Gerenciamento de identidade e acesso para AWS CodeStar notificações e AWS CodeConnections - Console do Developer Tools
PúblicoAutenticando com identidadesGerenciando acesso usando políticasAWS CodeConnections referência de permissõesUsar o console Permitir que os usuários visualizem suas próprias permissões

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de identidade e acesso para AWS CodeStar notificações e AWS CodeConnections

AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser autenticado (conectado) e autorizado (tem permissões) a usar AWS CodeStar notificações e AWS CodeConnections recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

nota

Ações para recursos criados sob o novo prefixo de serviço codeconnections estão disponíveis. A criação de um recurso com o novo prefixo de serviço será usada codeconnections no ARN do recurso. As ações e os recursos para o prefixo codestar-connections de serviço permanecem disponíveis. Ao especificar um recurso na política do IAM, o prefixo do serviço precisa corresponder ao do recurso.

Tópicos

Público

A forma como você usa AWS Identity and Access Management (IAM) difere, dependendo do trabalho que você faz em AWS CodeStar Notificações AWS CodeConnections e.

Usuário do serviço — Se você usar as AWS CodeStar Notificações e o AWS CodeConnections serviço para fazer seu trabalho, seu administrador fornecerá as credenciais e as permissões de que você precisa. À medida que você usa mais AWS CodeStar notificações e AWS CodeConnections recursos para fazer seu trabalho, talvez precise de permissões adicionais. Entender como o acesso é gerenciado pode ajudar você a solicitar as permissões corretas ao seu administrador. Se você não conseguir acessar um recurso nas AWS CodeStar Notificações e AWS CodeConnections, consulteAWS CodeStar Notificações de solução de problemas, AWS CodeConnections identidade e acesso.

Administrador de serviços — Se você é responsável pelas AWS CodeStar notificações e pelos AWS CodeConnections recursos da sua empresa, provavelmente tem acesso total às AWS CodeStar notificações AWS CodeConnections e. É seu trabalho determinar quais AWS CodeStar notificações, AWS CodeConnections recursos e recursos seus usuários do serviço devem acessar. Assim, você deve enviar solicitações ao administrador do IAM para alterar as permissões dos usuários de seu serviço. Revise as informações nesta página para entender os Introdução ao IAM. Para saber mais sobre como sua empresa pode usar o IAM com AWS CodeStar notificações e AWS CodeConnections, consulteComo os recursos no console do Developer Tools funcionam com o IAM.

Administrador do IAM — Se você for administrador do IAM, talvez queira saber detalhes sobre como criar políticas para gerenciar o acesso às AWS CodeStar notificações AWS CodeConnections e. Para ver exemplos de AWS CodeStar notificações e políticas AWS CodeConnections baseadas em identidade que você pode usar no IAM, consulte. Exemplos de políticas baseadas em identidade

Autenticando com identidades

A autenticação é como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado (conectado AWS) como o Usuário raiz da conta da AWS, como usuário do IAM ou assumindo uma função do IAM.

Você pode entrar AWS como uma identidade federada usando credenciais fornecidas por meio de uma fonte de identidade. AWS IAM Identity Center Usuários (IAM Identity Center), a autenticação de login único da sua empresa e suas credenciais do Google ou do Facebook são exemplos de identidades federadas. Quando você faz login como identidade federada, o administrador já configurou anteriormente a federação de identidades usando perfis do IAM. Ao acessar AWS usando a federação, você está assumindo indiretamente uma função.

Dependendo do tipo de usuário que você é, você pode entrar no AWS Management Console ou no portal de AWS acesso. Para obter mais informações sobre como fazer login em AWS, consulte Como fazer login Conta da AWS no Guia do Início de Sessão da AWS usuário.

Se você acessar AWS programaticamente, AWS fornece um kit de desenvolvimento de software (SDK) e uma interface de linha de comando (CLI) para assinar criptograficamente suas solicitações usando suas credenciais. Se você não usa AWS ferramentas, você mesmo deve assinar as solicitações. Para obter mais informações sobre como usar o método recomendado para assinar solicitações por conta própria, consulte Assinatura de solicitações de AWS API no Guia do usuário do IAM.

