Utilisation de rôles liés à un service pour les notifications AWS CodeStar - Console Outils pour développeur
Autorisations de rôle liées au service pour les notifications AWS CodeStar Création d'un rôle lié à un service pour les notifications AWS CodeStar Modification d'un rôle lié à un service pour les notifications AWS CodeStar Supprimer un rôle lié à un service pour les notifications AWS CodeStar Régions prises en charge pour les rôles AWS CodeStar liés au service Notifications

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles liés à un service pour les notifications AWS CodeStar

AWS CodeStar Les notifications utilisent des AWS Identity and Access Management rôles liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié aux notifications. AWS CodeStar Les rôles liés au service sont prédéfinis par les AWS CodeStar notifications et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Ce rôle est créé automatiquement la première fois que vous créez une règle de notification. Vous n'avez donc pas à créer le rôle.

Un rôle lié à un service facilite la configuration AWS CodeStar des notifications, car il n'est pas nécessaire d'ajouter des autorisations manuellement. AWS CodeStar Les notifications définissent les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seules AWS CodeStar les notifications peuvent assumer ces rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Pour supprimer un rôle lié à un service, vous devez d'abord supprimer ses ressources associées. Cela protège vos ressources de AWS CodeStar notifications, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Pour obtenir des informations sur les autres services qui prennent en charge les rôles liés à un service, consultez Services AWS qui fonctionnent avec IAM.

Autorisations de rôle liées au service pour les notifications AWS CodeStar

AWS CodeStar Les notifications utilisent le rôle AWSServiceRoleForCodeStarNotifications lié au service pour récupérer des informations sur les événements qui se produisent dans votre chaîne d'outils et envoyer des notifications aux cibles que vous spécifiez.

Le rôle AWSServiceRoleForCodeStarNotifications lié à un service fait confiance aux services suivants pour assumer le rôle :

  • codestar-notifications.amazonaws.com

La politique d'autorisation des rôles permet aux AWS CodeStar notifications d'effectuer les actions suivantes sur les ressources spécifiées :

  • Action : PutRule sur CloudWatch Event rules that are named awscodestar-notifications-*

  • Action : DescribeRule sur CloudWatch Event rules that are named awscodestar-notifications-*

  • Action : PutTargets sur CloudWatch Event rules that are named awscodestar-notifications-*

  • Action : CreateTopic sur create Amazon SNS topics for use with AWS CodeStar Notifications with the prefix CodeStarNotifications-

  • Action : GetCommentsForPullRequests sur all comments on all pull requests in all CodeCommit repositories in the AWS account

  • Action : GetCommentsForComparedCommit sur all comments on all commits in all CodeCommit repositories in the AWS account

  • Action : GetDifferences sur all commits in all CodeCommit repositories in the AWS account

  • Action : GetCommentsForComparedCommit sur all comments on all commits in all CodeCommit repositories in the AWS account

  • Action : GetDifferences sur all commits in all CodeCommit repositories in the AWS account

  • Action : DescribeSlackChannelConfigurations sur all AWS Chatbot clients in the AWS account

  • Action : UpdateSlackChannelConfiguration sur all AWS Chatbot clients in the AWS account

  • Action : ListActionExecutions sur all actions in all pipelines in the AWS account

  • Action : GetFile sur all files in all CodeCommit repositories in the AWS account unless otherwise tagged

Vous pouvez voir ces actions dans la déclaration de politique relative au rôle AWSServiceRoleForCodeStarNotifications lié à un service.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "events:PutTargets",
                "events:PutRule",
                "events:DescribeRule"
            ],
            "Resource": "arn:aws:events:*:*:rule/awscodestarnotifications-*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "sns:CreateTopic"
            ],
            "Resource": "arn:aws:sns:*:*:CodeStarNotifications-*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "codecommit:GetCommentsForPullRequest",
                "codecommit:GetCommentsForComparedCommit",
                "codecommit:GetDifferences",
                "chatbot:DescribeSlackChannelConfigurations",
                "chatbot:UpdateSlackChannelConfiguration",
                "codepipeline:ListActionExecutions"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "codecommit:GetFile"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:ResourceTag/ExcludeFileContentFromNotifications": "true"
                }
            },
            "Effect": "Allow"
        }
    ]
}

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez Service-Linked Role Permissions (autorisations du rôle lié à un service) dans le IAM User Guide (guide de l'utilisateur IAM).

Création d'un rôle lié à un service pour les notifications AWS CodeStar

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Vous pouvez utiliser la console Developer Tools ou l' CreateNotificationRule API des AWS CLI SDK pour créer une règle de notification. Vous pouvez également appeler directement l'API. Quelle que soit la méthode que vous utilisez, le rôle lié au service est créé pour vous.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Vous pouvez utiliser la console Developer Tools ou l' CreateNotificationRule API des AWS CLI SDK pour créer une règle de notification. Vous pouvez également appeler directement l'API. Quelle que soit la méthode que vous utilisez, le rôle lié au service est créé pour vous.

Modification d'un rôle lié à un service pour les notifications AWS CodeStar

Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas modifier le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez utiliser IAM pour modifier la description du rôle. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Supprimer un rôle lié à un service pour les notifications AWS CodeStar

Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement. Pour AWS CodeStar les notifications, cela signifie supprimer toutes les règles de notification qui utilisent le rôle de service dans votre AWS compte.

Note

Si le service AWS CodeStar Notifications utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer AWS CodeStar les ressources de notifications utilisées par AWSServiceRoleForCodeStarNotifications

  1. Ouvrez la console AWS Developer Tools à l'adresse https://console.aws.amazon.com/codesuite/settings/notifications.

    Note

    Les règles de notification s'appliquent à la AWS région dans laquelle elles sont créées. Si vous avez des règles de notification dans plusieurs AWS régions, utilisez le sélecteur de région pour modifier les Région AWS.

  2. Choisissez toutes les règles de notification qui apparaissent dans la liste, puis choisissez Delete (Supprimer).

  3. Répétez ces étapes dans toutes les AWS régions dans lesquelles vous avez créé des règles de notification.

Pour utiliser IAM et supprimer le rôle lié à un service

Utilisez la console IAM ou l' AWS CLI AWS Identity and Access Management API pour supprimer le rôle lié au AWSServiceRoleForCodeStarNotifications service. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Régions prises en charge pour les rôles AWS CodeStar liés au service Notifications

AWS CodeStar Les notifications permettent d'utiliser des rôles liés au service dans toutes les AWS régions où le service est disponible. Pour plus d'informations, consultez AWS Régions, points de terminaison et AWS CodeStar notifications.