Amazon n' CodeCatalyst est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [Comment effectuer une migration depuis CodeCatalyst](migration.md).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Accorder l'accès aux AWS ressources du projet avec des rôles IAM
CodeCatalyst pouvez accéder aux AWS ressources en vous connectant Compte AWS à un CodeCatalyst espace. Vous pouvez ensuite créer les rôles de service suivants et les associer lorsque vous connectez votre compte.
Pour plus d'informations sur les éléments que vous utilisez dans une politique JSON, consultez la [référence des éléments de stratégie JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le guide de l'*utilisateur IAM*.
+ Pour accéder aux ressources dans et Compte AWS pour vos CodeCatalyst projets et flux de travail, vous devez d'abord autoriser l'accès CodeCatalyst à ces ressources en votre nom. Pour ce faire, vous devez créer un rôle de service dans un connecté Compte AWS qui CodeCatalyst peut assumer la responsabilité des utilisateurs et des projets de l'espace. Vous pouvez soit choisir de créer et d'utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service, soit créer des rôles de service personnalisés et configurer ces politiques et rôles IAM manuellement. Il est recommandé d'attribuer à ces rôles le moins d'autorisations nécessaires.
**Note**
Pour les rôles de service personnalisés, le principal CodeCatalyst de service est requis. Pour plus d'informations sur le principal CodeCatalyst de service et le modèle de confiance, consultez[Comprendre le modèle de CodeCatalyst confiance](trust-model.md).
+ Pour gérer le support d'un espace via le connected Compte AWS, vous pouvez choisir de créer et d'utiliser le rôle de **AWSRoleForCodeCatalystSupport**service qui permet aux CodeCatalyst utilisateurs d'accéder au support. Pour plus d'informations sur la prise en charge d'un CodeCatalyst espace, consultez[Support pour Amazon CodeCatalyst](support.md).
## Comprendre le rôle **CodeCatalystWorkflowDevelopmentRole-*spaceName***du service
Vous pouvez ajouter un rôle IAM à votre espace qui CodeCatalyst peut être utilisé pour créer des ressources et y accéder dans un espace connecté Compte AWS. C'est ce qu'on appelle un [rôle de service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Le moyen le plus simple de créer un rôle de service consiste à en ajouter un lorsque vous créez l'espace et à choisir l'**CodeCatalystWorkflowDevelopmentRole-*spaceName***option correspondant à ce rôle. Cela crée non seulement le rôle de service avec les `AdministratorAccess` éléments attachés, mais également la politique de confiance qui permet CodeCatalyst d'assumer le rôle au nom des utilisateurs dans les projets de l'espace. Le rôle de service est limité à l'espace, et non à des projets individuels. Pour créer ce rôle, consultez [Création du **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle pour votre compte et votre espace](#ipa-iam-roles-service-create). Vous ne pouvez créer qu'un seul rôle pour chaque espace de chaque compte.
**Note**
Ce rôle est uniquement recommandé pour les comptes de développement et utilise la politique `AdministratorAccess` AWS gérée, ce qui lui donne un accès complet pour créer de nouvelles politiques et ressources dans ce cadre Compte AWS.
La politique associée au **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle est conçue pour fonctionner avec des projets créés avec des plans dans l'espace. Il permet aux utilisateurs de ces projets de développer, de créer, de tester et de déployer du code en utilisant les ressources du Connected Compte AWS. Pour plus d'informations, consultez [la section Création d'un rôle pour un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
La politique attachée au **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle est la stratégie `AdministratorAccess` gérée dans AWS. Il s'agit d'une politique qui accorde un accès complet à toutes les AWS actions et ressources. Pour consulter le document de politique JSON dans la console IAM, consultez [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess).
La politique de confiance suivante permet CodeCatalyst d'assumer le **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle. Pour plus d'informations sur le modèle de CodeCatalyst confiance, consultez[Comprendre le modèle de CodeCatalyst confiance](trust-model.md).
```
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst-runner.amazonaws.com",
"codecatalyst.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
}
}
}
]
```
## Création du **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle pour votre compte et votre espace
Suivez ces étapes pour créer le `CodeCatalystWorkflowDevelopmentRole-spaceName` rôle qui sera utilisé pour les flux de travail de votre espace. Pour chaque compte pour lequel vous souhaitez attribuer des rôles IAM à utiliser dans des projets, vous devez ajouter à votre espace un rôle tel que le rôle de développeur.
