfixe de service sera utilisée codeconnections dans la ressourceARN. Les actions et les ressources relatives au préfixe de codestar-connections service restent disponibles. Lorsque vous spécifiez une ressource dans la IAM politique, le préfixe de service doit correspondre à celui de la ressource.
Rubriques
- Public ciblé
- Authentification par des identités
- Gestion des accès à l’aide de politiques
- Fonctionnement des fonctionnalités de la console des outils de développement avec IAM
- AWS CodeConnections référence aux autorisations
- Exemples de politiques basées sur l’identité
- Utilisation de balises pour contrôler l'accès aux AWS CodeConnections ressources
- Utilisation de notifications et de connexions dans la console
- Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
- AWS CodeStar Notifications de résolution des problèmes, AWS CodeConnections identité et accès
- Utilisation de rôles liés à un service pour les notifications AWS CodeStar
- Utilisation des rôles liés aux services pour AWS CodeConnections
- AWS politiques gérées pour AWS CodeConnections
Public ciblé
La façon dont vous utilisez AWS Identity and Access Management (IAM) varie en fonction du travail que vous effectuez dans AWS CodeStar Notifications et AWS CodeConnections.
Utilisateur du service : si vous utilisez les AWS CodeStar notifications et le AWS CodeConnections service pour effectuer votre travail, votre administrateur vous fournit les informations d'identification et les autorisations dont vous avez besoin. Au fur et à mesure que vous utilisez davantage de AWS CodeStar notifications et de AWS CodeConnections fonctionnalités pour effectuer votre travail, vous aurez peut-être besoin d'autorisations supplémentaires. En comprenant bien la gestion des accès, vous saurez demander les autorisations appropriées à votre administrateur. Si vous ne parvenez pas à accéder à une fonctionnalité dans AWS CodeStar les notifications et AWS CodeConnections, consultezAWS CodeStar Notifications de résolution des problèmes, AWS CodeConnections identité et accès.
Administrateur du service — Si vous êtes responsable des AWS CodeStar notifications et des AWS CodeConnections ressources de votre entreprise, vous avez probablement un accès complet aux AWS CodeStar notifications et AWS CodeConnections. C'est à vous de déterminer les AWS CodeStar notifications, les AWS CodeConnections fonctionnalités et les ressources auxquelles les utilisateurs de votre service doivent accéder. Vous devez ensuite envoyer des demandes à votre IAM administrateur pour modifier les autorisations des utilisateurs de votre service. Consultez les informations de cette page pour comprendre les concepts de base deIAM. Pour en savoir plus sur la façon dont votre entreprise peut utiliser IAM AWS CodeStar les notifications et AWS CodeConnections consultezFonctionnement des fonctionnalités de la console des outils de développement avec IAM.
IAMadministrateur — Si vous êtes IAM administrateur, vous souhaiterez peut-être en savoir plus sur la manière dont vous pouvez rédiger des politiques pour gérer l'accès aux AWS CodeStar notifications et AWS CodeConnections. Pour consulter AWS CodeStar des exemples de notifications et de politiques AWS CodeConnections basées sur l'identité que vous pouvez utiliserIAM, consultez. Exemples de politiques basées sur l’identité
Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié (connecté à AWS) en tant que Utilisateur racine d'un compte AWS, en tant qu'IAMutilisateur ou en assumant un IAM rôle.
Vous pouvez vous connecter en AWS tant qu'identité fédérée en utilisant les informations d'identification fournies par le biais d'une source d'identité. AWS IAM Identity Center Les utilisateurs (IAMIdentity Center), l'authentification unique de votre entreprise et vos informations d'identification Google ou Facebook sont des exemples d'identités fédérées. Lorsque vous vous connectez en tant qu'identité fédérée, votre administrateur a préalablement configuré la fédération d'identité à l'aide de IAM rôles. Lorsque vous accédez à AWS l'aide de la fédération, vous assumez indirectement un rôle.
