Manajemen identitas dan akses untuk AWS CodeStar Pemberitahuan dan AWS CodeStar Koneksi

AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan sumber daya AWS CodeStar Pemberitahuan dan Koneksi. AWS CodeStar IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

Topik

• Audiens
• Mengautentikasi dengan identitas
• Mengelola akses menggunakan kebijakan
• Bagaimana fitur di konsol alat developer bekerja dengan IAM
• AWS CodeConnections referensi izin
• Contoh kebijakan berbasis identitas
• Menggunakan tag untuk mengontrol akses ke sumber daya AWS CodeStar Koneksi
• Menggunakan notifikasi dan koneksi di konsol
• Izinkan para pengguna untuk melihat izin mereka sendiri
• Pemecahan Masalah Identitas dan akses AWS CodeStar Pemberitahuan dan AWS CodeStar Koneksi
• Menggunakan peran terkait layanan untuk Pemberitahuan AWS CodeStar
• Menggunakan peran tertaut layanan untuk AWS CodeConnections
• Kebijakan terkelola AWS untuk AWS CodeConnections

Audiens

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda, tergantung pada pekerjaan yang Anda lakukan di AWS CodeStar Notifikasi dan AWS CodeStar Koneksi.

Pengguna layanan — Jika Anda menggunakan layanan AWS CodeStar Notifikasi dan AWS CodeStar Koneksi untuk melakukan pekerjaan Anda, administrator Anda memberi Anda kredensi dan izin yang Anda butuhkan. Saat Anda menggunakan lebih banyak fitur AWS CodeStar Notifikasi dan AWS CodeStar Koneksi untuk melakukan pekerjaan Anda, Anda mungkin memerlukan izin tambahan. Memahami cara akses dikelola dapat membantu Anda meminta izin yang tepat dari administrator Anda. Jika Anda tidak dapat mengakses fitur di AWS CodeStar Notifikasi dan AWS CodeStar Koneksi, lihatPemecahan Masalah Identitas dan akses AWS CodeStar Pemberitahuan dan AWS CodeStar Koneksi.

Administrator layanan - Jika Anda bertanggung jawab atas sumber daya AWS CodeStar Pemberitahuan dan AWS CodeStar Koneksi di perusahaan Anda, Anda mungkin memiliki akses penuh ke AWS CodeStar Pemberitahuan dan AWS CodeStar Koneksi. Tugas Anda adalah menentukan fitur dan sumber daya AWS CodeStar Notifikasi dan AWS CodeStar Koneksi mana yang harus diakses pengguna layanan Anda. Kemudian, Anda harus mengirimkan permintaan kepada administrator IAM Anda untuk mengubah izin pengguna layanan Anda. Tinjau informasi di halaman ini untuk memahami konsep Basic IAM. Untuk mempelajari selengkapnya tentang cara perusahaan Anda dapat menggunakan IAM dengan AWS CodeStar Pemberitahuan dan AWS CodeStar Koneksi, lihatBagaimana fitur di konsol alat developer bekerja dengan IAM.

Administrator IAM — Jika Anda seorang administrator IAM, Anda mungkin ingin mempelajari detail tentang cara menulis kebijakan untuk mengelola akses ke AWS CodeStar Notifikasi dan AWS CodeStar Koneksi. Untuk melihat contoh kebijakan berbasis identitas AWS CodeStar Pemberitahuan dan AWS CodeStar Koneksi yang dapat Anda gunakan di IAM, lihat. Contoh kebijakan berbasis identitas

Mengautentikasi dengan identitas

Otentikasi adalah cara Anda masuk AWS menggunakan kredensyal identitas Anda. Anda harus diautentikasi (masuk ke AWS) sebagai Pengguna root akun AWS, sebagai pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk AWS sebagai identitas federasi dengan menggunakan kredensyal yang disediakan melalui sumber identitas. AWS IAM Identity Center Pengguna (IAM Identity Center), autentikasi masuk tunggal perusahaan Anda, dan kredensi Google atau Facebook Anda adalah contoh identitas federasi. Saat Anda masuk sebagai identitas gabungan, administrator Anda sebelumnya menyiapkan federasi identitas menggunakan peran IAM. Ketika Anda mengakses AWS dengan menggunakan federasi, Anda secara tidak langsung mengambil peran.

Bergantung pada jenis pengguna Anda, Anda dapat masuk ke AWS Management Console atau portal AWS akses. Untuk informasi selengkapnya tentang masuk AWS, lihat Cara masuk ke Panduan AWS Sign-In Pengguna Anda Akun AWS.

