Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitäts- und Zugriffsmanagement für AWS CodeStar Benachrichtigungen und AWS CodeConnections

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), AWS CodeStar Benachrichtigungen und Ressourcen zu verwenden. AWS CodeConnections IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

Zielgruppe

Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:

Authentifizierung mit Identitäten

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos

Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zur Anmeldung finden Sie im Benutzerhandbuch unter So melden Sie sich bei Ihrem AWS-Konto anAWS-Anmeldung .

AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter AWS Signature Version 4 für API-Anfragen.

Root-Benutzer des AWS-Kontos

Wenn Sie eine erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto Root-Benutzer, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir empfehlen dringend, den Root-Benutzer nicht für alltägliche Aufgaben zu verwenden. Informationen zu Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind, finden Sie im IAM-Benutzerhandbuch unter Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind.

IAM-Benutzer und -Gruppen

Ein IAM-Benutzer ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen, temporäre Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen zu verwenden. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zuzugreifen.

Eine IAM-Gruppe spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Benutzergruppen. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Anwendungsfälle für IAM-Benutzer.

IAM roles

Eine IAM-Rolle ist eine Identität mit bestimmten Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie von einem Benutzer zu einer IAM-Rolle (Konsole) wechseln oder indem Sie eine AWS CLI oder AWS API-Operation aufrufen. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Methoden zur Übernahme einer Rolle.

IAM-Rollen sind nützlich für Verbundbenutzerzugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, dienstübergreifenden Zugriff und Anwendungen, die auf Amazon ausgeführt werden. EC2 Weitere Informationen finden Sie unter Kontoübergreifender Ressourcenzugriff in IAM im IAM-Benutzerhandbuch.

Verwalten des Zugriffs mit Richtlinien

Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an Identitäten oder Ressourcen anhängen. AWS Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie im IAM-Benutzerhandbuch unter Überblick über JSON-Richtlinien.

Mithilfe von Richtlinien legen Administratoren fest, wer auf was Zugriff hat, indem sie definieren, welcher Principal Aktionen mit welchen Ressourcen und unter welchen Bedingungen ausführen kann.

Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie Rollen hinzu, die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung des Vorgangs verwendet wird.

Identitätsbasierte Richtlinien

Identitätsbasierte Richtlinien sind Richtliniendokumente für JSON-Berechtigungen, die Sie an eine Identität (Benutzer, Gruppe oder Rolle) anhängen. Diese Richtlinien steuern, welche Aktionen Identitäten auf welchen Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien im IAM-Benutzerhandbuch.

Bei identitätsbasierten Richtlinien kann es sich um Inline-Richtlinien (direkt in eine einzelne Identität eingebettet) oder um verwaltete Richtlinien (eigenständige Richtlinien, die mehreren Identitäten zugeordnet sind) handeln. Informationen zur Auswahl zwischen verwalteten und Inline-Richtlinien finden Sie im IAM-Benutzerhandbuch unter Wählen Sie zwischen verwalteten Richtlinien und Inline-Richtlinien.

AWS CodeConnections Referenz zu Berechtigungen

In den folgenden Tabellen sind die einzelnen AWS CodeConnections API-Operationen, die entsprechenden Aktionen, für die Sie Berechtigungen erteilen können, und das Format des Ressourcen-ARN aufgeführt, der für die Erteilung von Berechtigungen verwendet werden soll. Sie AWS CodeConnections APIs sind auf der Grundlage des Umfangs der von dieser API zulässigen Aktionen in Tabellen gruppiert. Verwenden Sie sie als Referenz, wenn Sie Berechtigungsrichtlinien für eine IAM-Identität (identitätsbasierte Richtlinie) verfassen.

Beim Erstellen einer Berechtigungsrichtlinie geben Sie die Aktionen im Feld Action der Richtlinie an. Sie geben den Ressourcenwert im Feld Resource der Richtlinie als ARN mit oder ohne Platzhalterzeichen (*) an.

Bedingungen in Ihren Verbindungsrichtlinien können Sie mit den Bedingungsschlüsseln ausdrücken, die hier beschrieben und unter Bedingungsschlüssel aufgeführt sind. Sie können auch AWS-weite Bedingungsschlüssel verwenden. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter Verfügbare Schlüssel im IAM-Benutzerhandbuch.

Um eine Aktion anzugeben, verwenden Sie das Präfix codeconnections gefolgt vom Namen der API-Operation (z. B. codeconnections:ListConnections oder codeconnections:CreateConnection).