Independente do método de autenticação usado, também pode ser exigido que você forneça informações adicionais de segurança. Por exemplo, AWS recomenda que você use a autenticação multifator (MFA) para aumentar a segurança da sua conta. Para saber mais, consulte Autenticação Multifator no Guia do Usuário do AWS IAM Identity Center . Usar a autenticação multifator (MFA) na AWS no Guia do Usuário do IAM.

Usuário raiz da conta da AWS

Ao criar uma Conta da AWS, você começa com uma identidade de login que tem acesso completo a todos Serviços da AWS os recursos da conta. Essa identidade é chamada de usuário Conta da AWS raiz e é acessada fazendo login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem login como usuário raiz, consulte Tarefas que exigem credenciais de usuário raiz no Guia do Usuário do IAM.

Usuários e grupos do IAM

Um usuário do IAM é uma identidade dentro da sua Conta da AWS que tem permissões específicas para uma única pessoa ou aplicativo. Sempre que possível, recomendamos contar com credenciais temporárias em vez de criar usuários do IAM com credenciais de longo prazo, como senhas e chaves de acesso. No entanto, se você tiver casos de uso específicos que exijam credenciais de longo prazo com usuários do IAM, recomendamos alternar as chaves de acesso. Para obter mais informações, consulte Alterne as chaves de acesso regularmente para casos de uso que exijam credenciais de longo prazo no Guia do Usuário do IAM.

Um grupo do IAM é uma identidade que especifica uma coleção de usuários do IAM. Não é possível fazer login como um grupo. É possível usar grupos para especificar permissões para vários usuários de uma vez. Os grupos facilitam o gerenciamento de permissões para grandes conjuntos de usuários. Por exemplo, você pode ter um grupo chamado IAMAdmins e conceder a esse grupo permissões para administrar recursos do IAM.

Usuários são diferentes de perfis. Um usuário é exclusivamente associado a uma pessoa ou a uma aplicação, mas um perfil pode ser assumido por qualquer pessoa que precisar dele. Os usuários têm credenciais permanentes de longo prazo, mas os perfis fornecem credenciais temporárias. Para saber mais, consulte Quando criar um usuário do IAM (em vez de um perfil) no Guia do usuário do IAM.

Perfis do IAM

Uma função do IAM é uma identidade dentro da sua Conta da AWS que tem permissões específicas. Ele é semelhante a um usuário do IAM, mas não está associado a uma pessoa específica. Você pode assumir temporariamente uma função do IAM no AWS Management Console trocando de funções. Você pode assumir uma função chamando uma operação de AWS API AWS CLI ou usando uma URL personalizada. Para obter mais informações sobre métodos para o uso de perfis, consulte Utilizar perfis do IAM no Guia do usuário do IAM.

Funções do IAM com credenciais temporárias são úteis nas seguintes situações:

  • Acesso de usuário federado: para atribuir permissões a identidades federadas, você pode criar um perfil e definir permissões para ele. Quando uma identidade federada é autenticada, essa identidade é associada ao perfil e recebe as permissões definidas pelo mesmo. Para obter mais informações sobre perfis para federação, consulte Criar um perfil para um provedor de identidades de terceiros no Guia do Usuário do IAM. Se você usar o Centro de identidade do IAM, configure um conjunto de permissões. Para controlar o que suas identidades podem acessar após a autenticação, o Centro de identidade do IAM correlaciona o conjunto de permissões a um perfil no IAM. Para obter informações sobre conjuntos de permissões, consulte Conjuntos de Permissões no Manual do Usuário do AWS IAM Identity Center .

  • Permissões temporárias para usuários do IAM –- um usuário ou um perfil do IAM pode presumir um perfil do IAM para obter temporariamente permissões diferentes para uma tarefa específica.

  • Acesso entre contas –- é possível usar um perfil do IAM para permitir que alguém (uma entidade principal confiável) em outra conta acesse recursos em sua conta. Os perfis são a principal forma de conceder acesso entre contas. No entanto, com alguns Serviços da AWS, você pode anexar uma política diretamente a um recurso (em vez de usar uma função como proxy). Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte Acesso a recursos entre contas no IAM no Guia do usuário do IAM.

  • Acesso entre serviços — Alguns Serviços da AWS usam recursos em outros Serviços da AWS. Por exemplo, quando você faz uma chamada em um serviço, é comum que esse serviço execute aplicativos no Amazon EC2 ou armazene objetos no Amazon S3. Um serviço pode fazer isso usando as permissões do principal de chamada, usando um perfil de serviço ou um perfil vinculado a serviço.