Jika Anda mengakses AWS secara terprogram, AWS sediakan kit pengembangan perangkat lunak (SDK) dan antarmuka baris perintah (CLI) untuk menandatangani permintaan Anda secara kriptografis dengan menggunakan kredensil Anda. Jika Anda tidak menggunakan AWS alat, Anda harus menandatangani permintaan sendiri. Untuk informasi selengkapnya tentang penggunaan metode yang disarankan untuk menandatangani permintaan sendiri, lihat Menandatangani permintaan AWS API di Panduan Pengguna IAM.

Apa pun metode autentikasi yang digunakan, Anda mungkin diminta untuk menyediakan informasi keamanan tambahan. Misalnya, AWS merekomendasikan agar Anda menggunakan otentikasi multi-faktor (MFA) untuk meningkatkan keamanan akun Anda. Untuk mempelajari selengkapnya, lihat Autentikasi multi-faktor dalam Panduan Pengguna AWS IAM Identity Center dan Menggunakan autentikasi multi-faktor (MFA) di AWS dalam Panduan Pengguna IAM.

Pengguna root akun AWS

Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut pengguna Akun AWS root dan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari Anda. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat Tugas yang memerlukan kredensial pengguna root dalam Panduan Pengguna IAM.

Pengguna dan grup IAM

Pengguna IAM adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus untuk satu orang atau aplikasi. Jika memungkinkan, sebaiknya andalkan kredensial sementara daripada membuat pengguna IAM yang memiliki kredensial jangka panjang seperti kata sandi dan kunci akses. Namun, jika Anda memiliki kasus penggunaan khusus yang memerlukan kredensial jangka panjang dengan pengguna IAM, kami sarankan Anda merotasi kunci akses. Untuk informasi selengkapnya, lihat Rotasikan kunci akses secara rutin untuk kasus penggunaan yang memerlukan kredensial jangka panjang dalam Panduan Pengguna IAM.

Grup IAM adalah identitas yang menentukan kumpulan pengguna IAM. Anda tidak dapat masuk sebagai grup. Anda dapat menggunakan grup untuk menentukan izin untuk beberapa pengguna sekaligus. Grup membuat izin lebih mudah dikelola untuk sekelompok besar pengguna. Misalnya, Anda dapat memiliki grup yang bernama IAMAdmins dan memberikan izin kepada grup tersebut untuk mengelola sumber daya IAM.

Pengguna berbeda dari peran. Pengguna secara unik terkait dengan satu orang atau aplikasi, tetapi peran dimaksudkan untuk dapat digunakan oleh siapa pun yang membutuhkannya. Pengguna memiliki kredensial jangka panjang permanen, tetapi peran memberikan kredensial sementara. Untuk mempelajari selengkapnya, silakan lihat Kapan harus membuat pengguna IAM (bukan peran) dalam Panduan Pengguna IAM.

Peran IAM

Peran IAM adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus. Peran ini mirip dengan pengguna IAM, tetapi tidak terkait dengan orang tertentu. Anda dapat mengambil peran IAM untuk sementara AWS Management Console dengan beralih peran. Anda dapat mengambil peran dengan memanggil operasi AWS CLI atau AWS API atau dengan menggunakan URL kustom. Untuk informasi selengkapnya tentang cara menggunakan peran, lihat Menggunakan peran IAM dalam Panduan Pengguna IAM.

Peran IAM dengan kredensial sementara berguna dalam situasi berikut:

• Akses pengguna gabungan – Untuk menetapkan izin ke sebuah identitas gabungan, Anda dapat membuat peran dan menentukan izin untuk peran tersebut. Saat identitas terfederasi mengautentikasi, identitas tersebut akan dikaitkan dengan peran dan diberi izin yang ditentukan oleh peran tersebut. Untuk informasi tentang peran-peran untuk federasi, lihat Membuat peran untuk Penyedia Identitas pihak ketiga dalam Panduan Pengguna IAM. Jika Anda menggunakan Pusat Identitas IAM, Anda perlu mengonfigurasi set izin. Untuk mengontrol apa yang dapat diakses identitas Anda setelah identitas tersebut diautentikasi, Pusat Identitas IAM mengorelasikan izin yang diatur ke peran dalam IAM. Untuk informasi tentang rangkaian izin, lihat Rangkaian izin dalam Panduan Pengguna AWS IAM Identity Center .

• Izin pengguna IAM sementara – Pengguna atau peran IAM dapat mengambil peran IAM guna mendapatkan berbagai izin secara sementara untuk tugas tertentu.

• Akses lintas akun – Anda dapat menggunakan peran IAM untuk mengizinkan seseorang (pengguna utama tepercaya) dengan akun berbeda untuk mengakses sumber daya yang ada di akun Anda. Peran adalah cara utama untuk memberikan akses lintas akun. Namun, dengan beberapa Layanan AWS, Anda dapat melampirkan kebijakan secara langsung ke sumber daya (alih-alih menggunakan peran sebagai proxy). Untuk mempelajari perbedaan antara kebijakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat Bagaimana peran IAM berbeda dari kebijakan berbasis sumber daya dalam Panduan Pengguna IAM.