Avant de commencer, vous devez disposer de privilèges administratifs pour votre administrateur Compte AWS ou être en mesure de travailler avec celui-ci. Pour plus d'informations sur la manière dont Comptes AWS les rôles IAM et IAM sont utilisés dans CodeCatalyst, consultez[Permettre l'accès aux AWS ressources avec Connected Comptes AWS](ipa-connect-account.md).
**Pour créer et ajouter CodeCatalyst **CodeCatalystWorkflowDevelopmentRole-*spaceName*****
1. Avant de commencer dans la CodeCatalyst console, ouvrez le AWS Management Console, puis assurez-vous que vous êtes connecté avec le même identifiant Compte AWS pour votre espace.
1. Ouvrez la CodeCatalyst console à l'[adresse https://codecatalyst.aws/](https://codecatalyst.aws/).
1. Accédez à votre CodeCatalyst espace. Choisissez **Settings (Paramètres)**, puis **Comptes AWS**.
1. Choisissez le lien correspondant à l' Compte AWS endroit où vous souhaitez créer le rôle. La page **Compte AWS de détails** s'affiche.
1. Choisissez **Gérer les rôles à partir de AWS Management Console**.
La page **Ajouter un rôle IAM à Amazon CodeCatalyst Space** s'ouvre dans le AWS Management Console. Voici la page **Amazon CodeCatalyst Spaces**. Il se peut que vous deviez vous connecter pour accéder à la page.
1. Choisissez **Créer un rôle d'administrateur de CodeCatalyst développement dans IAM**. Cette option crée un rôle de service qui contient la politique d'autorisation et la politique de confiance pour le rôle de développement. Le rôle aura un nom`CodeCatalystWorkflowDevelopmentRole-spaceName`. Pour plus d'informations sur le rôle et la politique de rôle, consultez[Comprendre le rôle **CodeCatalystWorkflowDevelopmentRole-*spaceName***du service](#ipa-iam-roles-service-role).
**Note**
Ce rôle est uniquement recommandé pour les comptes de développeur et utilise la politique `AdministratorAccess` AWS gérée, ce qui lui donne un accès complet pour créer de nouvelles politiques et ressources dans ce cadre Compte AWS.
1. Choisissez **Créer un rôle de développement**.
1. Sur la page des connexions, sous **Rôles IAM disponibles pour CodeCatalyst**, consultez le `CodeCatalystWorkflowDevelopmentRole-spaceName` rôle dans la liste des rôles IAM ajoutés à votre compte.
1. Pour retourner dans votre espace, choisissez **Go to Amazon CodeCatalyst**.
## Comprendre le rôle **AWSRoleForCodeCatalystSupport**du service
Vous pouvez ajouter un rôle IAM à votre espace que CodeCatalyst les utilisateurs d'un espace peuvent utiliser pour créer des dossiers d'assistance et y accéder. C'est ce qu'on appelle un [rôle de service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) pour le support. Le moyen le plus simple de créer un rôle de service pour le support est d'en ajouter un lorsque vous créez l'espace et de choisir l'`AWSRoleForCodeCatalystSupport`option pour ce rôle. Cela crée non seulement la politique et le rôle, mais également la politique de confiance qui permet d' CodeCatalyst assumer le rôle au nom des utilisateurs dans les projets de l'espace. Le rôle de service est limité à l'espace, et non à des projets individuels. Pour créer ce rôle, consultez [Création du **AWSRoleForCodeCatalystSupport**rôle pour votre compte et votre espace](#ipa-iam-roles-support-create).
La politique attachée au `AWSRoleForCodeCatalystSupport` rôle est une politique gérée qui donne accès aux autorisations de support. Pour de plus amples informations, veuillez consulter [AWS politique gérée : AmazonCodeCatalystSupportAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess).
Le rôle de confiance de la politique permet CodeCatalyst d'assumer le rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Création du **AWSRoleForCodeCatalystSupport**rôle pour votre compte et votre espace
Suivez ces étapes pour créer le `AWSRoleForCodeCatalystSupport` rôle qui sera utilisé pour les demandes d'assistance dans votre espace. Le rôle doit être ajouté au compte de facturation désigné pour l'espace.
