为关联账户配置IAM角色

您可以在 AWS Identity and Access Management (IAM) 中为要添加的账户创建角色 CodeCatalyst。如果您要添加结算账号，则无需创建角色。

在您的中 AWS 账户，您必须拥有为要添加到空间中的角色创建角色的权限。 AWS 账户 有关IAM角色和策略的更多信息（包括IAM参考和策略示例），请参阅身份与访问管理与亚马逊 CodeCatalyst。有关中使用的信任策略和服务主体的更多信息 CodeCatalyst，请参阅了解 CodeCatalyst 信任模型。

在中 CodeCatalyst，您必须使用空间管理员角色登录才能完成向空间添加帐户（以及角色，如果适用）的步骤。

您可以使用以下方法之一将角色添加到您的账户关联中。

• 创建包含权限策略和信任策略的服务角色 CodeCatalystWorkflowDevelopmentRole-spaceName角色，请参阅CodeCatalystWorkflowDevelopmentRole-spaceName角色。

• 有关创建角色和添加策略以根据蓝图创建项目的示例，请参阅创建IAM角色并使用 CodeCatalyst信任策略。

• 有关创建角色时要使用的示例IAM角色策略列表，请参阅使用 IAM 角色授予对项目 AWS 资源的访问权限。

• 有关为工作流操作创建角色的详细步骤，请参阅该操作的工作流程教程，如下所示：

  • 教程：将构件上传到 Amazon S3

  • 教程：部署无服务器应用程序

  • 教程：将应用程序部署到 Amazon ECS

  • 教程：使用动作的 Lint 代码 GitHub

CodeCatalystWorkflowDevelopmentRole-spaceName角色

您可以在中将开发者角色创建为 “一键下单” 角色。IAM您必须在要添加帐户的空间中拥有 Space 管理员或 P ower 用户角色。您还必须对要添加的 AWS 账户 具有管理权限。

在开始以下步骤之前，您必须 AWS Management Console 使用要添加到 CodeCatalyst 空间的相同帐户登录。否则，控制台将返回未知账户错误。

要创建并添加 CodeCatalyst CodeCatalystWorkflowDevelopmentRole-spaceName

1. 在开始进入 CodeCatalyst 控制台之前，请先打开 AWS Management Console，然后确保您的空间使用相同 AWS 账户 的方式登录。

2. 打开 CodeCatalyst 控制台，网址为 https://codecatalyst.aws/。

3. 导航到您的 CodeCatalyst 空间。选择 Settings (设置)，然后选择 AWS 账户。

4. 选择要创建角色的 AWS 账户 位置的链接。将显示AWS 账户 详细信息页面。

5. 从中选择管理角色 AWS Management Console。

   将IAM角色添加到 Amazon CodeCatalyst 空间页面将在中打开 AWS Management Console。这是 Amazon CodeCatalyst 空间页面。您可能需要登录才能访问该页面。

6. 在中选择创建 CodeCatalyst 开发管理员角色IAM。此选项创建的服务角色包含开发角色的权限策略和信任策略。该角色将有一个名字CodeCatalystWorkflowDevelopmentRole-spaceName。有关角色和角色策略的更多信息，请参阅了解CodeCatalystWorkflowDevelopmentRole-spaceName服务角色。

   注意

   此角色仅建议与开发者账户一起使用，并且使用AdministratorAccess AWS 托管策略，授予其在其中创建新策略和资源的完全访问权限 AWS 账户。

7. 选择创建开发角色。

8. 在 “连接” 页面的 “可用IAM角色” 下 CodeCatalyst，查看添加到您账户的IAM角色列表中的角色。CodeCatalystWorkflowDevelopmentRole-spaceName

9. 要返回您的空间，请选择 Go to Amazon CodeCatalyst。

AWSRoleForCodeCatalystSupport角色

您可以在中将支持角色创建为 “一键下单” 角色。IAM您必须在要添加帐户的空间中拥有 Space 管理员或 P ower 用户角色。您还必须对要添加的 AWS 账户 具有管理权限。

在开始以下步骤之前，您必须 AWS Management Console 使用要添加到 CodeCatalyst 空间的相同帐户登录。否则，控制台将返回未知账户错误。

要创建并添加 CodeCatalyst AWSRoleForCodeCatalystSupport

1. 在开始进入 CodeCatalyst 控制台之前，请先打开 AWS Management Console，然后确保您的空间使用相同 AWS 账户 的方式登录。

2. 导航到您的 CodeCatalyst 空间。选择 Settings (设置)，然后选择 AWS 账户。

3. 选择要创建角色的 AWS 账户 位置的链接。将显示AWS 账户 详细信息页面。

4. 从中选择管理角色 AWS Management Console。

   将IAM角色添加到 Amazon CodeCatalyst 空间页面将在中打开 AWS Management Console。这是 Amazon CodeCatalyst Spaces 页面。您可能需要登录才能访问该页面。

5. 在CodeCatalyst 空间详情下，选择添加 Su CodeCatalyst pport 角色。此选项创建的服务角色包含预览版开发角色的权限策略和信任策略。该角色将有一个名字 AWSRoleForCodeCatalystSupport并附加唯一标识符。有关角色和角色策略的更多信息，请参阅了解AWSRoleForCodeCatalystSupport服务角色。

6. 在 “为 Su CodeCatalyst pport 添加角色” 页面上，将默认角色保留为选中状态，然后选择创建角色。

7. 在 “可用IAM角色” CodeCatalystWorkflowDevelopmentRole-spaceName 下 CodeCatalyst，在添加到您账户的IAM角色列表中查看该角色。

8. 要返回您的空间，请选择 Go to Amazon CodeCatalyst。

创建IAM角色并使用 CodeCatalyst信任策略

IAM在 AWS 账户 连接中 CodeCatalyst 使用的角色必须配置为使用此处提供的信任策略。使用这些步骤创建IAM角色并附加允许您根据蓝图创建项目的策略。 CodeCatalyst

或者，您可以创建一个包含该角色的权限策略和信任策略的服务CodeCatalystWorkflowDevelopmentRole-spaceName角色。有关更多信息，请参阅 向账户关联添加IAM角色。

1. 登录 AWS Management Console 并打开IAM控制台，网址为https://console.aws.amazon.com/iam/。

2. 选择 角色，然后选择 创建角色。

3. 选择自定义信任策略。

4. 在自定义信任策略窗体下，粘贴以下信任策略。

   
   "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
                "Principal": { 
                   "Service": [ 
                       "codecatalyst-runner.amazonaws.com",
                       "codecatalyst.amazonaws.com" 
                   ] 
               }, 
               "Action": "sts:AssumeRole",
               "Condition": {
                   "ArnLike": {
                       "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
                   }
               }
           }
       ]
     

5. 选择下一步。

6. 在 “添加权限” 下，搜索并选择您已在中创建的自定义策略IAM。

7. 选择下一步。

8. 在角色名称中，输入角色的名称，例如：codecatalyst-project-role

9. 选择 Create role（创建角色）。

10. 复制角色 Amazon 资源名称 (ARN)。在向账户关联或环境中添加角色时，您需要提供此信息。