• Akses lintas layanan — Beberapa Layanan AWS menggunakan fitur lain Layanan AWS. Sebagai contoh, ketika Anda melakukan panggilan dalam suatu layanan, biasanya layanan tersebut menjalankan aplikasi di Amazon EC2 atau menyimpan objek di Amazon S3. Sebuah layanan mungkin melakukannya menggunakan izin prinsipal yang memanggil, menggunakan peran layanan, atau peran terkait layanan.

  • Sesi akses teruskan (FAS) — Saat Anda menggunakan pengguna IAM atau peran untuk melakukan tindakan AWS, Anda dianggap sebagai prinsipal. Saat Anda menggunakan beberapa layanan, Anda mungkin melakukan tindakan yang kemudian memulai tindakan lain di layanan yang berbeda. FAS menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Permintaan FAS hanya dibuat ketika layanan menerima permintaan yang memerlukan interaksi dengan orang lain Layanan AWS atau sumber daya untuk menyelesaikannya. Dalam hal ini, Anda harus memiliki izin untuk melakukan kedua tindakan tersebut. Untuk detail kebijakan saat membuat permintaan FAS, lihat Teruskan sesi akses.

  • Peran layanan – Peran layanan adalah peran IAM yang diambil oleh layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, memodifikasi, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke Layanan AWS dalam Panduan pengguna IAM.

  • Peran terkait layanan — Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan dapat menggunakan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.

• Aplikasi yang berjalan di Amazon EC2 — Anda dapat menggunakan peran IAM untuk mengelola kredensi sementara untuk aplikasi yang berjalan pada instans EC2 dan membuat atau permintaan API. AWS CLI AWS Cara ini lebih dianjurkan daripada menyimpan kunci akses dalam instans EC2. Untuk menetapkan AWS peran ke instans EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda membuat profil instance yang dilampirkan ke instance. Profil instans berisi peran dan memungkinkan program yang berjalan di instans EC2 mendapatkan kredensial sementara. Untuk informasi selengkapnya, lihat Menggunakan peran IAM untuk memberikan izin ke aplikasi yang berjalan di instans Amazon EC2 dalam Panduan Pengguna IAM.

Untuk mempelajari apakah kita harus menggunakan peran IAM atau pengguna IAM, lihat Kapan harus membuat peran IAM (bukan pengguna) dalam Panduan Pengguna IAM.

Mengelola akses menggunakan kebijakan

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. AWS mengevaluasi kebijakan ini ketika prinsipal (pengguna, pengguna root, atau sesi peran) membuat permintaan. Izin dalam kebijakan dapat menentukan permintaan yang diizinkan atau ditolak. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang struktur dan konten dokumen kebijakan JSON, lihat Gambaran umum kebijakan JSON dalam Panduan Pengguna IAM.

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, pengguna utama manakah yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.

Secara default, pengguna dan peran tidak memiliki izin. Untuk memberikan izin kepada pengguna untuk melakukan tindakan pada sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM. Administrator kemudian dapat menambahkan kebijakan IAM ke peran, dan pengguna dapat menjalankan peran.

Kebijakan IAM mendefinisikan izin untuk suatu tindakan terlepas dari metode yang Anda gunakan untuk operasi. Sebagai contoh, anggap saja Anda memiliki kebijakan yang mengizinkan tindakan iam:GetRole. Pengguna dengan kebijakan tersebut bisa mendapatkan informasi peran dari AWS Management Console, API AWS CLI, atau AWS API.

Kebijakan berbasis identitas

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan pengguna dan peran, di sumber daya mana, dan dengan ketentuan apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM.

Kebijakan berbasis identitas dapat dikategorikan lebih lanjut sebagai kebijakan inline atau kebijakan terkelola. Kebijakan inline disematkan langsung ke satu pengguna, grup, atau peran. Kebijakan terkelola adalah kebijakan mandiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran dalam. Akun AWS Kebijakan AWS terkelola mencakup kebijakan terkelola dan kebijakan yang dikelola pelanggan. Untuk mempelajari cara memilih antara kebijakan terkelola atau kebijakan inline, lihat Memilih antara kebijakan terkelola dan kebijakan inline dalam Panduan Pengguna IAM.

AWS CodeConnections referensi izin

Tabel berikut mencantumkan setiap operasi AWS CodeConnections API, tindakan terkait yang dapat Anda berikan izin, dan format ARN sumber daya yang akan digunakan untuk memberikan izin. AWS CodeConnections API dikelompokkan ke dalam tabel berdasarkan cakupan tindakan yang diizinkan oleh API tersebut. Mengacu saat menulis kebijakan izin yang dapat Anda lampirkan ke identitas IAM (kebijakan berbasis identitas).