Avant de commencer, vous devez disposer de privilèges administratifs pour votre administrateur Compte AWS ou être en mesure de travailler avec celui-ci. Pour plus d'informations sur la manière dont Comptes AWS les rôles IAM et IAM sont utilisés dans CodeCatalyst, consultez[Permettre l'accès aux AWS ressources avec Connected Comptes AWS](ipa-connect-account.md).
**Pour créer et ajouter CodeCatalyst **AWSRoleForCodeCatalystSupport****
1. Avant de commencer dans la CodeCatalyst console, ouvrez le AWS Management Console, puis assurez-vous que vous êtes connecté avec le même identifiant Compte AWS pour votre espace.
1. Accédez à votre CodeCatalyst espace. Choisissez **Settings (Paramètres)**, puis **Comptes AWS**.
1. Choisissez le lien correspondant à l' Compte AWS endroit où vous souhaitez créer le rôle. La page **Compte AWS de détails** s'affiche.
1. Choisissez **Gérer les rôles à partir de AWS Management Console**.
La page **Ajouter un rôle IAM à Amazon CodeCatalyst Space** s'ouvre dans le AWS Management Console. Voici la page **Amazon CodeCatalyst Spaces**. Il se peut que vous deviez vous connecter pour accéder à la page.
1. Sous **Détails de CodeCatalyst l'espace**, choisissez **Ajouter un rôle de CodeCatalyst support**. Cette option crée un rôle de service qui contient la politique d'autorisation et la politique de confiance pour le rôle de développement préliminaire. Le rôle portera un nom **AWSRoleForCodeCatalystSupport**avec un identifiant unique ajouté. Pour plus d'informations sur le rôle et la politique de rôle, consultez[Comprendre le rôle **AWSRoleForCodeCatalystSupport**du service](#ipa-iam-roles-support-role).
1. Sur la page **Ajouter un rôle pour le CodeCatalyst support**, laissez la valeur par défaut sélectionnée, puis choisissez **Créer un rôle**.
1. Sous **Rôles IAM disponibles pour CodeCatalyst**, consultez le `CodeCatalystWorkflowDevelopmentRole-spaceName` rôle dans la liste des rôles IAM ajoutés à votre compte.
1. Pour retourner dans votre espace, choisissez **Go to Amazon CodeCatalyst**.
## Configuration des rôles IAM pour les actions de flux de travail dans CodeCatalyst
Cette section décrit les rôles et les politiques IAM que vous pouvez créer pour les utiliser avec votre CodeCatalyst compte. Pour obtenir des instructions sur la création d'exemples de rôles, consultez[Création manuelle de rôles pour les actions de flux de travail](#ipa-iam-roles-actions). Après avoir créé votre rôle IAM, copiez l'ARN du rôle pour ajouter le rôle IAM à la connexion de votre compte et associez-le à l'environnement de votre projet. Pour en savoir plus, veuillez consulter la section [Ajout de rôles IAM à des connexions de compte](ipa-connect-account-addroles.md).
### CodeCatalyst rôle de construction pour l'accès à Amazon S3
Pour les actions de création de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM nommé **CodeCatalystBuildRoleforS3Access**. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les CloudFormation ressources de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Écrivez dans des compartiments Amazon S3.
+ Support à la création de ressources avec CloudFormation. Cela nécessite un accès à Amazon S3.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst créer un rôle pour CloudFormation
Pour les actions de création de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les CloudFormation ressources de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Support à la création de ressources avec CloudFormation. Cela est requis, de même que le rôle de CodeCatalyst création pour l'accès à Amazon S3 et le rôle de CodeCatalyst déploiement pour CloudFormation.
Les politiques AWS gérées suivantes doivent être associées à ce rôle :
+ **AWSCloudFormationFullAccess**
+ **IAMFullAccès**
+ **Amazon S3 FullAccess**
+ **APIGatewayAdministrateur Amazon**
+ **AWSLambdaFullAccess**
### CodeCatalyst rôle de construction pour CDK
Pour les CodeCatalyst flux de travail qui exécutent des actions de génération du CDK, tels que les applications Web modernes à trois niveaux, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit démarrer et exécuter les commandes de génération du CDK pour les CloudFormation ressources de votre. Compte AWS
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Écrivez dans des compartiments Amazon S3.
