Come AWS CodeStar funziona con IAM - AWS CodeStar
AWS CodeStarPolitiche basate sull'identitàAWS CodeStar Politiche basate sulle risorseAutorizzazione basata su tag AWS CodeStar AWS CodeStar IAMRuoliIAMaccesso utente a AWS CodeStarAccesso utente federato a AWS CodeStarUtilizzo di credenziali temporanee con AWS CodeStarRuoli collegati al servizioRuoli dei servizi

Il 31 luglio 2024, Amazon Web Services (AWS) interromperà il supporto per la creazione e la visualizzazione AWS CodeStar di progetti. Dopo il 31 luglio 2024, non potrai più accedere alla AWS CodeStar console o creare nuovi progetti. Tuttavia, le AWS risorse create da AWS CodeStar, inclusi gli archivi di origine, le pipeline e le build, non saranno influenzate da questa modifica e continueranno a funzionare. AWS CodeStar Le connessioni e AWS CodeStar le notifiche non saranno influenzate da questa interruzione.

 

Se desideri monitorare il lavoro, sviluppare codice e creare, testare e distribuire le tue applicazioni, Amazon CodeCatalyst offre un processo introduttivo semplificato e funzionalità aggiuntive per gestire i tuoi progetti software. Scopri di più sulle funzionalità e sui prezzi di Amazon CodeCatalyst.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come AWS CodeStar funziona con IAM

Prima di utilizzare IAM per gestire l'accesso a AWS CodeStar, è necessario comprendere con quali IAM funzionalità è disponibile l'uso AWS CodeStar. Per una panoramica generale del funzionamento AWS CodeStar e degli altri AWS serviziIAM, consulta AWS Services That Work with IAM nella Guida per l'IAMutente.

AWS CodeStarPolitiche basate sull'identità

Con le politiche IAM basate sull'identità, è possibile specificare azioni e risorse consentite o negate e le condizioni in base alle quali le azioni sono consentite o negate. AWS CodeStar crea diverse politiche basate sull'identità per conto dell'utente, che consentono AWS CodeStar di creare e gestire risorse nell'ambito di un progetto. AWS CodeStar AWS CodeStar supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una JSON policy, consulta IAMJSONPolicy Elements Reference nella Guida per l'IAMutente.

Azioni

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'Actionelemento di una JSON policy descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome dell' AWS APIoperazione associata. Esistono alcune eccezioni, come le azioni basate solo sulle autorizzazioni che non hanno un'operazione corrispondente. API Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Le azioni politiche AWS CodeStar utilizzano il seguente prefisso prima dell'azione:. codestar: Ad esempio, per consentire a un IAM utente specifico di modificare gli attributi di un AWS CodeStar progetto, come la descrizione del progetto, è possibile utilizzare la seguente dichiarazione politica:

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codestar:UpdateProject"
      ],
      "Resource" : "arn:aws:codestar:us-east-2:project/my-first-projec"
    }
  ]
}

Le istruzioni della policy devono includere un elemento Action o NotAction. AWS CodeStar definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.

Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

"Action": [
      "codestar:action1",
      "codestar:action2"

È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola List, includi la seguente azione:

"Action": "codestar:List*"

Per visualizzare un elenco di AWS CodeStar azioni, vedere Azioni definite da AWS CodeStar nella Guida per l'IAMutente.

Risorse

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento Resource JSON policy specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il relativo Amazon Resource Name (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.

Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.

"Resource": "*"

La risorsa AWS CodeStar del progetto è la seguenteARN:

arn:aws:codestar:region:account:project/resource-specifier

Per ulteriori informazioni sul formato diARNs, consulta Amazon Resource Names (ARNs) e AWS Service Namespaces.

Ad esempio, quanto segue specifica il nome del AWS CodeStar progetto my-first-projec registrato sull' AWS account 111111111111 nella regione: AWS us-east-2

arn:aws:codestar:us-east-2:111111111111:project/my-first-projec

Quanto segue specifica qualsiasi AWS CodeStar progetto che inizia con il nome my-proj registrato sull' AWS account 111111111111 nella AWS Regione: us-east-2

arn:aws:codestar:us-east-2:111111111111:project/my-proj*

Alcune AWS CodeStar azioni, ad esempio per elencare i progetti, non possono essere eseguite su una risorsa. In questi casi, è necessario utilizzare il carattere jolly (*).