    • Sessões de acesso direto (FAS) — Quando você usa um usuário ou uma função do IAM para realizar ações AWS, você é considerado o principal. Ao usar alguns serviços, você pode executar uma ação que inicia outra ação em um serviço diferente. O FAS usa as permissões do diretor chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) para fazer solicitações aos serviços posteriores. As solicitações do FAS são feitas somente quando um serviço recebe uma solicitação que requer interações com outros Serviços da AWS ou com recursos para ser concluída. Nesse caso, você precisa ter permissões para executar ambas as ações. Para obter detalhes da política ao fazer solicitações de FAS, consulte Encaminhar sessões de acesso.

    • Função de serviço: um perfil de serviço é um perfil do IAM que um serviço assume para realizar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para obter mais informações, consulte Criar um perfil para delegar permissões a um AWS service (Serviço da AWS) no Guia do Usuário do IAM.

    • Função vinculada ao serviço — Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode presumir a função de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para funções vinculadas ao serviço.

  • Aplicativos em execução no Amazon EC2 — Você pode usar uma função do IAM para gerenciar credenciais temporárias para aplicativos que estão sendo executados em uma instância do EC2 e fazendo AWS CLI solicitações de API. AWS É preferível fazer isso a armazenar chaves de acesso na instância do EC2. Para atribuir uma AWS função a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, você cria um perfil de instância anexado à instância. Um perfil de instância contém o perfil e permite que os programas em execução na instância do EC2 obtenham credenciais temporárias. Para mais informações, consulte Utilizar um perfil do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.

Para saber se deseja usar perfis do IAM, consulte Quando criar um perfil do IAM (em vez de um usuário) no Guia do usuário do IAM.

Gerenciando acesso usando políticas

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política é um objeto AWS que, quando associada a uma identidade ou recurso, define suas permissões. AWS avalia essas políticas quando um principal (usuário, usuário raiz ou sessão de função) faz uma solicitação. As permissões nas políticas determinam se a solicitação será permitida ou negada. A maioria das políticas é armazenada AWS como documentos JSON. Para obter mais informações sobre a estrutura e o conteúdo de documentos de políticas JSON, consulte Visão geral das políticas JSON no Guia do Usuário do IAM.

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.

Por padrão, usuários e funções não têm permissões. Para conceder aos usuários permissões para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM. O administrador pode então adicionar as políticas do IAM aos perfis e os usuários podem presumir os perfis.

As políticas do IAM definem permissões para uma ação independente do método usado para executar a operação. Por exemplo, suponha que você tenha uma política que permite a ação iam:GetRole. Um usuário com essa política pode obter informações de função da AWS Management Console AWS CLI, da ou da AWS API.

Políticas baseadas em identidade

As políticas baseadas em identidade são documentos de políticas de permissões JSON que você pode anexar a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Criando políticas do IAM no Guia do Usuário do IAM.

As políticas baseadas em identidade podem ser categorizadas ainda adicionalmente como políticas em linha ou políticas gerenciadas. As políticas em linha são anexadas diretamente a um único usuário, grupo ou perfil. As políticas gerenciadas são políticas autônomas que você pode associar a vários usuários, grupos e funções em seu Conta da AWS. As políticas AWS gerenciadas incluem políticas gerenciadas e políticas gerenciadas pelo cliente. Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte Escolher entre políticas gerenciadas e políticas em linha no Guia do Usuário do IAM.

AWS CodeConnections referência de permissões

As tabelas a seguir listam cada operação de AWS CodeConnections API, as ações correspondentes para as quais você pode conceder permissões e o formato do ARN do recurso a ser usado para conceder permissões. As AWS CodeConnections APIs são agrupadas em tabelas com base no escopo das ações permitidas por essa API. Consulte-o ao escrever políticas de permissões que você pode anexar a uma identidade do IAM (políticas baseadas em identidade).

Quando você cria uma política de permissões, você especifica as ações no campo Action da política. Você especifica o valor do recurso no campo Resource da política como um ARN, com ou sem um caractere curinga (*).