+ Support à la création de structures CDK et de piles de CloudFormation ressources. Cela nécessite l'accès à Amazon S3 pour le stockage des artefacts, à Amazon ECR pour le support des référentiels d'images et à SSM pour la gouvernance et la surveillance du système pour les instances virtuelles.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour CloudFormation
Pour les actions de déploiement de CodeCatalyst flux de travail qui utilisent CloudFormation, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou vous pouvez utiliser une politique avec des autorisations étendues qui CodeCatalyst doit exécuter des tâches sur les CloudFormation ressources de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Permet CodeCatalyst d'invoquer une fonction λ pour effectuer blue/green le déploiement CloudFormation.
+ Permet de CodeCatalyst créer et de mettre à jour des piles et des ensembles de modifications dans. CloudFormation
Ce rôle utilise la politique suivante :
```
{"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:Describe*",
"cloudformation:UpdateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:SetStackPolicy",
"cloudformation:ValidateTemplate",
"cloudformation:List*",
"iam:PassRole"
],
"Resource": "resource_ARN",
"Effect": "Allow"
}
```
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour Amazon EC2
CodeCatalyst les actions de déploiement du flux de travail utilisent un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon EC2 de votre. Compte AWS La politique par défaut pour le **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle n'inclut pas les autorisations pour Amazon EC2 ou Amazon EC2 Auto Scaling.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Créez des déploiements Amazon EC2.
+ Lisez les balises d'une instance ou identifiez une instance Amazon EC2 à l'aide des noms de groupes Auto Scaling.
+ Lisez, créez, mettez à jour et supprimez les groupes Amazon EC2 Auto Scaling, les hooks de cycle de vie et les politiques de dimensionnement.
+ Publiez des informations dans les rubriques Amazon SNS.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Lisez et mettez à jour Elastic Load Balancing.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour Amazon ECS
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM pour les actions de déploiement à utiliser pour les CodeCatalyst déploiements Lambda. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon ECS de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lancez le déploiement progressif d'Amazon ECS pour le compte d'un CodeCatalyst utilisateur, sur un compte spécifié dans la CodeCatalyst connexion.
+ Lisez, mettez à jour et supprimez des ensembles de tâches Amazon ECS.
+ Mettez à jour les groupes cibles, les auditeurs et les règles d'Elastic Load Balancing.
+ Appelez les fonctions Lambda.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Publiez des informations dans les rubriques Amazon SNS.
Ce rôle utilise la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action":[
"ecs:DescribeServices",
"ecs:CreateTaskSet",
"ecs:DeleteTaskSet",
"ecs:ListClusters",
"ecs:RegisterTaskDefinition",
"ecs:UpdateServicePrimaryTaskSet",
"ecs:UpdateService",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:ModifyRule",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"cloudwatch:DescribeAlarms",
"sns:Publish",
"sns:ListTopics",
"s3:GetObject",
"s3:GetObjectVersion",
"codedeploy:CreateApplication",
"codedeploy:CreateDeployment",
"codedeploy:CreateDeploymentGroup",
"codedeploy:GetApplication",
"codedeploy:GetDeployment",
"codedeploy:GetDeploymentGroup",
"codedeploy:ListApplications",
"codedeploy:ListDeploymentGroups",
"codedeploy:ListDeployments",
"codedeploy:StopDeployment",
"codedeploy:GetDeploymentTarget",
"codedeploy:ListDeploymentTargets",
"codedeploy:GetDeploymentConfig",
"codedeploy:GetApplicationRevision",
"codedeploy:RegisterApplicationRevision",
"codedeploy:BatchGetApplicationRevisions",
"codedeploy:BatchGetDeploymentGroups",
"codedeploy:BatchGetDeployments",
"codedeploy:BatchGetApplications",
"codedeploy:ListApplicationRevisions",
"codedeploy:ListDeploymentConfigs",
"codedeploy:ContinueDeployment"
],
"Resource":"*",
"Effect":"Allow"
},{"Action":[
"iam:PassRole"
],
"Effect":"Allow",
"Resource":"*",
"Condition":{"StringLike":{"iam:PassedToService":[
"ecs-tasks.amazonaws.com",
"codedeploy.amazonaws.com"
]
}
}
}]
}
```
------
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour Lambda
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM pour les actions de déploiement à utiliser pour les CodeCatalyst déploiements Lambda. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lisez, mettez à jour et invoquez des fonctions et des alias Lambda.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les alarmes liées CloudWatch aux événements.