Selon le type d'utilisateur que vous êtes, vous pouvez vous connecter au portail AWS Management Console ou au portail AWS d'accès. Pour plus d'informations sur la connexion à AWS, consultez la section Comment vous connecter à votre compte Compte AWS dans le guide de Connexion à AWS l'utilisateur.
Si vous y accédez AWS par programmation, AWS fournit un kit de développement logiciel (SDK) et une interface de ligne de commande (CLI) pour signer cryptographiquement vos demandes à l'aide de vos informations d'identification. Si vous n'utilisez pas d' AWS outils, vous devez signer vous-même les demandes. Pour plus d'informations sur l'utilisation de la méthode recommandée pour signer vous-même les demandes, consultez la section Signature des AWS API demandes dans le guide de IAM l'utilisateur.
Quelle que soit la méthode d’authentification que vous utilisez, vous devrez peut-être fournir des informations de sécurité supplémentaires. Par exemple, il vous AWS recommande d'utiliser l'authentification multifactorielle (MFA) pour renforcer la sécurité de votre compte. Pour en savoir plus, consultez Authentification multifactorielle dans le guide de AWS IAM Identity Center l'utilisateur et Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'IAMutilisateur.
Utilisateur racine d'un compte AWS
Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique qui donne un accès complet à toutes AWS services les ressources du compte. Cette identité est appelée utilisateur Compte AWS root et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, consultez la section Tâches nécessitant des informations d'identification utilisateur root dans le guide de IAM l'utilisateur.
Utilisateurs et groupes IAM
Un IAMutilisateur est une identité au sein de vous Compte AWS qui possède des autorisations spécifiques pour une seule personne ou une seule application. Dans la mesure du possible, nous vous recommandons de vous appuyer sur des informations d'identification temporaires plutôt que de créer des IAM utilisateurs dotés d'informations d'identification à long terme, telles que des mots de passe et des clés d'accès. Toutefois, si vous avez des cas d'utilisation spécifiques qui nécessitent des informations d'identification à long terme auprès des IAM utilisateurs, nous vous recommandons de faire pivoter les clés d'accès. Pour plus d'informations, voir Rotation régulière des clés d'accès pour les cas d'utilisation nécessitant des informations d'identification à long terme dans le Guide de IAM l'utilisateur.
Un IAMgroupe est une identité qui définit un ensemble d'IAMutilisateurs. Vous ne pouvez pas vous connecter en tant que groupe. Vous pouvez utiliser les groupes pour spécifier des autorisations pour plusieurs utilisateurs à la fois. Les groupes permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Par exemple, vous pouvez nommer un groupe IAMAdminset lui donner les autorisations nécessaires pour administrer IAM des ressources.
Les utilisateurs sont différents des rôles. Un utilisateur est associé de manière unique à une personne ou une application, alors qu’un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. Les utilisateurs disposent d’informations d’identification permanentes, mais les rôles fournissent des informations d’identification temporaires. Pour en savoir plus, voir Quand créer un IAM utilisateur (au lieu d'un rôle) dans le Guide de IAM l'utilisateur.
Rôles IAM
Un IAMrôle est une identité au sein de Compte AWS vous dotée d'autorisations spécifiques. Il est similaire à un IAM utilisateur, mais n'est pas associé à une personne en particulier. Vous pouvez assumer temporairement un IAM rôle dans le en AWS Management Console changeant de rôle. Vous pouvez assumer un rôle en appelant une AWS API opération AWS CLI or ou en utilisant une option personnaliséeURL. Pour plus d'informations sur les méthodes d'utilisation des rôles, consultez la section Utilisation IAM des rôles dans le Guide de IAM l'utilisateur.
