Izin dan contoh untuk Notifikasi AWS CodeStar - Konsol Alat Developer

Izin dan contoh untuk Notifikasi AWS CodeStar

Pernyataan kebijakan berikut dan contoh dapat membantu Anda mengelola Notifikasi AWS CodeStar.

Izin yang terkait dengan notifikasi dalam kebijakan terkelola akses penuh

Kebijakan terkelola AWScodeMitFullAccess, AWScodeBuildAdminAccess, AWScodeDeployFullAccess, dan AWScodePipeline_FULLAccess mencakup pernyataan berikut untuk mengizinkan akses penuh ke notifikasi di konsol Alat Developer. Pengguna dengan salah satu kebijakan terkelola yang diterapkan ini juga dapat membuat dan mengelola topik Amazon SNS untuk notifikasi, berlangganan dan berhenti berlangganan pengguna ke topik, dan daftar topik untuk dipilih sebagai target untuk aturan notifikasi.

catatan

Dalam kebijakan dikelola, kunci syarat codestar-notifications:NotificationsForResource akan memiliki nilai khusus untuk jenis sumber daya untuk layanan. Sebagai contoh, dalam kebijakan akses penuh untuk CodeCommit, nilai adalah arn:aws:codecommit:*.

{ "Sid": "CodeStarNotificationsReadWriteAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:DeleteNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:<vendor-code>:*"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource", "codestar-notifications:ListEventTypes" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsSNSTopicCreateAccess", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:SetTopicAttributes" ], "Resource": "arn:aws:sns:*:*:codestar-notifications*" }, { "Sid": "SNSTopicListAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsChatbotAccess", "Effect": "Allow", "Action": [ "chatbot:DescribeSlackChannelConfigurations" ], "Resource": "*" }

Izin yang terkait dengan notifikasi dalam kebijakan terkelola hanya-baca

Kebijakan terkelola AWSCodeCommitReadOnlyAccess, AWSCodeBuildReadOnlyAccess, AWSCodeDeployReadOnlyAccess, dan AWSCodePipeline_ReadOnlyAccess mencakup pernyataan berikut untuk mengizinkan akses baca-saja ke notifikasi. Misalnya, mereka dapat melihat notifikasi untuk sumber daya di konsol Alat Developer, tetapi tidak dapat membuat, mengelola, atau berlangganan notifikasi.

catatan

Dalam kebijakan dikelola, kunci syarat codestar-notifications:NotificationsForResource akan memiliki nilai khusus untuk jenis sumber daya untuk layanan. Sebagai contoh, dalam kebijakan akses penuh untuk CodeCommit, nilai adalah arn:aws:codecommit:*.

{ "Sid": "CodeStarNotificationsPowerUserAccess", "Effect": "Allow", "Action": [ "codestar-notifications:DescribeNotificationRule" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:<vendor-code>:*"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListEventTypes", "codestar-notifications:ListTargets" ], "Resource": "*" }

Izin terkait notifikasi dalam kebijakan terkelola lainnya

Kebijakan terkelola AwscodeCommitPowerUser,AWSCodeBuildDeveloperAccess, danAWSCodeBuildDeveloperAccess mencakup pernyataan berikut untuk mengizinkan developer dengan salah satu kebijakan terkelola yang diterapkan untuk membuat, mengedit, dan berlangganan notifikasi. Mereka tidak dapat menghapus aturan notifikasi atau mengelola tanda untuk sumber daya.

catatan

Dalam kebijakan dikelola, kunci syarat codestar-notifications:NotificationsForResource akan memiliki nilai khusus untuk jenis sumber daya untuk layanan. Sebagai contoh, dalam kebijakan akses penuh untuk CodeCommit, nilai adalah arn:aws:codecommit:*.