+ Publiez des informations dans les rubriques Amazon SNS.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour Lambda
Pour les actions de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lisez, mettez à jour et invoquez des fonctions et des alias Lambda.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Publiez des informations dans les rubriques Amazon SNS.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle de déploiement pour AWS SAM
Pour les actions de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches AWS SAM et CloudFormation des ressources sur votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Permet CodeCatalyst d'invoquer une fonction Lambda pour effectuer le déploiement d'applications sans serveur et d'applications CLI AWS SAM .
+ Permet de CodeCatalyst créer et de mettre à jour des piles et des ensembles de modifications dans. CloudFormation
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle en lecture seule pour Amazon EC2
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon EC2 de votre. Compte AWS Le rôle **CodeCatalystWorkflowDevelopmentRole-*spaceName***de service n'inclut pas les autorisations pour Amazon EC2 ni les actions décrites pour Amazon. CloudWatch
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Obtenez le statut des instances Amazon EC2.
+ Obtenez CloudWatch des statistiques pour les instances Amazon EC2.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle en lecture seule pour Amazon ECS
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon ECS de votre Compte AWS.
Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lisez les ensembles de tâches Amazon ECS.
+ Récupérez des informations sur les CloudWatch alarmes.
Ce rôle utilise la politique suivante :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
### CodeCatalyst rôle en lecture seule pour Lambda
Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS
Ce rôle donne des autorisations pour ce qui suit :
+ Lisez les fonctions Lambda et les alias.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.
Le rôle utilise la stratégie suivante.
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
## Création manuelle de rôles pour les actions de flux de travail
CodeCatalyst les actions de flux de travail utilisent les rôles IAM que vous créez, appelés **rôle de construction**, **rôle de déploiement** et **rôle de pile**.
Suivez ces étapes pour créer ces rôles dans IAM.
**Pour créer un rôle de déploiement**
1. Créez une politique pour le rôle, comme suit :
1. Connectez-vous à AWS.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Supprimez le code existant.
1. Collez le code suivant :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom**, entrez :
```
codecatalyst-deploy-policy
```
1. Choisissez **Create Policy** (Créer une politique).
Vous venez de créer une politique d'autorisation.
1. Créez le rôle de déploiement comme suit :
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée**.
1. Supprimez la politique de confiance personnalisée existante.
1. Ajoutez la politique de confiance personnalisée suivante :
1. Choisissez **Suivant**.
1. Dans **Politiques d'autorisations**, recherchez `codecatalyst-deploy-policy` et cochez la case correspondante.
1. Choisissez **Suivant**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-deploy-role
```
1. Pour la **description du rôle**, entrez :
```
CodeCatalyst deploy role
```
1. Choisissez **Créer un rôle**.
Vous venez de créer un rôle de déploiement avec une politique de confiance et une politique d'autorisations.
1. Obtenez l'ARN du rôle de déploiement, comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-deploy-role`).
1. Choisissez le rôle dans la liste.
La page **Résumé** du rôle apparaît.
1. En haut, copiez la valeur de l'**ARN**.
Vous avez maintenant créé le rôle de déploiement avec les autorisations appropriées et obtenu son ARN.
**Pour créer un rôle de build**
1. Créez une politique pour le rôle, comme suit :
1. Connectez-vous à AWS.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Supprimez le code existant.
1. Collez le code suivant :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom**, entrez :
```
codecatalyst-build-policy
```
1. Choisissez **Create Policy** (Créer une politique).
Vous venez de créer une politique d'autorisation.
1. Créez le rôle de build, comme suit :
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée**.
1. Supprimez la politique de confiance personnalisée existante.
1. Ajoutez la politique de confiance personnalisée suivante :
1. Choisissez **Suivant**.
1. Dans **Politiques d'autorisations**, recherchez `codecatalyst-build-policy` et cochez la case correspondante.
1. Choisissez **Suivant**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-build-role
```
1. Pour la **description du rôle**, entrez :
```
CodeCatalyst build role
```
1. Choisissez **Créer un rôle**.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
1. Obtenez l'ARN du rôle de build, comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-build-role`).
1. Choisissez le rôle dans la liste.
La page **Résumé** du rôle apparaît.