IAMles rôles dotés d'informations d'identification temporaires sont utiles dans les situations suivantes :
-
Accès utilisateur fédéré – Pour attribuer des autorisations à une identité fédérée, vous créez un rôle et définissez des autorisations pour le rôle. Quand une identité externe s’authentifie, l’identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour plus d'informations sur les rôles pour la fédération, voir Création d'un rôle pour un fournisseur d'identité tiers dans le guide de IAM l'utilisateur. Si vous utilisez IAM Identity Center, vous configurez un ensemble d'autorisations. Pour contrôler les accès auxquels vos identités peuvent accéder après leur authentification, IAM Identity Center met en corrélation l'ensemble d'autorisations avec un rôle dans. IAM Pour plus d’informations sur les jeux d’autorisations, consultez la rubrique Jeux d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center .
-
Autorisations IAM utilisateur temporaires : un IAM utilisateur ou un rôle peut assumer un IAM rôle afin d'obtenir temporairement différentes autorisations pour une tâche spécifique.
-
Accès entre comptes : vous pouvez utiliser un IAM rôle pour autoriser une personne (un mandant fiable) d'un autre compte à accéder aux ressources de votre compte. Les rôles constituent le principal moyen d’accorder l’accès intercompte. Toutefois, dans certains AWS services cas, vous pouvez associer une politique directement à une ressource (au lieu d'utiliser un rôle comme proxy). Pour connaître la différence entre les rôles et les politiques basées sur les ressources pour l'accès entre comptes, voir Accès aux ressources entre comptes IAM dans le guide de l'IAMutilisateur.
-
Accès multiservices — Certains AWS services utilisent des fonctionnalités dans d'autres AWS services. Par exemple, lorsque vous effectuez un appel dans un service, il est courant que ce service exécute des applications dans Amazon EC2 ou stocke des objets dans Amazon S3. Un service peut le faire en utilisant les autorisations d’appel du principal, un rôle de service ou un rôle lié au service.
-
Sessions d'accès transmises (FAS) — Lorsque vous utilisez un IAM utilisateur ou un rôle pour effectuer des actions AWS, vous êtes considéré comme un mandant. Lorsque vous utilisez certains services, vous pouvez effectuer une action qui initie une autre action dans un autre service. FASutilise les autorisations du principal appelant an AWS service, combinées à la demande AWS service pour adresser des demandes aux services en aval. FASles demandes ne sont effectuées que lorsqu'un service reçoit une demande qui nécessite des interactions avec d'autres personnes AWS services ou des ressources pour être traitée. Dans ce cas, vous devez disposer d’autorisations nécessaires pour effectuer les deux actions. Pour plus de détails sur les politiques relatives FAS aux demandes, consultez la section Transférer les sessions d'accès.
-
Rôle de service — Un rôle de service est un IAMrôle qu'un service assume pour effectuer des actions en votre nom. Un IAM administrateur peut créer, modifier et supprimer un rôle de service de l'intérieurIAM. Pour plus d'informations, consultez la section Création d'un rôle auquel déléguer des autorisations AWS service dans le Guide de IAM l'utilisateur.
-
Rôle lié à un service — Un rôle lié à un service est un type de rôle de service lié à un. AWS service Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un IAM administrateur peut consulter, mais pas modifier les autorisations pour les rôles liés à un service.
-
-
Applications exécutées sur Amazon EC2 : vous pouvez utiliser un IAM rôle pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une EC2 instance et qui font AWS CLI des AWS API demandes. Cela est préférable au stockage des clés d'accès dans l'EC2instance. Pour attribuer un AWS rôle à une EC2 instance et le rendre disponible pour toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes exécutés sur l'EC2instance d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez la section Utilisation d'un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le Guide de IAM l'utilisateur.
Pour savoir s'il faut utiliser IAM des rôles ou des IAM utilisateurs, voir Quand créer un IAM rôle (au lieu d'un utilisateur) dans le guide de IAM l'utilisateur.
Gestion des accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique est un objet AWS qui, lorsqu'il est associé à une identité ou à une ressource, définit leurs autorisations. AWS évalue ces politiques lorsqu'un principal (utilisateur, utilisateur root ou session de rôle) fait une demande. Les autorisations dans les politiques déterminent si la demande est autorisée ou refusée. La plupart des politiques sont stockées AWS sous forme de JSON documents. Pour plus d'informations sur la structure et le contenu des documents de JSON politique, voir Présentation des JSON politiques dans le guide de IAM l'utilisateur.