Verwenden von Platzhaltern

Sie können ein Platzhalterzeichen (*) in Ihrem ARN verwenden, um mehrere Aktionen oder Ressourcen anzugeben. codeconnections:*Gibt beispielsweise alle Aktionen an und gibt alle AWS CodeConnections Aktionen codeconnections:Get* an, die mit dem Wort beginnen. AWS CodeConnections Get Im folgenden Beispiel wird der Zugriff auf alle Ressourcen erteilt, deren Name mit MyConnection beginnt.

arn:aws:codeconnections:us-west-2:account-ID:connection/*

Sie können Platzhalter nur für die in der folgenden Tabelle aufgeführten connection Ressourcen verwenden. Sie können Platzhalter nicht zusammen mit region Ressourcen verwenden. account-id Weitere Informationen zu Platzhaltern finden Sie unter IAM Identifiers im Benutzerhandbuch von IAM.

Berechtigungen zum Verwalten von Verbindungen

Eine Rolle oder ein Benutzer, der das SDK AWS CLI oder das SDK zum Anzeigen, Erstellen oder Löschen von Verbindungen verwendet, sollte über folgende Berechtigungen verfügen.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

Diese Vorgänge unterstützen die folgenden Bedingungsschlüssel:

Berechtigungen zum Verwalten von Hosts

Eine Rolle oder ein Benutzer, der AWS CLI bzw. der das SDK zum Anzeigen, Erstellen oder Löschen von Hosts verwenden soll, sollte über folgende Berechtigungen verfügen.

codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

Diese Vorgänge unterstützen die folgenden Bedingungsschlüssel:

Ein Beispiel für eine Richtlinie, die den VpcIdBedingungsschlüssel verwendet, finden Sie unterBeispiel: Beschränken Sie die VPC-Berechtigungen für Hosts mithilfe des VpcIdKontextschlüssels .

Berechtigungen zum Abschließen von Verbindungen

Eine Rolle oder ein Benutzer, die bzw. der zum Verwalten von Verbindungen in der Konsole bestimmt ist, sollte über die erforderlichen Berechtigungen verfügen, um eine Verbindung in der Konsole abzuschließen und eine Installation zu erstellen. Dazu gehören das Autorisieren des Handshakes beim Anbieter und das Erstellen von Installationen für Verbindungen. Verwenden Sie die folgenden Berechtigungen zusätzlich zu den oben genannten Berechtigungen.

Die folgenden IAM-Vorgänge werden von der Konsole verwendet, wenn Sie einen browserbasierten Handshake ausführen. ListInstallationTargets, GetInstallationUrl, StartOAuthHandshake, UpdateConnectionInstallation und GetIndividualAccessToken sind IAM-Richtlinienberechtigungen. Es handelt sich dabei nicht um API-Aktionen.

codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation

Auf dieser Grundlage sind die folgenden Berechtigungen erforderlich, um eine Verbindung in der Konsole zu verwenden, zu erstellen, zu ändern oder zu löschen:

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

Diese Vorgänge unterstützen die folgenden Bedingungsschlüssel:

Berechtigungen zum Einrichten von Hosts

Eine Rolle oder ein Benutzer, die bzw. der zum Verwalten von Verbindungen in der Konsole bestimmt ist, sollte über die erforderlichen Berechtigungen verfügen, um einen Host in der Konsole zu erstellen. Dazu gehören das Autorisieren des Handshakes beim Anbieter und das Installieren der Host-App. Verwenden Sie die folgenden Berechtigungen zusätzlich zu den oben genannten Berechtigungen für Hosts.

Die folgenden IAM-Vorgänge werden von der Konsole verwendet, wenn Sie eine browserbasierte Hostregistrierung durchführen. RegisterAppCode und StartAppRegistrationHandshake sind IAM-Richtlinienberechtigungen. Es handelt sich dabei nicht um API-Aktionen.

codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Dementsprechend sind die folgenden Berechtigungen erforderlich, damit Sie eine Verbindung in der Konsole verwenden, erstellen, ändern oder löschen können, für die ein Host erforderlich ist (z. B. installierte Anbietertypen).

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

Diese Vorgänge unterstützen die folgenden Bedingungsschlüssel:

Übergeben einer Verbindung an einen Service

Wenn eine Verbindung an einen Service übergeben wird (z. B. wenn ein Verbindungs-ARN in einer Pipeline-Definition bereitgestellt wird, um eine Pipeline zu erstellen oder zu ändern), muss der Benutzer über die codeconnections:PassConnection-Berechtigung verfügen.

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

Dieser Vorgang unterstützt auch den folgenden Bedingungsschlüssel:

Verwenden einer Verbindung

Wenn ein Dienst wie eine Verbindung CodePipeline verwendet, muss die Dienstrolle über die codeconnections:UseConnection Berechtigung für eine bestimmte Verbindung verfügen.