Para expressar condições nas suas políticas de conexão, use as chaves de condição descritas aqui e listadas em Chaves de condição. Você também pode usar teclas de condição AWS-wide. Para obter uma lista completa AWS de chaves gerais, consulte Chaves disponíveis no Guia do usuário do IAM.

Para especificar uma ação, use o codeconnections prefixo seguido do nome da operação da API (por exemplo, codeconnections:ListConnections ou codeconnections:CreateConnection).

Uso de curingas

Para especificar várias ações ou recursos, use um caractere curinga (*) no seu ARN. Por exemplo, codeconnections:* especifica todas as AWS CodeConnections ações e codeconnections:Get* especifica todas as AWS CodeConnections ações que começam com a palavra. Get O exemplo a seguir concede acesso a todos os repositórios com nomes que começam com MyConnection. 

arn:aws:codeconnections:us-west-2:account-ID:connection/*

Você pode usar curingas apenas com os recursos de conexão listados na tabela a seguir. Você não pode usar curingas com recursos region ou account-id. Para obter mais informações sobre curingas, consulte Identificadores do IAM, no Manual do usuário do IAM.

Permissões para gerenciar conexões

Uma função ou usuário designado para usar o SDK AWS CLI ou para visualizar, criar ou excluir conexões deve ter permissões limitadas ao seguinte.

nota

Não é possível concluir nem usar uma conexão no console somente com as permissões a seguir. É necessário adicionar as permissões em Permissões para concluir conexões.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections

Use as barras de rolagem para ver o restante da tabela.

AWS CodeConnections permissões necessárias para gerenciar conexões
AWS CodeConnections ações Permissões obrigatórias Recursos

CreateConnection

codeconnections:CreateConnection

Necessária para usar a CLI ou o console para criar uma conexão.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

DeleteConnection

codeconnections:DeleteConnection

Necessária para usar a CLI ou o console para excluir uma conexão.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

GetConnection

codeconnections:GetConnection

Necessária para usar a CLI ou o console para visualizar detalhes de uma conexão.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

ListConnections

codeconnections:ListConnections

Necessária para usar a CLI ou o console para listar todas as conexões na conta.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

Estas operações oferecem suporte às seguintes chaves de condição:

Ação Chaves de condição

codeconnections:CreateConnection

codeconnections:ProviderType
codeconnections:DeleteConnection N/D
codeconnections:GetConnection N/D
codeconnections:ListConnections codeconnections:ProviderTypeFilter

Permissões para gerenciamento de hosts

Uma função ou usuário designado para usar o SDK AWS CLI ou para visualizar, criar ou excluir hosts deve ter permissões limitadas ao seguinte.

nota

Não é possível concluir nem usar uma conexão no host somente com as permissões a seguir. É necessário adicionar as permissões em Permissões para configurar hosts.

codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts

Use as barras de rolagem para ver o restante da tabela.

AWS CodeConnections permissões necessárias para gerenciar hosts
AWS CodeConnections ações Permissões obrigatórias Recursos

CreateHost

codeconnections:CreateHost

Necessária para usar a CLI ou o console para criar um host.

arn: aws: conexões de código: região: id da conta: host/id do host

DeleteHost

codeconnections:DeleteHost

Necessária para usar a CLI ou o console para excluir um host.

conexões de código: região: id da conta: host/id do host

GetHost

codeconnections:GetHost

Necessária para usar a CLI ou o console para visualizar detalhes de um host.

arn: aws: conexões de código: região: id da conta: host/id do host

ListHosts

codeconnections:ListHosts

Necessária para usar a CLI ou o console para listar todos os hosts na conta.

arn: aws: conexões de código: região: id da conta: host/id do host

Estas operações oferecem suporte às seguintes chaves de condição:

Ação Chaves de condição

codeconnections:CreateHost

codeconnections:ProviderType
codeconnections:DeleteHost N/D
codeconnections:GetHost N/D
codeconnections:ListHosts codeconnections:ProviderTypeFilter

Permissões para concluir conexões

Uma função ou um usuário designado para gerenciar conexões no console deve ter as permissões necessárias para concluir uma conexão no console e criar uma instalação, o que inclui autorizar o handshake para o provedor e criar instalações para conexões a serem usadas. Use as permissões a seguir além das permissões acima.