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.
IAMles politiques définissent les autorisations pour une action, quelle que soit la méthode que vous utilisez pour effectuer l'opération. Par exemple, supposons que vous disposiez d’une politique qui autorise l’action iam:GetRole. Un utilisateur doté de cette politique peut obtenir des informations sur le rôle auprès du AWS Management Console AWS CLI, ou du AWS
API.
Politiques basées sur l’identité
Les politiques basées sur l'identité sont JSON des documents de politique d'autorisation que vous pouvez joindre à une identité, telle qu'un IAM utilisateur, un groupe d'utilisateurs ou un rôle. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour savoir comment créer une politique basée sur l'identité, consultez la section Création de IAM politiques dans le Guide de l'IAMutilisateur.
Les politiques basées sur l’identité peuvent être classées comme des politiques en ligne ou des politiques gérées. Les politiques en ligne sont intégrées directement à un utilisateur, groupe ou rôle. Les politiques gérées sont des politiques autonomes que vous pouvez associer à plusieurs utilisateurs, groupes et rôles au sein de votre Compte AWS. Les politiques gérées incluent les politiques AWS gérées et les politiques gérées par le client. Pour savoir comment choisir entre une politique gérée ou une politique intégrée, voir Choisir entre des politiques gérées et des politiques intégrées dans le Guide de l'IAMutilisateur.
AWS CodeConnections référence aux autorisations
Les tableaux suivants répertorient chaque AWS CodeConnections API opération, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations et le format de la ressource ARN à utiliser pour accorder des autorisations. Ils AWS CodeConnections APIs sont regroupés dans des tableaux en fonction de l'étendue des actions autorisées par celaAPI. Reportez-vous à ce document lorsque vous rédigez des politiques d'autorisation que vous pouvez associer à une IAM identité (politiques basées sur l'identité).
Lorsque vous créez une stratégie d'autorisation, vous spécifiez les actions dans le champ Action de la stratégie. Vous spécifiez la valeur de la ressource dans le Resource champ de la politique sous la forme d'un caractère générique (*)ARN, avec ou sans caractère générique (*).
Pour exprimer des conditions dans les stratégies de connexion, vous pouvez utiliser les clés de condition décrites ici et répertoriées dans Clés de condition. Vous pouvez également utiliser des AWS clés de condition larges. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles dans le guide de IAM l'utilisateur.
Pour spécifier une action, utilisez le codeconnections préfixe suivi du nom de l'APIopération (par exemple, codeconnections:ListConnections oucodeconnections:CreateConnection.
Utilisation de caractères génériques
Pour spécifier plusieurs actions ou ressources, utilisez un caractère générique (*) dans votreARN. Par exemple, codeconnections:* spécifie toutes les AWS CodeConnections actions et codeconnections:Get* indique toutes les AWS CodeConnections actions commençant par le motGet. L'exemple suivant accorde l'accès à toutes les ressources dont le nom commence par MyConnection.
arn:aws:codeconnections:us-west-2:account-ID:connection/*
Vous ne pouvez utiliser des caractères génériques qu'avec connection ressources répertoriées dans le tableau suivant. Vous ne pouvez pas utiliser de caractères génériques avec region or account-id ressources. Pour plus d'informations sur les caractères génériques, voir les IAMidentifiants dans le Guide de IAMl'utilisateur.
Rubriques
- Autorisations pour la gestion des connexions
- Autorisations pour la gestion des hôtes
- Autorisations pour établir des connexions
- Autorisations de configuration des hôtes
- Transmission d'une connexion à un service
- Utilisation d'une connexion
- Types d'accès pris en charge pour ProviderAction
- Autorisations prises en charge pour le balisage des ressources de connexion
- Transmission d'une connexion vers un lien de référentiel
- Clé de condition prise en charge pour les liens de référentiel
Autorisations pour la gestion des connexions
Un rôle ou un utilisateur désigné pour utiliser AWS CLI ou SDK pour afficher, créer ou supprimer des connexions doit disposer d'autorisations limitées aux suivantes.