1. En haut, copiez la valeur de l'**ARN**.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.
**Pour créer un rôle de pile**
**Note**
Il n'est pas nécessaire de créer un rôle de pile, bien que cela soit recommandé pour des raisons de sécurité. Si vous ne créez pas le rôle de pile, vous devrez ajouter les politiques d'autorisation décrites plus loin dans cette procédure au rôle de déploiement.
1. Connectez-vous à AWS l'aide du compte sur lequel vous souhaitez déployer votre stack.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, sélectionnez **Rôles**, puis sélectionnez **Créer un rôle**.
1. En haut de la page, sélectionnez le **AWS service**.
1. Dans la liste des services, sélectionnez **CloudFormation**.
1. Choisissez **Suivant : Autorisations**.
1. Dans le champ de recherche, ajoutez les politiques nécessaires pour accéder aux ressources de votre pile. Par exemple, si votre pile inclut une AWS Lambda fonction, vous devez ajouter une politique qui accorde l'accès à Lambda.
**Astuce**
Si vous ne savez pas quelles politiques ajouter, vous pouvez les omettre pour le moment. Lorsque vous testez l'action, si vous ne disposez pas des autorisations appropriées CloudFormation , des erreurs indiquent les autorisations que vous devez ajouter.
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-stack-role
```
1. Choisissez **Créer un rôle**.
1. Pour obtenir l'ARN du rôle de pile, procédez comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-stack-role`).
1. Choisissez le rôle dans la liste.
1. Sur la page **Résumé**, copiez la valeur **ARN du rôle**.
## Utilisation AWS CloudFormation pour créer des politiques et des rôles dans IAM
Vous pouvez choisir de créer et d'utiliser des AWS CloudFormation modèles pour créer les politiques et les rôles dont vous avez besoin pour accéder aux ressources dans et Compte AWS pour vos CodeCatalyst projets et flux de travail. CloudFormation est un service qui vous aide à modéliser et à configurer vos AWS ressources afin que vous puissiez passer moins de temps à gérer ces ressources et plus de temps à vous concentrer sur les applications qui s'exécutent sur AWS. Si vous avez l'intention de créer plusieurs rôles Comptes AWS, la création d'un modèle peut vous aider à effectuer cette tâche plus rapidement.
L'exemple de modèle suivant crée un rôle et une politique d'action de déploiement.
```
Parameters:
CodeCatalystAccountId:
Type: String
Description: Account ID from the connections page
ExternalId:
Type: String
Description: External ID from the connections page
Resources:
CrossAccountRole:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref CodeCatalystAccountId
Action:
- 'sts:AssumeRole'
Condition:
StringEquals:
sts:ExternalId: !Ref ExternalId
Path: /
Policies:
- PolicyName: CodeCatalyst-CloudFormation-action-policy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- 'cloudformation:CreateStack'
- 'cloudformation:DeleteStack'
- 'cloudformation:Describe*'
- 'cloudformation:UpdateStack'
- 'cloudformation:CreateChangeSet'
- 'cloudformation:DeleteChangeSet'
- 'cloudformation:ExecuteChangeSet'
- 'cloudformation:SetStackPolicy'
- 'cloudformation:ValidateTemplate'
- 'cloudformation:List*'
- 'iam:PassRole'
Resource: '*'
```
## Création manuelle du rôle pour le plan de l'application Web
**Le plan d'application CodeCatalyst Web utilise les rôles IAM que vous créez, appelés **rôle de construction pour CDK**, rôle de **déploiement et rôle** de pile.**
Procédez comme suit pour créer le rôle dans IAM.
**Pour créer un rôle de build**
1. Créez une politique pour le rôle, comme suit :
1. Connectez-vous à AWS.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Supprimez le code existant.
1. Collez le code suivant :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom**, entrez :
```
codecatalyst-webapp-build-policy
```
1. Choisissez **Create Policy** (Créer une politique).
Vous venez de créer une politique d'autorisation.
1. Créez le rôle de build, comme suit :
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée**.
1. Supprimez la politique de confiance personnalisée existante.
1. Ajoutez la politique de confiance personnalisée suivante :
1. Choisissez **Suivant**.
1. Associez la politique d'autorisations au rôle de build. Sur la page **Ajouter des autorisations**, dans la section **Politiques d'autorisations**, recherchez `codecatalyst-webapp-build-policy` et cochez la case correspondante.
