Entendendo o modelo de CodeCatalyst confiança - Amazon CodeCatalyst

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Entendendo o modelo de CodeCatalyst confiança

O modelo de CodeCatalyst confiança da Amazon CodeCatalyst permite assumir a função de serviço no conectado Conta da AWS. O modelo conecta a função do IAM, os diretores de CodeCatalyst serviço e o CodeCatalyst espaço. A política de confiança usa a chave de aws:SourceArn condição para conceder permissões ao CodeCatalyst espaço especificado na chave de condição. Para obter mais informações sobre essa chave de condição, consulte aws: SourceArn no Guia do usuário do IAM.

Uma política de confiança é um documento da política JSON no qual você define os princípios que são confiáveis para assumir a função. Uma política de confiança da função é uma política com base em recurso necessária anexada a uma função no IAM. Para obter mais informações, consulte Termos e conceitos no Guia do usuário do IAM. Para obter detalhes sobre os princípios de serviço para CodeCatalyst, consultePrincípios de serviço para CodeCatalyst.

Na política de confiança a seguir, os principais de serviço listados no Principal elemento recebem permissões da política baseada em recursos, e o Condition bloco é usado para limitar o acesso ao recurso com escopo reduzido.

"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "codecatalyst-runner.amazonaws.com", "codecatalyst.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*" } } } ]

Na política de confiança, os diretores do CodeCatalyst serviço recebem acesso por meio da chave de aws:SourceArn condição, que contém o Amazon Resource Name (ARN) para CodeCatalyst o ID do espaço. O ARN usa o seguinte formato:

arn:aws:codecatalyst:::space/spaceId/project/*
Importante

Use o ID do espaço somente em chaves de condição, comoaws:SourceArn. Não use o ID do espaço nas declarações de política do IAM como um ARN de recurso.

Como prática recomendada, reduza o máximo possível as permissões na política.

  • Você pode usar o caractere curinga (*) na chave de aws:SourceArn condição para especificar todos os projetos no espaço com. project/*

  • Você pode especificar permissões em nível de recurso na chave de aws:SourceArn condição para um projeto específico no espaço com. project/projectId

Princípios de serviço para CodeCatalyst

Você usa o Principal elemento em uma política JSON baseada em recursos para especificar o principal que tem acesso permitido ou negado a um recurso. Os principais que podem ser especificados na política de confiança incluem usuários, funções, contas e serviços. Você não pode usar o Principal elemento em uma política baseada em identidade; da mesma forma, você não pode identificar um grupo de usuários como principal em uma política (como uma política baseada em recursos) porque os grupos estão relacionados a permissões, não à autenticação, e os principais são entidades IAM autenticadas.

Na política de confiança, você pode especificar Serviços da AWS no Principal elemento de uma política baseada em recursos ou em chaves de condição que suportam os princípios. Os princípios do serviço são definidos pelo serviço. A seguir estão os princípios de serviço definidos para CodeCatalyst:

  • codecatalyst.amazonaws.com - Esse principal de serviço é usado para uma função que concederá acesso a. CodeCatalyst AWS

  • codecatalyst-runner.amazonaws.com - Esse principal de serviço é usado para uma função que concederá acesso a recursos em implantações para fluxos de trabalho. CodeCatalyst AWS CodeCatalyst

Para obter mais informações, consulte Elementos de política JSON da AWS : entidade principal no Guia do usuário do IAM.