As seguintes operações do IAM são usadas pelo console ao executar um handshake baseado em navegador. ListInstallationTargets, GetInstallationUrl, StartOAuthHandshake, UpdateConnectionInstallation e GetIndividualAccessToken são permissões de políticas do IAM. Elas não são ações de API.

codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation

Com base nisso, as permissões a seguir são necessárias para usar, criar, atualizar ou excluir uma conexão no console. 

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken

Use as barras de rolagem para ver o restante da tabela.

AWS CodeConnections permissões necessárias para concluir conexões
AWS CodeConnections ações Permissões obrigatórias Recursos

GetIndividualAccessToken

codeconnections:GetIndividualAccessToken

Necessária para usar o console para concluir a conexão. Esta é apenas uma permissão de política do IAM, e não uma ação de API.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

GetInstallationUrl

codeconnections:GetInstallationUrl

Necessária para usar o console para concluir a conexão. Esta é apenas uma permissão de política do IAM, e não uma ação de API.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

ListInstallationTargets

codeconnections:ListInstallationTargets

Necessária para usar o console para concluir a conexão. Esta é apenas uma permissão de política do IAM, e não uma ação de API.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

StartOAuthHandshake

codeconnections:StartOAuthHandshake

Necessária para usar o console para concluir a conexão. Esta é apenas uma permissão de política do IAM, e não uma ação de API.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

UpdateConnectionInstallation

codeconnections:UpdateConnectionInstallation

Necessária para usar o console para concluir a conexão. Esta é apenas uma permissão de política do IAM, e não uma ação de API.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

Estas operações oferecem suporte às chaves de condição a seguir.

Ação Chaves de condição
codeconnections:GetIndividualAccessToken codeconnections:ProviderType
codeconnections:GetInstallationUrl codeconnections:ProviderType

codeconnections:ListInstallationTargets

N/D
codeconnections:StartOAuthHandshake codeconnections:ProviderType
codeconnections:UpdateConnectionInstallation codeconnections:InstallationId

Permissões para configurar hosts

Uma função ou um usuário designado para gerenciar conexões no console deve ter as permissões necessárias para concluir uma conexão no console, o que inclui autorizar o handshake para o provedor e instalar a aplicação host. Use as permissões a seguir além das permissões para hosts acima.

As seguintes operações do IAM são usadas pelo console ao executar um registro de host baseado em navegador. RegisterAppCode e StartAppRegistrationHandshake são permissões de políticas do IAM. Elas não são ações de API.


codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Com base nisso, as permissões a seguir são necessárias para usar, criar, atualizar ou excluir uma conexão no console que requer um host (como os tipos de provedor instalados). 

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Use as barras de rolagem para ver o restante da tabela.

AWS CodeConnections permissões necessárias para concluir a configuração do host
Ações de conexões Permissões obrigatórias Recursos

RegisterAppCode

codeconnections:RegisterAppCode

Necessária para usar o console para concluir a configuração do host. Esta é apenas uma permissão de política do IAM, e não uma ação de API.

arn: aws: conexões de código: região: id da conta: host/id do host

StartAppRegistrationHandshake

codeconnections:StartAppRegistrationHandshake

Necessária para usar o console para concluir a configuração do host. Esta é apenas uma permissão de política do IAM, e não uma ação de API.

arn: aws: conexões de código: região: id da conta: host/id do host

Estas operações oferecem suporte às chaves de condição a seguir.

Transmitir uma conexão para um serviço

Quando uma conexão é passada para um serviço (por exemplo, quando um ARN de conexão é fornecido em uma definição de pipeline para criar ou atualizar um pipeline), o usuário deve ter a codeconnections:PassConnection permissão.

Use as barras de rolagem para ver o restante da tabela.

AWS CodeConnections permissões necessárias para passar uma conexão
AWS CodeConnections ações Permissões obrigatórias Recursos

PassConnection

codeconnections:PassConnection

Necessária para passar uma conexão para um serviço.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

Esta operação também é compatível com a seguinte chave de condição:

  • codeconnections:PassedToService

Valores compatíveis com chaves de condição
Chave Provedores de ação válidos

codeconnections:PassedToService

  • codeguru-reviewer

  • codepipeline.amazonaws.com

  • proton.amazonaws.com

Usar uma conexão

Quando um serviço como CodePipeline usa uma conexão, a função de serviço deve ter a codeconnections:UseConnection permissão para uma determinada conexão.