"LisProjects": "*"

Per visualizzare un elenco dei tipi di AWS CodeStar risorse e relativiARNs, consulta Resources Defined by AWS CodeStar nella Guida per l'IAMutente. Per sapere con quali azioni è possibile specificare le caratteristiche ARN di ciascuna risorsa, consulta Azioni definite da AWS CodeStar.

Chiavi di condizione

AWS CodeStar non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella Guida per l'IAMutente.

Esempi

Per visualizzare esempi di politiche AWS CodeStar basate sull'identità, vedere. Esempi di policy basate su identità AWS CodeStar

AWS CodeStar Politiche basate sulle risorse

AWS CodeStar non supporta politiche basate sulle risorse.

Autorizzazione basata su tag AWS CodeStar

È possibile allegare tag ai AWS CodeStar progetti o passare tag in una richiesta a. AWS CodeStar Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione codestar:ResourceTag/key-name, aws:RequestTag/key-name o aws:TagKeys. Per ulteriori informazioni sull'etichettatura AWS CodeStar delle risorse, consultaUtilizzo dei tag di progetto in AWS CodeStar.

Per visualizzare un esempio di politica basata sull'identità per limitare l'accesso a un AWS CodeStar progetto in base ai tag di quel progetto, consulta. Visualizzazione dei progetti AWS CodeStar in base ai tag

AWS CodeStar IAMRuoli

Un IAMruolo è un'entità nel tuo AWS account che dispone di autorizzazioni specifiche.

Puoi usarlo AWS CodeStar come IAMutente, utente federato, utente root o ruolo presunto. Tutti i tipi di utenti con le autorizzazioni appropriate possono gestire le autorizzazioni di progetto relative alle proprie AWS risorse, ma AWS CodeStar gestiscono automaticamente le autorizzazioni del progetto per gli utenti. IAM IAMle politiche e i ruoli concedono le autorizzazioni e l'accesso a quell'utente in base al ruolo del progetto. È possibile utilizzare la IAM console per creare altre politiche che AWS CodeStar assegnano altre autorizzazioni a un utente. IAM

Ad esempio, è possibile consentire a un utente di visualizzare ma non di modificare un progetto AWS CodeStar . In questo caso, aggiungi l'IAMutente a un AWS CodeStar progetto con il ruolo di spettatore. Ogni AWS CodeStar progetto ha una serie di politiche che consentono di controllare l'accesso al progetto. Inoltre, puoi controllare a quali utenti hanno accesso AWS CodeStar.

AWS CodeStar l'accesso viene gestito in modo diverso per IAM gli utenti e gli utenti federati. Solo IAM gli utenti possono essere aggiunti ai team. Per concedere IAM agli utenti le autorizzazioni per i progetti, devi aggiungere l'utente al team di progetto e assegnargli un ruolo. Per concedere agli utenti federati le autorizzazioni per i progetti, alleghi manualmente la politica gestita del ruolo di AWS CodeStar progetto al ruolo dell'utente federato.

Questa tabella riepiloga gli strumenti disponibili per ogni tipo di accesso.

Caratteristica delle autorizzazioni IAMutente Utente federato Utente root
SSHgestione delle chiavi per l'accesso remoto per progetti Amazon EC2 ed Elastic Beanstalk
AWS CodeCommit SSHaccesso
IAMautorizzazioni utente gestite da AWS CodeStar
Autorizzazioni del progetto gestite manualmente
Gli utenti possono essere aggiunti al progetto come membri del team

IAMaccesso utente a AWS CodeStar

Quando aggiungi un IAM utente a un progetto e scegli un ruolo per l'utente, AWS CodeStar applica automaticamente la politica appropriata all'IAMutente. Per IAM gli utenti, non è necessario allegare o gestire direttamente le politiche o le autorizzazioni inIAM. Per informazioni sull'aggiunta di un IAM utente a un AWS CodeStar progetto, consultaAggiungi membri del team a un progetto AWS CodeStar. Per informazioni sulla rimozione di un IAM utente da un AWS CodeStar progetto, vedereRimozione dei membri del team da un progetto AWS CodeStar.