Ketika Anda membuat kebijakan izin, Anda menentukan tindakan di bidang Action. Anda menentukan nilai sumber daya di bidang Resource sebagai ARN, dengan atau tanpa karakter wildcard (*).

Untuk mengekspresikan syarat dalam kebijakan koneksi Anda, gunakan kunci syarat yang dijelaskan di sini dan tercantum dalam Kunci syarat. Anda juga dapat menggunakan tombol kondisi AWS-wide. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang tersedia di Panduan Pengguna IAM.

Untuk menentukan tindakan, gunakan awalan codestar-connections: yang diikuti dengan nama operasi API (misalnya, codestar-connections:ListConnections atau codestar-connections:CreateConnection.

Menggunakan wildcard

Untuk menentukan beberapa tindakan atau sumber daya, gunakan karakter wildcard (*) di ARN Anda. Misalnya, codestar-connections:* menentukan semua AWS CodeConnections tindakan dan codestar-connections:Get* menentukan semua AWS CodeConnections tindakan yang dimulai dengan kata. Get Contoh berikut memberikan akses ke semua sumber daya dengan nama yang dimulai dengan MyConnection.

arn:aws:codestar-connections:us-west-2:account-ID:connection/*

Anda dapat menggunakan wildcard hanya dengan sumber daya koneksi yang tercantum dalam tabel berikut. Anda tidak dapat menggunakan wildcard dengan sumber daya wilayah atau account-id. Untuk informasi lebih lanjut tentang wildcard, lihat Pengidentifikasi IAM dalam Panduan Pengguna IAM.

Izin untuk mengelola koneksi

Peran atau pengguna yang ditunjuk untuk menggunakan AWS CLI atau SDK untuk melihat, membuat, atau menghapus koneksi harus memiliki izin terbatas pada hal berikut.

catatan

Anda tidak dapat menyelesaikan atau menggunakan koneksi di konsol dengan hanya izin berikut. Anda perlu menambahkan izin di Izin untuk menyelesaikan koneksi.

codestar-connections:CreateConnection
codestar-connections:DeleteConnection
codestar-connections:GetConnection
codestar-connections:ListConnections

Gunakan bilah gulir untuk melihat seluruh tabel.

AWS CodeConnections izin yang diperlukan untuk mengelola koneksi
AWS CodeConnections tindakan	Izin yang diperlukan	Sumber daya
CreateConnection	codestar-connections:CreateConnection Diperlukan untuk menggunakan CLI atau konsol untuk membuat koneksi.	arn:aws:codestar-connections:region:account-id:connection/connection-id
DeleteConnection	codestar-connections:DeleteConnection Diperlukan untuk menggunakan CLI atau konsol untuk menghapus koneksi.	arn:aws:codestar-connections:region:account-id:connection/connection-id
GetConnection	codestar-connections:GetConnection Diperlukan untuk menggunakan CLI atau konsol untuk melihat detail tentang koneksi.	arn:aws:codestar-connections:region:account-id:connection/connection-id
ListConnections	codestar-connections:ListConnections Diperlukan untuk menggunakan CLI atau konsol untuk membuat daftar semua koneksi di akun.	arn:aws:codestar-connections:region:account-id:connection/connection-id

Operasi ini mendukung kunci syarat berikut:

Tindakan	Kunci kondisi
codestar-connections:CreateConnection	codestar-connections:ProviderType
codestar-connections:DeleteConnection	N/A
codestar-connections:GetConnection	N/A
codestar-connections:ListConnections	codestar-connections:ProviderTypeFilter

Izin untuk mengelola host

Peran atau pengguna yang ditunjuk untuk menggunakan AWS CLI atau SDK untuk melihat, membuat, atau menghapus host harus memiliki izin terbatas pada hal berikut.

catatan

Anda tidak dapat menyelesaikan atau menggunakan koneksi di host dengan hanya izin berikut. Anda perlu menambahkan izin di Izin untuk menyiapkan host.

codestar-connections:CreateHost
codestar-connections:DeleteHost
codestar-connections:GetHost
codestar-connections:ListHosts

Gunakan bilah gulir untuk melihat seluruh tabel.