Para gerenciar conexões no console, a política do usuário deve ter a permissão codeconnections:UseConnection.

Use as barras de rolagem para ver o restante da tabela.

AWS CodeConnections ação necessária para usar conexões
AWS CodeConnections ações Permissões obrigatórias Recursos

UseConnection

codeconnections:UseConnection

Necessária para usar uma conexão.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

Esta operação também é compatível com as seguintes chaves de condição:

  • codeconnections:BranchName

  • codeconnections:FullRepositoryId

  • codeconnections:OwnerId

  • codeconnections:ProviderAction

  • codeconnections:ProviderPermissionsRequired

  • codeconnections:RepositoryName

Valores compatíveis com chaves de condição
Chave Provedores de ação válidos

codeconnections:FullRepositoryId

O nome do usuário e o nome de um repositório, como my-owner/my-repository. Compatível somente quando a conexão está sendo usada para acessar um repositório específico.

codeconnections:ProviderPermissionsRequired

read_only ou read_write

codeconnections:ProviderAction

GetBranch, ListRepositories, ListOwners, ListBranches, StartUploadArchiveToS3, GitPush, GitPull, GetUploadArchiveToS3Status, CreatePullRequestDiffComment, GetPullRequest, ListBranchCommits, ListCommitFiles, ListPullRequestComments, ListPullRequestCommits.

Para obter mais informações, consulte a próxima seção.

As chaves de condição necessárias para algumas funcionalidades podem mudar ao longo do tempo. Recomendamos que você use codeconnections:UseConnection para controlar o acesso a uma conexão, a menos que seus requisitos de controle de acesso exijam permissões diferentes.

Tipos de acesso suportados para ProviderAction

Quando uma conexão é usada por um AWS serviço, isso resulta na realização de chamadas de API para seu provedor de código-fonte. Por exemplo, um serviço pode listar repositórios para uma conexão Bitbucket chamando a https://api.bitbucket.org/2.0/repositories/username API.

A ProviderAction chave de condição permite restringir quais APIs em um provedor podem ser chamadas. Como o caminho da API pode ser gerado dinamicamente e o caminho varia de provedor para provedor, o valor ProviderAction é mapeado em um nome de ação abstrata em vez do URL da API. Isso permite que você escreva políticas que têm o mesmo efeito, independentemente do tipo de provedor para a conexão.

A seguir estão os tipos de acesso concedidos para cada um dos valores ProviderAction compatíveis: A seguir são mostradas permissões de políticas do IAM. Elas não são ações de API.

Use as barras de rolagem para ver o restante da tabela.

AWS CodeConnections tipos de acesso suportados para ProviderAction
AWS CodeConnections permissão Permissões obrigatórias Recursos

GetBranch

codeconnections:GetBranch

Necessária para acessar informações sobre uma ramificação, como a confirmação mais recente para essa ramificação

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

ListRepositories

codeconnections:ListRepositories

Necessária para acessar uma lista de repositórios públicos e privados, incluindo detalhes sobre esses repositórios, que pertencem a um proprietário.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

ListOwners

codeconnections:ListOwners

Necessária para acessar uma lista de proprietários aos quais a conexão tem acesso.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

ListBranches

codeconnections:ListBranches

Necessária para acessar a lista de ramificações que existem em um determinado repositório.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

StartUploadArchiveToS3

codeconnections:StartUploadArchiveToS3

Necessária para ler o código-fonte e fazer seu upload para o Amazon S3.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

GitPush

codeconnections:GitPush

Necessária para gravar em um repositório usando o Git.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

GitPull

codeconnections:GitPull

Necessária para ler de um repositório usando o Git.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão
GetUploadArchiveToS3Status

codeconnections:GetUploadArchiveToS3Status

Necessária para acessar o status de um upload, incluindo quaisquer mensagens de erro, iniciado por StartUploadArchiveToS3.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão
CreatePullRequestDiffComment

codeconnections:CreatePullRequestDiffComment

Necessária para acessar comentários em uma solicitação pull.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão
GetPullRequest

codeconnections:GetPullRequest

Necessária para visualizar solicitações pull para um repositório.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

ListBranchCommits

codeconnections:ListBranchCommits

Necessária para visualizar uma lista de confirmações para uma ramificação de repositório.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