Allegare una politica in linea a un utente IAM

Quando aggiungi un utente a un progetto, allega AWS CodeStar automaticamente la politica gestita per il progetto che corrisponde al ruolo dell'utente. Non è necessario allegare manualmente una politica AWS CodeStar gestita per un progetto a un IAM utente. Ad eccezione diAWSCodeStarFullAccess, non è consigliabile allegare politiche che modificano le autorizzazioni di un IAM utente in un AWS CodeStar progetto. Se decidi di creare e allegare le tue politiche, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'IAMutente.

Accesso utente federato a AWS CodeStar

Invece di creare un IAM utente o utilizzare l'utente root, è possibile utilizzare le identità degli utenti, la directory degli utenti aziendali AWS Directory Service, un provider di identità Web o IAM gli utenti che assumono ruoli. Questi sono noti come utenti federati.

Concedi agli utenti federati l'accesso al tuo AWS CodeStar progetto allegando manualmente le politiche gestite descritte in Politiche e autorizzazioni a AWS CodeStar livello di progetto al ruolo dell'utente. IAM La politica relativa al proprietario, al collaboratore o al visualizzatore viene allegata dopo aver AWS CodeStar creato le risorse e i ruoli del progetto. IAM

Prerequisiti:

  • È necessario impostare un provider di identità. Ad esempio, è possibile configurare un provider di SAML identità e impostare AWS l'autenticazione tramite il provider. Per ulteriori informazioni sulla configurazione di un provider di identità, consulta Creazione di provider di IAM identità. Per ulteriori informazioni sulla SAML federazione, vedere Informazioni sulla federazione SAML basata su 2.0.

  • Devi aver creato un ruolo per un utente federato da assumere quando è richiesto l'accesso tramite un provider di identità. Al ruolo deve essere associata una politica di STS fiducia che consenta agli utenti federati di assumere il ruolo. Per ulteriori informazioni, consulta Federated Users and Roles nella Guida per l'IAMutente.

  • È necessario aver creato il AWS CodeStar progetto e conoscere l'ID del progetto.

Per ulteriori informazioni sulla creazione di un ruolo per provider di identità, consulta la pagina sulla creazione di un ruolo per un provider di identità di terze parti (federazione).

Allega la politica AWSCodeStarFullAccess gestita al ruolo dell'utente federato

Concedi a un utente federato le autorizzazioni necessarie per creare un progetto collegando la policy gestita AWSCodeStarFullAccess. Per eseguire questi passaggi, è necessario aver effettuato l'accesso alla console come utente root, utente amministratore dell'account oppure utente o IAM utente federato con la politica AdministratorAccess gestita associata o equivalente.

Nota

Dopo aver creato il progetto, le autorizzazioni del progetto proprietario non vengono applicate automaticamente. Utilizzando un ruolo con autorizzazioni amministrative per l'account, collega la policy gestita dal proprietario, come descritto in Allega la politica gestita dal AWS CodeStar visualizzatore/collaboratore/proprietario del progetto al ruolo dell'utente federato.

  1. Apri la IAM console. Nel riquadro di navigazione, seleziona Policy.

  2. Inserisci AWSCodeStarFullAccess nel campo di ricerca. Viene visualizzato il nome della policy, con un tipo di policy AWS gestita. È possibile espandere la policy per visualizzare le autorizzazioni nella dichiarazione della policy.

  3. Seleziona il pallino accanto alla policy e quindi, in Policy actions (Operazioni policy), seleziona Attach (Collega).

  4. Nella pagina Summary (Riepilogo), seleziona la scheda Attached entities (Entità collegate). Scegli Collega.

  5. Nella pagina Attach Policy (Collega policy), filtra il ruolo dell'utente federato nel campo di ricerca. Seleziona la casella accanto al nome del ruolo e quindi seleziona Attach policy (Collega policy). Nella scheda Attached entities (Collega entità) viene visualizzato il nuovo collegamento.