Note
Vous ne pouvez établir ou utiliser une connexion dans la console qu'avec les autorisations suivantes. Vous devez ajouter les autorisations dans Autorisations pour établir des connexions.
codeconnections:CreateConnection codeconnections:DeleteConnection codeconnections:GetConnection codeconnections:ListConnections
Utilisez les barres de défilement pour voir le reste du tableau.
AWS CodeConnections autorisations requises pour gérer les connexions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS CodeConnections actions | Autorisations nécessaires | Ressources | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
CreateConnection |
Nécessaire pour utiliser la console CLI or afin de créer une connexion. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
DeleteConnection |
Nécessaire pour utiliser la console CLI or afin de supprimer une connexion. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
GetConnection |
Nécessaire pour utiliser la console CLI or afin d'afficher les détails d'une connexion. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
ListConnections |
Nécessaire pour utiliser la console CLI or pour répertorier toutes les connexions du compte. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ces opérations prennent en charge les clés de condition suivantes :
| Action | Clés de condition |
|---|---|
|
|
|
codeconnections:DeleteConnection |
N/A |
codeconnections:GetConnection |
N/A |
codeconnections:ListConnections |
codeconnections:ProviderTypeFilter |
Autorisations pour la gestion des hôtes
Un rôle ou un utilisateur désigné pour utiliser AWS CLI ou SDK pour afficher, créer ou supprimer des hôtes doit disposer d'autorisations limitées aux suivantes.
Note
Vous ne pouvez établir ou utiliser une connexion dans l'hôte qu'avec les autorisations suivantes. Vous devez ajouter les autorisations dans Autorisations de configuration des hôtes.
codeconnections:CreateHost codeconnections:DeleteHost codeconnections:GetHost codeconnections:ListHosts
Utilisez les barres de défilement pour voir le reste du tableau.
AWS CodeConnections autorisations requises pour gérer les hôtes | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS CodeConnections actions | Autorisations nécessaires | Ressources | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
CreateHost |
Nécessaire pour utiliser la console CLI or pour créer un hôte. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
DeleteHost |
Nécessaire pour utiliser la console CLI or pour supprimer un hôte. |
connexions par code : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
GetHost |
Nécessaire pour utiliser la console CLI ou pour afficher les informations relatives à un hôte. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
ListHosts |
Nécessaire pour utiliser la console CLI or pour répertorier tous les hôtes du compte. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ces opérations prennent en charge les clés de condition suivantes :
| Action | Clés de condition |
|---|---|
|
|
|
codeconnections:DeleteHost |
N/A |
codeconnections:GetHost |
N/A |
codeconnections:ListHosts |
codeconnections:ProviderTypeFilter |
Autorisations pour établir des connexions
Un rôle ou un utilisateur désigné pour gérer les connexions dans la console doit disposer des autorisations requises pour établir une connexion dans la console et créer une installation, ce qui inclut l'autorisation de négocier avec le fournisseur et de créer des installations pour l'utilisation des connexions. Utilisez les autorisations suivantes en plus des autorisations ci-dessus.
Les IAM opérations suivantes sont utilisées par la console lors d'une poignée de main basée sur un navigateur. LesListInstallationTargets,GetInstallationUrl, StartOAuthHandshakeUpdateConnectionInstallation, et GetIndividualAccessToken sont des autorisations IAM politiques. Ce ne sont pas API des actions.
codeconnections:GetIndividualAccessToken codeconnections:GetInstallationUrl codeconnections:ListInstallationTargets codeconnections:StartOAuthHandshake codeconnections:UpdateConnectionInstallation
Sur la base de ces informations, les autorisations suivantes sont nécessaires pour utiliser, créer, mettre à jour ou supprimer une connexion dans la console.
codeconnections:CreateConnection codeconnections:DeleteConnection codeconnections:GetConnection codeconnections:ListConnections codeconnections:UseConnection codeconnections:ListInstallationTargets codeconnections:GetInstallationUrl codeconnections:StartOAuthHandshake codeconnections:UpdateConnectionInstallation codeconnections:GetIndividualAccessToken
Utilisez les barres de défilement pour voir le reste du tableau.