ListCommitFiles

codeconnections:ListCommitFiles

Necessária para visualizar uma lista de arquivos para uma confirmação.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

ListPullRequestComments

codeconnections:ListPullRequestComments

Necessária para visualizar uma lista de comentários para uma solicitação pull.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

ListPullRequestCommits

codeconnections:ListPullRequestCommits

Necessária para visualizar uma lista de confirmações para uma solicitação pull.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

Permissões compatíveis para marcar recursos de conexão

As operações do IAM a seguir são usadas na marcação de recursos de conexão.


codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource

Use as barras de rolagem para ver o restante da tabela.

AWS CodeConnections ações necessárias para marcar recursos de conexão
AWS CodeConnections ações Permissões obrigatórias Recursos

ListTagsForResource

codeconnections:ListTagsForResource

Necessária para visualizar uma lista de tags associadas ao recurso de conexão.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

,

arn: aws: conexões de código: região: id da conta: host/id do host

TagResource

codeconnections:TagResource

Necessária para marcar um recurso de conexão.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

,

arn: aws: conexões de código: região: id da conta: host/id do host

UntagResource

codeconnections:UntagResource

Necessária para remover tags de um recurso de conexão.

arn: aws: codeconnections: região: id da conta: conexão/id da conexão

,

arn: aws: conexões de código: região: id da conta: host/id do host

Transmitir uma conexão a um link de repositório

Quando um link de repositório é fornecido em uma configuração de sincronização, o usuário deve ter a permissão codeconnections:PassRepository para o ARN/recurso do link de repositório.

Use as barras de rolagem para ver o restante da tabela.

AWS CodeConnections permissões necessárias para passar uma conexão
AWS CodeConnections ações Permissões obrigatórias Recursos

PassRepository

codeconnections:PassRepository

Necessário para transmitir um link de repositório para uma configuração de sincronização.

arn: aws: conexões de código: região: id da conta: link do repositório/repository-link-id

Esta operação também é compatível com a seguinte chave de condição:

  • codeconnections:PassedToService

Valores compatíveis com chaves de condição
Chave Provedores de ação válidos

codeconnections:PassedToService

  • cloudformation.sync.codeconnections.amazonaws.com

Chave de condição compatível para links de repositório

As operações para links de repositório e recursos de configuração de sincronização são compatíveis com a seguinte chave de condição:

  • codeconnections:Branch

    Filtra o acesso pelo nome da ramificação que é passado na solicitação.

Ações compatíveis com a chave de condição
Chave Valores válidos

codeconnections:Branch

 As seguintes ações são compatíveis com essa chave de condição:

  • CreateSyncConfiguration

  • UpdateSyncConfiguration

  • GetRepositorySyncStatus

Uso de notificações e conexões no console

A experiência de notificações é incorporada aos CodePipeline consoles CodeBuild CodeCommit, CodeDeploy,, e, bem como no console de Ferramentas do Desenvolvedor, na própria barra de navegação de Configurações. Para acessar notificações nos consoles, é necessário ter uma das políticas gerenciadas para esses serviços aplicada ou um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre as AWS CodeStar notificações e AWS CodeConnections os recursos em sua AWS conta. Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis do IAM) com essa política. Para obter mais informações sobre como conceder acesso a AWS CodeBuild, AWS CodeCommit, e AWS CodeDeploy AWS CodePipeline, incluindo acesso a esses consoles, consulte os tópicos a seguir:

AWS CodeStar As notificações não têm nenhuma política AWS gerenciada. Para fornecer acesso à funcionalidade de notificação, é necessário aplicar uma das políticas gerenciadas a um dos serviços listados anteriormente ou criar políticas com o nível de permissão que deseja conceder a usuários ou entidades e anexar essas políticas aos usuários, aos grupos ou às funções que exigem essas permissões. Para obter mais informações e exemplo, consulte o seguinte:

AWS CodeConnections não tem nenhuma política AWS gerenciada. Você usa as permissões e combinações de permissões para acesso, como as permissões detalhadas em Permissões para concluir conexões.

Para obter mais informações, consulte as informações a seguir.

Você não precisa permitir permissões de console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente às ações que correspondem à operação da API que você está tentando executar.

Permitir que os usuários visualizem suas próprias permissões

Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}