Allega la politica gestita dal AWS CodeStar visualizzatore/collaboratore/proprietario del progetto al ruolo dell'utente federato

Concedere agli utenti federati l'accesso al progetto collegando la policy gestita dal proprietario, dal collaboratore o dal visualizzatore appropriata al ruolo dell'utente. La policy gestita offre il livello di autorizzazioni appropriato. A differenza IAM degli utenti, è necessario allegare e scollegare manualmente le politiche gestite per gli utenti federati. Ciò equivale ad assegnare le autorizzazioni del progetto ai membri del team in. AWS CodeStar Per eseguire questi passaggi, è necessario aver effettuato l'accesso alla console come utente root, utente amministratore dell'account o utente o IAM utente federato con la politica AdministratorAccess gestita associata o equivalente.

Prerequisiti:

  • È necessario aver creato un ruolo o disporre di un ruolo esistente assunto dall'utente federato.

  • È necessario sapere quale livello di autorizzazioni si desidera concedere. Le policy gestite collegate ai ruoli del proprietario, collaboratore e visualizzatore forniscono autorizzazioni in base al ruolo per il progetto.

  • Il AWS CodeStar progetto deve essere stato creato. La politica gestita non è disponibile IAM fino alla creazione del progetto.

  1. Apri la IAM console. Nel riquadro di navigazione, seleziona Policy.

  2. Inserisci il tuo ID di progetto nel campo di ricerca. Viene visualizzato il nome della policy che si abbina al progetto, con un tipo di policy di Customer managed (Gestito dal cliente). È possibile espandere la policy per visualizzare le autorizzazioni nella dichiarazione della policy.

  3. Seleziona una di queste policy gestite. Seleziona il pallino accanto alla policy e quindi, in Policy actions (Operazioni policy), seleziona Attach (Collega).

  4. Nella pagina Summary (Riepilogo), seleziona la scheda Attached entities (Entità collegate). Scegli Collega.

  5. Nella pagina Attach Policy (Collega policy), filtra il ruolo dell'utente federato nel campo di ricerca. Seleziona la casella accanto al nome del ruolo e quindi seleziona Attach policy (Collega policy). Nella scheda Attached entities (Collega entità) viene visualizzato il nuovo collegamento.

Scollegare una policy AWS CodeStar gestita dal ruolo dell'utente federato

Prima di eliminare il AWS CodeStar progetto, è necessario scollegare manualmente tutte le politiche gestite associate al ruolo di un utente federato. Per eseguire questi passaggi, è necessario aver effettuato l'accesso alla console come utente root, utente amministratore dell'account oppure utente o IAM utente federato con la politica AdministratorAccess gestita associata o equivalente.

  1. Apri la IAM console. Nel riquadro di navigazione, seleziona Policy.

  2. Inserisci il tuo ID di progetto nel campo di ricerca.

  3. Seleziona il pallino accanto alla policy e quindi, in Policy actions (Operazioni policy), seleziona Attach (Collega).

  4. Nella pagina Summary (Riepilogo), seleziona la scheda Attached entities (Entità collegate).

  5. Filtra il ruolo dell'utente federato nel campo di ricerca. Seleziona Scollega.

Allega una policy AWS Cloud9 gestita al ruolo dell'utente federato

Se utilizzi un ambiente di AWS Cloud9 sviluppo, concedi l'accesso agli utenti federati allegando la policy AWSCloud9User gestita al ruolo dell'utente. A differenza IAM degli utenti, è necessario allegare e scollegare manualmente le politiche gestite per gli utenti federati. Per eseguire questi passaggi, è necessario aver effettuato l'accesso alla console come utente root, utente amministratore dell'account oppure utente o IAM utente federato con la politica AdministratorAccess gestita associata o equivalente.

Prerequisiti:

  • È necessario aver creato un ruolo o disporre di un ruolo esistente assunto dall'utente federato.

  • È necessario sapere quale livello di autorizzazioni si desidera concedere:

    • La policy gestita AWSCloud9User consente all'utente di:

      • Crea i propri ambienti di AWS Cloud9 sviluppo.

      • Ottieni le informazioni sugli ambienti.

      • Modifica le impostazioni per gli ambienti.

    • La policy gestita AWSCloud9Administrator consente all'utente di eseguire le seguenti azioni per sé o per gli altri:

      • Crea ambienti.

      • Ottieni informazioni sugli ambienti.

      • Elimina gli ambienti.

      • Modifica le impostazioni degli ambienti.