AWS CodeConnections izin yang diperlukan untuk mengelola host
AWS CodeConnections tindakan	Izin yang diperlukan	Sumber daya
CreateHost	codestar-connections:CreateHost Diperlukan untuk menggunakan CLI atau konsol untuk membuat host.	arn:aws:codestar-connections:region:account-id:host/host-id
DeleteHost	codestar-connections:DeleteHost Diperlukan untuk menggunakan CLI atau konsol untuk menghapus host.	arn:aws:codestar-connections:region:account-id:host/host-id
GetHost	codestar-connections:GetHost Diperlukan untuk menggunakan CLI atau konsol untuk melihat detail tentang host.	arn:aws:codestar-connections:region:account-id:host/host-id
ListHosts	codestar-connections:ListHosts Diperlukan untuk menggunakan CLI atau konsol untuk membuat daftar semua host di akun.	arn:aws:codestar-connections:region:account-id:host/host-id

Operasi ini mendukung kunci syarat berikut:

Tindakan	Kunci kondisi
codestar-connections:CreateHost	codestar-connections:ProviderType
codestar-connections:DeleteHost	N/A
codestar-connections:GetHost	N/A
codestar-connections:ListHosts	codestar-connections:ProviderTypeFilter

Izin untuk menyelesaikan koneksi

Peran atau pengguna yang ditunjuk untuk mengelola koneksi di konsol harus memiliki izin yang diperlukan untuk menyelesaikan koneksi di konsol dan membuat instalasi, yang mencakup otorisasi handshake ke penyedia dan membuat instalasi untuk koneksi untuk digunakan. Gunakan izin berikut selain izin di atas.

Operasi IAM berikut digunakan oleh konsol saat melakukan handshake berbasis browser. ListInstallationTargets, GetInstallationUrl, StartOAuthHandshake, UpdateConnectionInstallation, dan GetIndividualAccessToken adalah izin kebijakan IAM. Mereka bukan tindakan API.

codestar-connections:GetIndividualAccessToken
codestar-connections:GetInstallationUrl
codestar-connections:ListInstallationTargets
codestar-connections:StartOAuthHandshake
codestar-connections:UpdateConnectionInstallation

Berdasarkan ini, izin berikut diperlukan untuk menggunakan, membuat, memperbarui, atau menghapus koneksi di konsol.

codestar-connections:CreateConnection
codestar-connections:DeleteConnection
codestar-connections:GetConnection
codestar-connections:ListConnections
codestar-connections:UseConnection
codestar-connections:ListInstallationTargets
codestar-connections:GetInstallationUrl
codestar-connections:StartOAuthHandshake
codestar-connections:UpdateConnectionInstallation
codestar-connections:GetIndividualAccessToken

Gunakan bilah gulir untuk melihat seluruh tabel.

AWS CodeConnections izin yang diperlukan untuk menyelesaikan koneksi
AWS CodeConnections tindakan	Izin yang diperlukan	Sumber daya
GetIndividualAccessToken	codestar-connections:GetIndividualAccessToken Diperlukan untuk menggunakan konsol untuk menyelesaikan koneksi. Ini adalah izin kebijakan IAM saja, bukan tindakan API.	arn:aws:codestar-connections:region:account-id:connection/connection-id
GetInstallationUrl	codestar-connections:GetInstallationUrl Diperlukan untuk menggunakan konsol untuk menyelesaikan koneksi. Ini adalah izin kebijakan IAM saja, bukan tindakan API.	arn:aws:codestar-connections:region:account-id:connection/connection-id
ListInstallationTargets	codestar-connections:ListInstallationTargets Diperlukan untuk menggunakan konsol untuk menyelesaikan koneksi. Ini adalah izin kebijakan IAM saja, bukan tindakan API.	arn:aws:codestar-connections:region:account-id:connection/connection-id
StartOAuthHandshake	codestar-connections:StartOAuthHandshake Diperlukan untuk menggunakan konsol untuk menyelesaikan koneksi. Ini adalah izin kebijakan IAM saja, bukan tindakan API.	arn:aws:codestar-connections:region:account-id:connection/connection-id
UpdateConnectionInstallation	codestar-connections:UpdateConnectionInstallation Diperlukan untuk menggunakan konsol untuk menyelesaikan koneksi. Ini adalah izin kebijakan IAM saja, bukan tindakan API.	arn:aws:codestar-connections:region:account-id:connection/connection-id

Operasi ini mendukung kunci kondisi berikut.

Tindakan	Kunci kondisi
codestar-connections:GetIndividualAccessToken	codestar-connections:ProviderType
codestar-connections:GetInstallationUrl	codestar-connections:ProviderType
codestar-connections:ListInstallationTargets	N/A
codestar-connections:StartOAuthHandshake	codestar-connections:ProviderType
codestar-connections:UpdateConnectionInstallation	codestar-connections:InstallationId

Izin untuk menyiapkan host

Peran atau pengguna yang ditunjuk untuk mengelola koneksi di konsol harus memiliki izin yang diperlukan untuk mengatur host di konsol, yang mencakup otorisasi handshake ke penyedia dan menginstal aplikasi host. Gunakan izin berikut selain izin untuk host di atas.