AWS CodeConnections autorisations requises pour effectuer les connexions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS CodeConnections actions | Autorisations nécessaires | Ressources | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requise pour utiliser la console pour établir une connexion. Il s'agit uniquement d'une autorisation IAM politique, et non d'une API action. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requise pour utiliser la console pour établir une connexion. Il s'agit uniquement d'une autorisation IAM politique, et non d'une API action. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requise pour utiliser la console pour établir une connexion. Il s'agit uniquement d'une autorisation IAM politique, et non d'une API action. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requise pour utiliser la console pour établir une connexion. Il s'agit uniquement d'une autorisation IAM politique, et non d'une API action. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requise pour utiliser la console pour établir une connexion. Il s'agit uniquement d'une autorisation IAM politique, et non d'une API action. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ces opérations prennent en charge les clés de condition suivantes.
| Action | Clés de condition |
|---|---|
codeconnections:GetIndividualAccessToken |
codeconnections:ProviderType |
codeconnections:GetInstallationUrl |
codeconnections:ProviderType |
|
|
N/A |
codeconnections:StartOAuthHandshake |
codeconnections:ProviderType |
codeconnections:UpdateConnectionInstallation |
codeconnections:InstallationId |
Autorisations de configuration des hôtes
Un rôle ou un utilisateur désigné pour gérer les connexions dans la console doit disposer des autorisations requises pour configurer un hôte dans la console, ce qui inclut l'autorisation de négocier avec le fournisseur et d'installer pour l'application de l'hôte. Utilisez les autorisations suivantes en plus des autorisations pour hôtes ci-dessus.
Les IAM opérations suivantes sont utilisées par la console lors de l'enregistrement d'un hôte via un navigateur. RegisterAppCodeet StartAppRegistrationHandshake sont des autorisations IAM politiques. Ce ne sont pas API des actions.
codeconnections:RegisterAppCode codeconnections:StartAppRegistrationHandshake
Sur la base de ces informations, les autorisations suivantes sont nécessaires pour utiliser, créer, mettre à jour ou supprimer une connexion dans la console qui nécessite un hôte (comme les types de fournisseurs installés).
codeconnections:CreateConnection codeconnections:DeleteConnection codeconnections:GetConnection codeconnections:ListConnections codeconnections:UseConnection codeconnections:ListInstallationTargets codeconnections:GetInstallationUrl codeconnections:StartOAuthHandshake codeconnections:UpdateConnectionInstallation codeconnections:GetIndividualAccessToken codeconnections:RegisterAppCode codeconnections:StartAppRegistrationHandshake
Utilisez les barres de défilement pour voir le reste du tableau.
AWS CodeConnections autorisations requises pour terminer la configuration de l'hôte | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Actions liées aux connexions | Autorisations nécessaires | Ressources | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour utiliser la console pour finaliser la configuration de l'hôte. Il s'agit uniquement d'une autorisation IAM politique, et non d'une API action. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour utiliser la console pour finaliser la configuration de l'hôte. Il s'agit uniquement d'une autorisation IAM politique, et non d'une API action. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ces opérations prennent en charge les clés de condition suivantes.
Transmission d'une connexion à un service
Lorsqu'une connexion est transmise à un service (par exemple, lorsqu'une connexion ARN est fournie dans une définition de pipeline pour créer ou mettre à jour un pipeline), l'utilisateur doit avoir l'codeconnections:PassConnectionautorisation.
Utilisez les barres de défilement pour voir le reste du tableau.
