Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
CodeBuildUtilizzo dei ruoli per il provisioning basato
AWS Proton utilizza ruoli collegati al servizio AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente a AWS Proton. I ruoli collegati ai servizi sono definiti automaticamente da AWS Proton e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per tuo conto.
Un ruolo collegato ai servizi semplifica la configurazione di AWS Proton perché non dovrai più aggiungere manualmente le autorizzazioni necessarie. AWS Proton definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, AWS Proton potrà assumere solo i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di AWS Proton perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano Yes (Sì) nella colonna Service-linked roles (Ruoli collegati ai servizi). Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Autorizzazioni del ruolo collegato ai servizi per AWS Proton
AWS Protonutilizza il ruolo collegato al servizio denominato AWSServiceRoleForProtonCodeBuildProvisioning: A Service Linked Role per AWS Proton CodeBuild il provisioning.
Il ruolo AWSServiceRoleForProtonCodeBuildProvisioning collegato al servizio prevede che i seguenti servizi assumano il ruolo:
-
codebuild.proton.amazonaws.com
La politica di autorizzazione dei ruoli denominata AWSProtonCodeBuildProvisioningServiceRolePolicy consente di AWS Proton completare le seguenti azioni sulle risorse specificate:
-
Azione: crea, gestisci e leggi su AWS CloudFormationpile e trasformazioni
-
Azione: crea, gestisci e leggi CodeBuild progetti e build
Questa policy include le seguenti autorizzazioni:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:DeleteStack", "cloudformation:UpdateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ListStackResources" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/AWSProton-CodeBuild-*" ] }, { "Effect": "Allow", "Action": [ "codebuild:CreateProject", "codebuild:DeleteProject", "codebuild:UpdateProject", "codebuild:StartBuild", "codebuild:StopBuild", "codebuild:RetryBuild", "codebuild:BatchGetBuilds", "codebuild:BatchGetProjects" ], "Resource": "arn:aws:codebuild:*:*:project/AWSProton*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEqualsIfExists": { "iam:PassedToService": "codebuild.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "servicequotas:GetServiceQuota" ], "Resource": "*" } ] }
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.
Creazione di un ruolo collegato ai servizi per AWS Proton
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un ambiente che utilizza il provisioning CodeBuild basato suAWS Management Console, AWS Proton nell'o nell'AWSAPIAWS CLI, AWS Proton crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei un ambiente che utilizza il provisioning CodeBuild basato sul provisioning inAWS Proton, AWS Proton crea nuovamente il ruolo collegato al servizio.
Modifica di un ruolo collegato ai servizi per AWS Proton
AWS Protonnon consente di modificare il ruolo collegato al AWSServiceRoleForProtonCodeBuildProvisioning servizio. Dopo aver creato un ruolo collegato ai servizi, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.
Eliminazione di un ruolo collegato ai servizi per AWS Proton
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario eliminare tutti gli ambienti e i servizi (istanze e pipeline) che utilizzano il provisioning CodeBuild basato sul provisioning AWS Proton prima di poterlo eliminare manualmente.
Eliminazione manuale del ruolo collegato ai servizi
Utilizzare la console IAM, AWS CLI, la AWS o l'API per eliminare i ruoli collegati ai servizi AWSServiceRoleForProtonCodeBuildProvisioning. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.
Regioni supportate per i ruoli collegati ai servizi AWS Proton
AWS Proton supporta l'utilizzo di ruoli collegati ai servizi in tutte le Regioni AWS in cui il servizio è disponibile. Per ulteriori informazioni, consulta Endpoint e quote AWS Proton nella Riferimenti generali di AWS.