Operasi IAM berikut digunakan oleh konsol saat melakukan pendaftaran host berbasis browser. RegisterAppCode dan StartAppRegistrationHandshake adalah izin kebijakan IAM. Mereka bukan tindakan API.

codestar-connections:RegisterAppCode
codestar-connections:StartAppRegistrationHandshake

Berdasarkan ini, izin berikut diperlukan untuk menggunakan, membuat, memperbarui, atau menghapus koneksi di konsol yang memerlukan host (seperti jenis penyedia yang diinstal).

codestar-connections:CreateConnection
codestar-connections:DeleteConnection
codestar-connections:GetConnection
codestar-connections:ListConnections
codestar-connections:UseConnection
codestar-connections:ListInstallationTargets
codestar-connections:GetInstallationUrl
codestar-connections:StartOAuthHandshake
codestar-connections:UpdateConnectionInstallation
codestar-connections:GetIndividualAccessToken
codestar-connections:RegisterAppCode
codestar-connections:StartAppRegistrationHandshake

Gunakan bilah gulir untuk melihat seluruh tabel.

AWS CodeConnections izin yang diperlukan untuk menyelesaikan penyiapan host
AWS CodeConnections tindakan	Izin yang diperlukan	Sumber daya
RegisterAppCode	codestar-connections:RegisterAppCode Diperlukan untuk menggunakan konsol untuk menyelesaikan pengaturan host. Ini adalah izin kebijakan IAM saja, bukan tindakan API.	arn:aws:codestar-connections:region:account-id:host/host-id
StartAppRegistrationHandshake	codestar-connections:StartAppRegistrationHandshake Diperlukan untuk menggunakan konsol untuk menyelesaikan pengaturan host. Ini adalah izin kebijakan IAM saja, bukan tindakan API.	arn:aws:codestar-connections:region:account-id:host/host-id

Operasi ini mendukung kunci kondisi berikut.

Melewati koneksi ke layanan

Ketika koneksi dilewatkan ke layanan (misalnya, ketika ARN koneksi disediakan dalam definisi alur untuk membuat atau memperbarui alur) pengguna harus memiliki izin codestar-connections:PassConnection.

Gunakan bilah gulir untuk melihat seluruh tabel.

AWS CodeConnections izin yang diperlukan untuk meneruskan koneksi
AWS CodeConnections tindakan	Izin yang diperlukan	Sumber daya
PassConnection	codestar-connections:PassConnection Diperlukan untuk meneruskan koneksi ke layanan.	arn:aws:codestar-connections:region:account-id:connection/connection-id

Operasi ini juga mendukung kunci kondisi berikut:

• codestar-connections:PassedToService

Nilai yang didukung untuk kunci kondisi
Kunci	Penyedia tindakan yang valid
codestar-connections:PassedToService	codeguru-reviewer codepipeline.amazonaws.com proton.amazonaws.com

Menggunakan koneksi

Ketika layanan seperti CodePipeline menggunakan koneksi, peran layanan harus memiliki codestar-connections:UseConnection izin untuk koneksi tertentu.

Untuk mengelola koneksi di konsol, kebijakan pengguna harus memiliki izin codestar-connections:UseConnection.

Gunakan bilah gulir untuk melihat seluruh tabel.

AWS CodeConnections tindakan yang diperlukan untuk menggunakan koneksi
AWS CodeConnections tindakan	Izin yang diperlukan	Sumber daya
UseConnection	codestar-connections:UseConnection Diperlukan untuk menggunakan koneksi.	arn:aws:codestar-connections:region:account-id:connection/connection-id

Operasi ini juga mendukung kunci syarat berikut:

• codestar-connections:BranchName

• codestar-connections:FullRepositoryId

• codestar-connections:OwnerId

• codestar-connections:ProviderAction

• codestar-connections:ProviderPermissionsRequired

• codestar-connections:RepositoryName

Nilai yang didukung untuk kunci kondisi
Kunci	Penyedia tindakan yang valid
codestar-connections:FullRepositoryId	Nama pengguna dan nama repositori repositori, seperti. my-owner/my-repository Didukung hanya bila koneksi sedang digunakan untuk mengakses repositori tertentu.
codestar-connections:ProviderPermissionsRequired	read_only atau read_write
codestar-connections:ProviderAction	GetBranch, ListRepositories, ListOwners, ListBranches, StartUploadArchiveToS3, GitPush, GitPull, GetUploadArchiveToS3Status, CreatePullRequestDiffComment, GetPullRequest, ListBranchCommits, ListCommitFiles, ListPullRequestComments, ListPullRequestCommits. Untuk informasi, lihat bagian selanjutnya.

Kunci syarat yang diperlukan untuk beberapa fungsionalitas mungkin berubah dari waktu ke waktu. Kami menyarankan agar Anda menggunakan codestar-connections:UseConnection untuk mengontrol akses ke koneksi kecuali persyaratan kontrol akses Anda memerlukan izin yang berbeda.

Jenis akses yang didukung untuk ProviderAction

Ketika koneksi digunakan oleh AWS layanan, itu menghasilkan panggilan API yang dilakukan ke penyedia kode sumber Anda. Sebagai contoh, layanan mungkin mencantumkan repositori untuk koneksi Bitbucket dengan memanggil API https://api.bitbucket.org/2.0/repositories/username.