  1. Apri la IAM console. Nel riquadro di navigazione, seleziona Policy.

  2. Inserisci il nome della policy nel campo di ricerca. Viene visualizzata la policy gestita, con un tipo di policy AWS gestita. È possibile espandere la policy per visualizzare le autorizzazioni nella dichiarazione della policy.

  3. Seleziona una di queste policy gestite. Seleziona il pallino accanto alla policy e quindi, in Policy actions (Operazioni policy), seleziona Attach (Collega).

  4. Nella pagina Summary (Riepilogo), seleziona la scheda Attached entities (Entità collegate). Scegli Collega.

  5. Nella pagina Attach Policy (Collega policy), filtra il ruolo dell'utente federato nel campo di ricerca. Scegli la casella accanto al nome del ruolo e quindi seleziona Attach policy (Collega policy). Nella scheda Attached entities (Collega entità) viene visualizzato il nuovo collegamento.

Scollegare una politica AWS Cloud9 gestita dal ruolo dell'utente federato

Se utilizzi un ambiente di AWS Cloud9 sviluppo, puoi rimuovere l'accesso di un utente federato ad esso scollegando la politica che concede l'accesso. Per eseguire questi passaggi, è necessario aver effettuato l'accesso alla console come utente root, utente amministratore dell'account oppure utente o IAM utente federato con la politica AdministratorAccess gestita associata o equivalente.

  1. Apri la IAM console. Nel riquadro di navigazione, seleziona Policy.

  2. Inserisci il nome del progetto nel campo di ricerca.

  3. Seleziona il pallino accanto alla policy e quindi, in Policy actions (Operazioni policy), seleziona Attach (Collega).

  4. Nella pagina Summary (Riepilogo), seleziona la scheda Attached entities (Entità collegate).

  5. Filtra il ruolo dell'utente federato nel campo di ricerca. Seleziona Scollega.

Utilizzo di credenziali temporanee con AWS CodeStar

Puoi utilizzare credenziali temporanee per accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando AWS STS API operazioni come o. AssumeRoleGetFederationToken

AWS CodeStar supporta l'uso di credenziali temporanee, ma la funzionalità per i membri del AWS CodeStar team non funziona per l'accesso federato. AWS CodeStar la funzionalità dei membri del team supporta solo l'aggiunta di un IAM utente come membro del team.

Ruoli collegati al servizio

I ruoli collegati ai AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi vengono visualizzati nell'IAMaccount e sono di proprietà del servizio. Un amministratore può visualizzare, ma non modificare le autorizzazioni dei ruoli collegati ai servizi.

AWS CodeStar non supporta ruoli collegati al servizio.

Ruoli dei servizi

Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli di servizio vengono visualizzati nell'IAMaccount e sono di proprietà dell'account. Ciò significa che un amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.

AWS CodeStar supporta i ruoli di servizio. AWS CodeStar utilizza un ruolo di servizio quando crea e gestisce le risorse per il progetto. aws-codestar-service-role Per ulteriori informazioni, consulta Termini e concetti relativi ai ruoli nella Guida IAM per l'utente.

Importante

È necessario essere registrati come utente amministratore di un o account radice per creare questo ruolo di servizio. Per ulteriori informazioni, consulta Solo accesso per la prima volta: le credenziali dell'utente root e Creazione del primo utente e gruppo di amministratori nella Guida per l'IAMutente.

Questo ruolo viene creato per te la prima volta che crei un progetto in. AWS CodeStar Il ruolo di servizio agisce a nome di:

  • Crea le risorse selezionate al momento della creazione di un progetto.

  • Visualizza le informazioni su tali risorse nella dashboard AWS CodeStar del progetto.

Inoltre, agisce a tuo nome quando si gestiscono le risorse per un progetto. Per un esempio di questa dichiarazione di policy, consulta AWSCodeStarServiceRole Politica.

Inoltre, AWS CodeStar crea diversi ruoli di servizio specifici del progetto, a seconda del tipo di progetto. AWS CloudFormation e i ruoli della toolchain vengono creati per ogni tipo di progetto.

  • AWS CloudFormation i ruoli AWS CodeStar consentono di accedere AWS CloudFormation per creare e modificare gli stack del AWS CodeStar progetto.

  • I ruoli della toolchain consentono AWS CodeStar di accedere ad altri AWS servizi per creare e modificare risorse per il AWS CodeStar progetto.