AWS CodeConnections autorisations requises pour passer une connexion | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS CodeConnections actions | Autorisations nécessaires | Ressources | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour transférer une connexion à un service. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cette opération prend également en charge la clé de condition suivante :
-
codeconnections:PassedToService
Valeurs prises en charge pour les clés de condition | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Clé | Fournisseurs d'actions valides | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Utilisation d'une connexion
Lorsqu'un service tel que celui-ci CodePipeline utilise une connexion, le rôle de service doit disposer de l'codeconnections:UseConnectionautorisation pour une connexion donnée.
Pour gérer les connexions de la console, la stratégie utilisateur doit avoir l'autorisation codeconnections:UseConnection.
Utilisez les barres de défilement pour voir le reste du tableau.
AWS CodeConnections action requise pour utiliser les connexions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS CodeConnections actions | Autorisations nécessaires | Ressources | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour utiliser une connexion. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cette opération prend également en charge les clés de condition suivantes :
-
codeconnections:BranchName -
codeconnections:FullRepositoryId -
codeconnections:OwnerId -
codeconnections:ProviderAction -
codeconnections:ProviderPermissionsRequired -
codeconnections:RepositoryName
Valeurs prises en charge pour les clés de condition | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Clé | Fournisseurs d'actions valides | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Nom de l'utilisateur et nom d'un référentiel, par exemple |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
read_only ou read_write |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Pour plus d'informations, consultez la section suivante. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Les clés de condition requises pour certaines fonctionnalités peuvent changer au fil du temps. Nous vous recommandons d'utiliser codeconnections:UseConnection pour contrôler l'accès à une connexion, sauf si vos exigences de contrôle d'accès requièrent des autorisations différentes.
Types d'accès pris en charge pour ProviderAction
Lorsqu'une connexion est utilisée par un AWS service, cela entraîne API des appels vers votre fournisseur de code source. Par exemple, un service peut répertorier les référentiels pour une connexion Bitbucket en appelant le. https://api.bitbucket.org/2.0/repositories/ APIusername
La clé de ProviderAction condition vous permet de restreindre APIs le fournisseur qui peut être appelé. Comme le API chemin peut être généré dynamiquement et qu'il varie d'un fournisseur à l'autre, la ProviderAction valeur est mappée sur un nom d'action abstrait plutôt que sur URL leAPI. Cela vous permet d'écrire des stratégies qui ont le même effet quel que soit le type de fournisseur de la connexion.
Voici les types d'accès qui sont accordés pour chacune des valeurs ProviderAction prises en charge. Les autorisations définies dans les IAM politiques sont les suivantes. Ce ne sont pas API des actions.
Utilisez les barres de défilement pour voir le reste du tableau.
AWS CodeConnections types d'accès pris en charge pour ProviderAction | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS CodeConnections autorisation | Autorisations nécessaires | Ressources | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour accéder aux informations d'une branche, telles que la dernière validation de cette branche. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour accéder à une liste de référentiels publics et privés qui appartiennent à un propriétaire, ainsi qu'aux détails sur ces référentiels. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour accéder à la liste des propriétaires auxquels la connexion a accès. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour accéder à la liste des branches qui existent sur un référentiel donné. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour lire le code source et le télécharger sur Amazon S3. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour écrire dans un référentiel à l'aide de Git. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour lire les données d'un référentiel à l'aide de Git. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetUploadArchiveToS3Status |
Requis pour accéder à l'état d'un chargement, y compris aux messages d'erreur par |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreatePullRequestDiffComment |
Requis pour accéder aux commentaires sur une demande d'extraction. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetPullRequest |
Requis pour afficher les demandes d'extraction d'un référentiel. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour afficher une liste de validations pour une branche du référentiel. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour afficher une liste de fichiers pour une validation. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour afficher une liste de commentaires pour une demande d'extraction. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour afficher une liste de validations pour une requête d'extraction. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Autorisations prises en charge pour le balisage des ressources de connexion
Les IAM opérations suivantes sont utilisées lors du balisage des ressources de connexion.
codeconnections:ListTagsForResource codeconnections:TagResource codeconnections:UntagResource
Utilisez les barres de défilement pour voir le reste du tableau.