Kunci syarat ProviderAction memungkinkan Anda untuk membatasi API mana pada penyedia dapat dipanggil. Karena jalur API mungkin dihasilkan secara dinamis, dan jalur bervariasi dari penyedia ke penyedia, nilai ProviderAction dipetakan ke nama tindakan abstrak bukan URL API. Hal ini memungkinkan Anda untuk menulis kebijakan yang memiliki efek yang sama terlepas dari jenis penyedia untuk koneksi.

Berikut ini adalah jenis akses yang diberikan untuk masing-masing nilai ProviderAction yang didukung. Berikut ini adalah izin kebijakan IAM. Mereka bukan tindakan API.

Gunakan bilah gulir untuk melihat seluruh tabel.

AWS CodeConnections jenis akses yang didukung untuk ProviderAction
AWS CodeConnections izin	Izin yang diperlukan	Sumber daya
GetBranch	codestar-connections:GetBranch Diperlukan untuk mengakses informasi tentang cabang, seperti komit terbaru untuk cabang tersebut.	arn:aws:codestar-connections:region:account-id:connection/connection-id
ListRepositories	codestar-connections:ListRepositories Diperlukan untuk mengakses daftar repositori publik dan privat, termasuk detail tentang repositori tersebut, yang menjadi milik pemilik.	arn:aws:codestar-connections:region:account-id:connection/connection-id
ListOwners	codestar-connections:ListOwners Diperlukan untuk mengakses daftar pemilik yang memiliki akses ke koneksi.	arn:aws:codestar-connections:region:account-id:connection/connection-id
ListBranches	codestar-connections:ListBranches Diperlukan untuk mengakses daftar cabang yang ada pada repositori yang diberikan.	arn:aws:codestar-connections:region:account-id:connection/connection-id
StartUploadArchiveToS3	codestar-connections:StartUploadArchiveToS3 Diperlukan untuk membaca kode sumber dan mengunggahnya ke Amazon S3.	arn:aws:codestar-connections:region:account-id:connection/connection-id
GitPush	codestar-connections:GitPush Diperlukan untuk menulis ke repositori menggunakan Git.	arn:aws:codestar-connections:region:account-id:connection/connection-id
GitPull	codestar-connections:GitPull Diperlukan untuk membaca dari repositori menggunakan Git.	arn:aws:codestar-connections:region:account-id:connection/connection-id
GetUploadArchiveToS3Status	codestar-connections:GetUploadArchiveToS3Status Diperlukan untuk mengakses status pengunggahan, termasuk pesan kesalahan, yang dimulai dengan StartUploadArchiveToS3.	arn:aws:codestar-connections:region:account-id:connection/connection-id
CreatePullRequestDiffComment	codestar-connections:CreatePullRequestDiffComment Diperlukan untuk mengakses komentar pada permintaan tarik.	arn:aws:codestar-connections:region:account-id:connection/connection-id
GetPullRequest	codestar-connections:GetPullRequest Diperlukan untuk melihat permintaan tarik untuk repositori.	arn:aws:codestar-connections:region:account-id:connection/connection-id
ListBranchCommits	codestar-connections:ListBranchCommits Diperlukan untuk melihat daftar komit untuk cabang repositori.	arn:aws:codestar-connections:region:account-id:connection/connection-id
ListCommitFiles	codestar-connections:ListCommitFiles Diperlukan untuk melihat daftar file untuk komit.	arn:aws:codestar-connections:region:account-id:connection/connection-id
ListPullRequestComments	codestar-connections:ListPullRequestComments Diperlukan untuk melihat daftar komentar untuk permintaan tarik.	arn:aws:codestar-connections:region:account-id:connection/connection-id
ListPullRequestCommits	codestar-connections:ListPullRequestCommits Diperlukan untuk melihat daftar komit untuk permintaan tarik.	arn:aws:codestar-connections:region:account-id:connection/connection-id

Izin yang didukung untuk menandai sumber daya koneksi

Operasi IAM berikut digunakan ketika penandaan sumber daya koneksi.

codestar-connections:ListTagsForResource
codestar-connections:TagResource
codestar-connections:UntagResource

Gunakan bilah gulir untuk melihat seluruh tabel.