Um Verbindungen in der Konsole zu verwalten, muss die Benutzerrichtlinie die codeconnections:UseConnection-Berechtigung haben.

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

Dieser Vorgang unterstützt auch die folgenden Bedingungsschlüssel:

Die erforderlichen Bedingungsschlüssel für einige Funktionen können sich im Laufe der Zeit ändern. Es wird empfohlen, den Zugriff auf eine Verbindung mit codeconnections:UseConnection zu kontrollieren, es sei denn, Ihre Zugriffskontrollanforderungen erfordern andere Berechtigungen.

Unterstützte Zugriffstypen für ProviderAction

Wenn eine Verbindung von einem AWS Dienst verwendet wird, führt dies dazu, dass API-Aufrufe an Ihren Quellcode-Anbieter getätigt werden. Beispielsweise kann ein Service Repositorys für eine Bitbucket-Verbindung auflisten, indem er die https://api.bitbucket.org/2.0/repositories/username-API aufruft.

Mit dem ProviderAction Bedingungsschlüssel können Sie einschränken, welcher APIs Anbieter aufgerufen werden kann. Da der API-Pfad möglicherweise dynamisch generiert wird und der Pfad von Anbieter zu Anbieter variiert, wird der ProviderAction-Wert einem abstrakten Aktionsnamen und nicht der URL der API zugeordnet. Auf diese Weise können Sie Richtlinien schreiben, die unabhängig vom Anbietertyp für die Verbindung dieselbe Wirkung haben.

Im Folgenden sind die Zugriffstypen aufgeführt, die für jeden der unterstützten ProviderAction-Werte gewährt werden. Das folgende Beispiel zeigt IAM-Richtlinienberechtigungen. Es handelt sich dabei nicht um API-Aktionen.

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

Unterstütze Berechtigungen für das Markieren von Verbindungsressourcen

Die folgenden IAM-Vorgänge werden beim Markieren von Verbindungsressourcen verwendet.

codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

Übergeben einer Verbindung an einen Repository-Link

Wenn ein Repository-Link in einer Synchronisierungskonfiguration bereitgestellt wird, muss der Benutzer über die codeconnections:PassRepository-Berechtigung für den Repository-Link ARN/die Resource verfügen.

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

Dieser Vorgang unterstützt auch den folgenden Bedingungsschlüssel:

Unterstützter Bedingungsschlüssel für Repository-Links

Operationen für Repository-Links und Sync-Konfigurationsressourcen werden durch den folgenden Bedingungsschlüssel unterstützt:

Unterstützte Berechtigungen für die gemeinsame Nutzung von Verbindungen

Die folgenden IAM-Operationen werden beim Teilen von Verbindungen verwendet.

codeconnections:GetResourcePolicy

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

Weitere Informationen zur gemeinsamen Nutzung von Verbindungen finden Sie unterVerbindungen teilen mit AWS-Konten.

Verwenden von Notifications und Connections in der Konsole

Die Benachrichtigungserfahrung ist in die CodePipeline Konsolen CodeBuild CodeCommit CodeDeploy,, und sowie in die Developer Tools-Konsole in der Navigationsleiste „Einstellungen“ selbst integriert. Um auf Benachrichtigungen in den Konsolen zuzugreifen, muss entweder eine der verwalteten Richtlinien für diese Services für Sie angewendet sein oder Sie müssen über einen Mindestsatz an Berechtigungen verfügen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS CodeStar Benachrichtigungen und AWS CodeConnections Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie. Weitere Informationen zur Gewährung von Zugriff auf AWS CodeBuild, AWS CodeCommit, und AWS CodeDeploy AWS CodePipeline, einschließlich Zugriff auf diese Konsolen, finden Sie in den folgenden Themen:

AWS CodeStar Für Benachrichtigungen gibt AWS es keine verwalteten Richtlinien. Um Zugriff auf Benachrichtigungsfunktionen zu ermöglichen, müssen Sie entweder eine der verwalteten Richtlinien für einen der oben aufgeführten Services anwenden oder Richtlinien mit der Berechtigungsstufe erstellen, die Sie Benutzern oder Entitäten erteilen möchten, und diese Richtlinien dann den Benutzern, Gruppen oder Rollen anfügen, die die Berechtigungen benötigen. Weitere Informationen finden Sie in den folgenden Beispielen:

AWS CodeConnections hat keine AWS verwalteten Richtlinien. Sie verwenden die Berechtigungen und Kombinationen von Berechtigungen für den Zugriff, z. B. die Berechtigungen, die unter Berechtigungen zum Abschließen von Verbindungen beschrieben ist.

Weitere Informationen finden Sie hier:

Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Konsolenberechtigungen gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die den API-Operation entsprechen, die Sie ausführen möchten.

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}