{ "Sid": "CodeStarNotificationsReadWriteAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:<vendor-code>:*"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource", "codestar-notifications:ListEventTypes" ], "Resource": "*" }, { "Sid": "SNSTopicListAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsChatbotAccess", "Effect": "Allow", "Action": [ "chatbot:DescribeSlackChannelConfigurations" ], "Resource": "*" }

Contoh: Kebijakan tingkat administrator untuk mengelola Notifikasi AWS CodeStar

Dalam contoh ini, Anda ingin memberikan izin pengguna IAM di akun AWSakses penuh ke Notifikasi AWS CodeStar sehingga pengguna dapat meninjau detail aturan notifikasi dan daftar aturan notifikasi, target, dan jenis acara. Anda juga ingin mengizinkan pengguna untuk menambahkan, memperbarui, dan menghapus aturan notifikasi. Ini adalah kebijakan akses penuh, setara dengan izin notifikasi yang disertakan sebagai bagian dari kebijakan terkelola AWScodeBuildAdminAccess, AWSCodeCommitFullAccess, AWSCodeDeployFullAccess, dan AWSCodePipeline_FullAccess. Seperti kebijakan terkelola tersebut, Anda hanya boleh melampirkan pernyataan kebijakan semacam ini kepada pengguna, grup, atau peran IAM yang memerlukan akses administratif penuh ke notifikasi dan aturan notifikasi di seluruh akun AWS Anda.

catatan

Kebijakan ini berisi izin CreateNotificationRule. Setiap pengguna dengan kebijakan ini yang diterapkan pada pengguna atau peran IAM mereka akan dapat membuat aturan notifikasi untuk setiap dan semua jenis sumber daya yang didukung oleh Notifikasi AWS CodeStar di akun AWS, meskipun pengguna itu sendiri tidak memiliki akses ke sumber daya tersebut. Misalnya, pengguna dengan kebijakan ini dapat membuat aturan notifikasi untuk repositori CodeCommit tanpa memiliki izin untuk mengakses CodeCommit itu sendiri.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCodeStarNotificationsFullAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DeleteNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:ListNotificationRules", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe", "codestar-notifications:DeleteTarget", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource", "codestar-notifications:TagResource", "codestar-notifications:UntagResource" ], "Resource": "*" } ] }

Contoh: Kebijakan tingkat kontributor untuk menggunakan Notifikasi AWS CodeStar

Dalam contoh ini, Anda ingin memberikan akses ke penggunaan sehari-hari dari Notifikasi AWS CodeStar, seperti membuat dan berlangganan notifikasi, tetapi tidak untuk tindakan yang lebih merusak, seperti menghapus aturan notifikasi atau target. Ini setara dengan akses yang disediakan dalam kebijakan terkelola AWSCodeBuildDeveloperAccess, AWSCodeDeployDeveloperAccess, dan AWSCodeCommitPowerUser.

catatan

Kebijakan ini berisi izin CreateNotificationRule. Setiap pengguna dengan kebijakan ini yang diterapkan pada pengguna atau peran IAM mereka akan dapat membuat aturan notifikasi untuk setiap dan semua jenis sumber daya yang didukung oleh Notifikasi AWS CodeStar di akun AWS, meskipun pengguna itu sendiri tidak memiliki akses ke sumber daya tersebut. Misalnya, pengguna dengan kebijakan ini dapat membuat aturan notifikasi untuk repositori CodeCommit tanpa memiliki izin untuk mengakses CodeCommit itu sendiri.

{ "Version": "2012-10-17", "Sid": "AWSCodeStarNotificationsPowerUserAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:ListNotificationRules", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource" ], "Resource": "*" } ] }

Contoh: Sebuah kebijakan tingkat-baca-saja untuk menggunakan Notifikasi AWS CodeStar

Dalam contoh ini, Anda ingin memberi pengguna IAM di akun Anda akses hanya baca ke aturan notifikasi, target, dan jenis peristiwa di akun AWS Anda. Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan melihat item ini. Ini adalah setara dengan izin yang disertakan sebagai bagian dari kebijakan terkelola AWSCodeBuildReadOnlyAccess, AWSCodeCommitReadOnly, dan AWSCodePipeline_ReadOnlyAccess.

{ "Version": "2012-10-17", "Id": "CodeNotification__ReadOnly", "Statement": [ { "Sid": "Reads_API_Access", "Effect": "Allow", "Action": [ "CodeNotification:DescribeNotificationRule", "CodeNotification:ListNotificationRules", "CodeNotification:ListTargets", "CodeNotification:ListEventTypes" ], "Resource": "*" } ] }