AWS CodeConnections tindakan yang diperlukan untuk menandai sumber daya koneksi
AWS CodeConnections tindakan	Izin yang diperlukan	Sumber daya
ListTagsForResource	codestar-connections:ListTagsForResource Diperlukan untuk melihat daftar tanda yang terkait dengan sumber daya koneksi.	arn:aws:codestar-connections:region:account-id:connection/connection-id , arn:aws:codestar-connections:region:account-id:host/host-id
TagResource	codestar-connections:TagResource Diperlukan untuk menandai sumber daya koneksi.	arn:aws:codestar-connections:region:account-id:connection/connection-id , arn:aws:codestar-connections:region:account-id:host/host-id
UntagResource	codestar-connections:UntagResource Diperlukan untuk menghapus tanda dari sumber daya koneksi.	arn:aws:codestar-connections:region:account-id:connection/connection-id , arn:aws:codestar-connections:region:account-id:host/host-id

Melewati koneksi ke tautan repositori

Ketika repository-link disediakan dalam konfigurasi sinkronisasi, pengguna harus memiliki codestar-connections:PassRepository izin untuk repository-link ARN/resource.

Gunakan bilah gulir untuk melihat seluruh tabel.

AWS CodeConnections izin yang diperlukan untuk meneruskan koneksi
AWS CodeConnections tindakan	Izin yang diperlukan	Sumber daya
PassRepository	codestar-connections:PassRepository Diperlukan untuk meneruskan tautan repositori ke konfigurasi sinkronisasi.	arn:aws:codestar-connections: wilayah: account-id: repository-link/ repository-link-id

Operasi ini juga mendukung kunci kondisi berikut:

• codestar-connections:PassedToService

Nilai yang didukung untuk kunci kondisi
Kunci	Penyedia tindakan yang valid
codestar-connections:PassedToService	cloudformation.sync.codeconnections.amazonaws.com

Kunci kondisi yang didukung untuk tautan repositori

Operasi untuk tautan repositori dan sumber daya konfigurasi sinkronisasi didukung oleh kunci kondisi berikut:

• codestar-connections:Branch

  Memfilter akses dengan nama cabang yang diteruskan dalam permintaan.

Tindakan yang didukung untuk kunci kondisi
Kunci	Nilai valid
codestar-connections:Branch	Tindakan berikut didukung untuk kunci kondisi ini: CreateSyncConfiguration UpdateSyncConfiguration GetRepositorySyncStatus

Menggunakan notifikasi dan koneksi di konsol

Pengalaman notifikasi dibangun ke dalam CodeBuild, CodeCommit, CodeDeploy, dan CodePipeline konsol, serta di konsol Alat Pengembang di bilah navigasi Pengaturan itu sendiri. Untuk mengakses notifikasi di konsol, Anda harus memiliki salah satu kebijakan terkelola untuk layanan tersebut diterapkan, atau Anda harus memiliki seperangkat izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya AWS CodeStar Pemberitahuan dan AWS CodeStar Koneksi di AWS akun Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tersebut tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna IAM atau peran) dengan kebijakan tersebut. Untuk informasi selengkapnya tentang pemberian akses ke AWS CodeBuild AWS CodeCommit, AWS CodeDeploy,, dan AWS CodePipeline, termasuk akses ke konsol tersebut, lihat topik berikut:

• CodeBuild: Menggunakan kebijakan berbasis identitas untuk CodeBuild

• CodeCommit: Menggunakan kebijakan berbasis identitas untuk CodeCommit

• AWS CodeDeploy: Identitas dan manajemen akses untuk AWS CodeDeploy

• CodePipeline: Kontrol akses dengan kebijakan IAM

AWS CodeStar Pemberitahuan tidak memiliki kebijakan AWS terkelola. Untuk menyediakan akses ke fungsionalitas notifikasi, Anda harus menerapkan salah satu kebijakan terkelola untuk salah satu layanan yang terdaftar sebelumnya, atau Anda harus membuat kebijakan dengan tingkat izin yang ingin Anda berikan kepada pengguna atau entitas, dan kemudian melampirkan kebijakan tersebut ke pengguna, grup, atau peran yang memerlukan izin tersebut. Untuk informasi selengkapnya dan contoh, lihat berikut ini:

• Contoh: Kebijakan tingkat administrator untuk mengelola Pemberitahuan AWS CodeStar

• Contoh: Kebijakan tingkat kontributor untuk menggunakan Notifikasi AWS CodeStar

• Contoh: read-only-level Kebijakan untuk menggunakan AWS CodeStar Notifikasi.

AWS CodeStar Koneksi tidak memiliki kebijakan AWS terkelola. Anda menggunakan izin dan kombinasi izin untuk akses, seperti izin yang dirinci. Izin untuk menyelesaikan koneksi

Untuk informasi selengkapnya, lihat hal berikut:

• Contoh: Kebijakan tingkat administrator untuk mengelola AWS CodeConnections

• Contoh: Kebijakan tingkat kontributor untuk menggunakan AWS CodeConnections

• Contoh: read-only-level Kebijakan untuk menggunakan AWS CodeConnections

Anda tidak perlu mengizinkan izin konsol untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.

Izinkan para pengguna untuk melihat izin mereka sendiri

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan para pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}