CodeCatalyst 신뢰 모델 이해 - 아마존 CodeCatalyst
서비스 주체: CodeCatalyst

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CodeCatalyst 신뢰 모델 이해

Amazon CodeCatalyst 신뢰 모델을 사용하면 연결된 CodeCatalyst 환경에서 서비스 역할을 맡을 수 AWS 계정있습니다. 모델은 IAM 역할, CodeCatalyst 서비스 주체 및 공간을 연결합니다. CodeCatalyst 신뢰 정책은 aws:SourceArn 조건 키를 사용하여 조건 키에 지정된 CodeCatalyst 공간에 권한을 부여합니다. 이 조건 키에 대한 자세한 내용은 IAM 사용 설명서의 SourceArn aws:를 참조하십시오.

신뢰 정책은 신뢰하는 보안 주체가 역할을 맡도록 정의하는 JSON 정책 문서입니다. 역할 신뢰 정책은 IAM의 역할에 연결된 필수 리소스 기반 정책입니다. 자세한 내용은 IAM 사용 설명서의 용어 및 개념을 참조하십시오. 의 서비스 주체에 대한 자세한 내용은 을 참조하십시오. CodeCatalyst 서비스 주체: CodeCatalyst

다음 신뢰 정책에서는 Principal 요소에 나열된 서비스 주체에 리소스 기반 정책의 권한이 부여되며, Condition 차단은 범위가 축소된 리소스에 대한 액세스를 제한하는 데 사용됩니다.

"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
             "Principal": { 
                "Service": [ 
                    "codecatalyst-runner.amazonaws.com",
                    "codecatalyst.amazonaws.com" 
                ] 
            }, 
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
                }
            }
        }
    ]

신뢰 정책에서 CodeCatalyst 서비스 주체는 스페이스 ID에 대한 Amazon 리소스 이름 (ARN) 이 포함된 aws:SourceArn 조건 키를 통해 액세스 권한을 부여받습니다. CodeCatalyst ARN은 다음 형식을 사용합니다.

arn:aws:codecatalyst:::space/spaceId/project/*
중요

스페이스 ID는 조건 키 (예aws:SourceArn:) 에만 사용하십시오. IAM 정책문의 스페이스 ID를 리소스 ARN으로 사용하지 마십시오.

정책에서 권한의 범위를 최대한 좁히는 것이 가장 좋습니다.

  • aws:SourceArn조건 키에 와일드카드 (*) 를 사용하여 project/* 스페이스의 모든 프로젝트를 지정할 수 있습니다.

  • 를 사용하여 스페이스의 특정 프로젝트에 대한 aws:SourceArn 조건 키에 리소스 수준 권한을 지정할 수 있습니다. project/projectId

서비스 주체: CodeCatalyst

리소스 기반 JSON 정책의 Principal 요소를 사용하여 리소스에 대한 액세스를 허용하거나 거부할 보안 주체를 지정합니다. 신뢰 정책에서 지정할 수 있는 보안 주체에는 사용자, 역할, 계정 및 서비스가 포함됩니다. ID 기반 정책에서는 Principal 요소를 사용할 수 없습니다. 마찬가지로 그룹은 인증이 아니라 권한과 관련이 있고 보안 주체는 인증된 IAM 개체이기 때문에 사용자 그룹을 정책 (예: 리소스 기반 정책) 의 보안 주체로 식별할 수 없습니다.

신뢰 정책에서는 리소스 기반 정책의 Principal 요소나 보안 주체를 지원하는 조건 키를 지정할 AWS 서비스 수 있습니다. 서비스 주체는 서비스에 의해 정의됩니다. 다음에 대해 정의된 서비스 주체는 다음과 같습니다. CodeCatalyst

  • codecatalyst.amazonaws.com - 이 서비스 주체는 액세스 권한을 부여하는 역할에 사용됩니다. CodeCatalyst AWS

  • codecatalyst-runner.amazonaws.com - 이 서비스 주체는 워크플로 배포 시 리소스에 대한 액세스 권한을 부여하는 역할에 사용됩니다. CodeCatalyst AWS CodeCatalyst

자세한 내용은 IAM 사용 설명서AWS JSON 정책 요소: 보안 주체를 참조하세요.