AWS CodeConnections actions requises pour le balisage des ressources de connexion | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS CodeConnections actions | Autorisations nécessaires | Ressources | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour afficher une liste des balises associées à la ressource de connexion. |
arn:aws:codes-connexions : arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Requis pour baliser une ressource de connexion. |
arn:aws:codes-connexions : arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Autorisation requise pour supprimer des balises d'une ressource de connexion. |
arn:aws:codes-connexions : arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Transmission d'une connexion vers un lien de référentiel
Lorsqu'un lien de dépôt est fourni dans une configuration de synchronisation, l'utilisateur doit avoir l'codeconnections:PassRepositoryautorisation pour le lien de référentiel /resource. ARN
Utilisez les barres de défilement pour voir le reste du tableau.
AWS CodeConnections autorisations requises pour passer une connexion | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS CodeConnections actions | Autorisations nécessaires | Ressources | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Nécessaire pour transmettre un lien de référentiel à une configuration de synchronisation. |
arn:aws:codes-connexions : |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cette opération prend également en charge la clé de condition suivante :
-
codeconnections:PassedToService
Valeurs prises en charge pour les clés de condition | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Clé | Fournisseurs d'actions valides | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Clé de condition prise en charge pour les liens de référentiel
Les opérations relatives aux liens de référentiel et aux ressources de configuration de synchronisation sont prises en charge par la clé de condition suivante :
-
codeconnections:BranchFiltre l'accès en fonction du nom de la branche transmis dans la demande.
Actions prises en charge pour la clé de condition | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Clé | Valeurs valides | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Les actions suivantes sont prises en charge pour cette clé de condition :
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Utilisation de notifications et de connexions dans la console
L'expérience des notifications est intégrée aux CodePipeline consoles CodeBuild, CodeCommit, et CodeDeploy, ainsi que dans la console des outils de développement, dans la barre de navigation des paramètres elle-même. Pour accéder aux notifications dans les consoles, vous devez appliquer l'une des stratégies gérées pour ces services ou disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails relatifs aux AWS CodeStar notifications et AWS CodeConnections aux ressources de votre AWS compte. Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (IAMutilisateurs ou rôles) dotées de cette politique. Pour plus d'informations sur l'octroi de l'accès à AWS CodeBuild AWS CodeCommit AWS CodeDeploy, AWS CodePipeline, et notamment l'accès à ces consoles, consultez les rubriques suivantes :
-
CodeBuild: Utilisation de politiques basées sur l'identité pour CodeBuild
-
CodeCommit: Utilisation de politiques basées sur l'identité pour CodeCommit
-
AWS CodeDeploy: Gestion des identités et des accès pour AWS CodeDeploy
-
CodePipeline: Contrôle d'accès avec IAM politiques
AWS CodeStar Les notifications ne disposent d'aucune politique AWS gérée. Pour permettre l'accès à la fonction de notification, vous devez soit appliquer l'une des stratégies gérées pour l'un des services répertoriés ci-dessus, soit créer des stratégies avec le niveau d'autorisation que vous souhaitez accorder aux utilisateurs ou aux entités, puis attacher ces stratégies aux utilisateurs, groupes ou rôles qui requièrent ces autorisations. Pour plus d'informations, consultez les exemples suivants :
AWS CodeConnections ne dispose d'aucune politique AWS gérée. Vous utilisez les autorisations et les combinaisons d'autorisations pour l'accès, telles que les autorisations détaillées dans Autorisations pour établir des connexions.
Pour plus d’informations, consultez les ressources suivantes :
Il n'est pas nécessaire d'accorder des autorisations de console aux utilisateurs qui appellent uniquement le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération que vous essayez d'effectuer.
Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux IAM utilisateurs de consulter les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du AWS CLI ou. AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