1. Choisissez **Suivant**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-webapp-build-role
```
1. Pour la **description du rôle**, entrez :
```
CodeCatalyst Web app build role
```
1. Choisissez **Créer un rôle**.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
1. Associez la politique d'autorisations au rôle de build, comme suit :
1. Dans le volet de navigation, choisissez **Rôles**, puis recherchez`codecatalyst-webapp-build-role`. ``
1. Choisissez `codecatalyst-webapp-build-role` d'en afficher les détails. ``
1. Dans l'onglet **Autorisations**, choisissez **Ajouter des autorisations**, puis choisissez **Joindre des politiques**.
1. Recherchez`codecatalyst-webapp-build-policy`, cochez sa case, puis choisissez **Joindre des politiques**.
Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.
1. Obtenez l'ARN du rôle de build, comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-webapp-build-role`).
1. Choisissez le rôle dans la liste.
La page **Résumé** du rôle apparaît.
1. En haut, copiez la valeur de l'**ARN**.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.
## Création manuelle de rôles pour le plan SAM
Le plan CodeCatalyst SAM utilise les rôles IAM que vous créez, appelés rôle de création CloudFormation et **rôle** de **déploiement pour** SAM.
Suivez ces étapes pour créer les rôles dans IAM.
**Pour créer un rôle de build pour CloudFormation**
1. Créez une politique pour le rôle, comme suit :
1. Connectez-vous à AWS.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Supprimez le code existant.
1. Collez le code suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*",
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom**, entrez :
```
codecatalyst-SAM-build-policy
```
1. Choisissez **Create Policy** (Créer une politique).
Vous venez de créer une politique d'autorisation.
1. Créez le rôle de build, comme suit :
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée**.
1. Supprimez la politique de confiance personnalisée existante.
1. Ajoutez la politique de confiance personnalisée suivante :
1. Choisissez **Suivant**.
1. Associez la politique d'autorisations au rôle de build. Sur la page **Ajouter des autorisations**, dans la section **Politiques d'autorisations**, recherchez `codecatalyst-SAM-build-policy` et cochez la case correspondante.
1. Choisissez **Suivant**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-SAM-build-role
```
1. Pour la **description du rôle**, entrez :
```
CodeCatalyst SAM build role
```
1. Choisissez **Créer un rôle**.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
1. Associez la politique d'autorisations au rôle de build, comme suit :
1. Dans le volet de navigation, choisissez **Rôles**, puis recherchez`codecatalyst-SAM-build-role`. ``
1. Choisissez `codecatalyst-SAM-build-role` d'en afficher les détails. ``
1. Dans l'onglet **Autorisations**, choisissez **Ajouter des autorisations**, puis choisissez **Joindre des politiques**.
1. Recherchez`codecatalyst-SAM-build-policy`, cochez sa case, puis choisissez **Joindre des politiques**.
Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.
1. Obtenez l'ARN du rôle de build, comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-SAM-build-role`).
1. Choisissez le rôle dans la liste.
La page **Résumé** du rôle apparaît.
1. En haut, copiez la valeur de l'**ARN**.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.
**Pour créer un rôle de déploiement pour SAM**
1. Créez une politique pour le rôle, comme suit :
1. Connectez-vous à AWS.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Supprimez le code existant.
1. Collez le code suivant :
**Note**
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.
```
"Resource": "*"
```
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Dans **Nom**, entrez :
```
codecatalyst-SAM-deploy-policy
```
1. Choisissez **Create Policy** (Créer une politique).
Vous venez de créer une politique d'autorisation.
1. Créez le rôle de build, comme suit :
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée**.
1. Supprimez la politique de confiance personnalisée existante.
1. Ajoutez la politique de confiance personnalisée suivante :
1. Choisissez **Suivant**.
1. Associez la politique d'autorisations au rôle de build. Sur la page **Ajouter des autorisations**, dans la section **Politiques d'autorisations**, recherchez `codecatalyst-SAM-deploy-policy` et cochez la case correspondante.
1. Choisissez **Suivant**.
1. Dans **Nom du rôle**, entrez :
```
codecatalyst-SAM-deploy-role
```
1. Pour la **description du rôle**, entrez :
```
CodeCatalyst SAM deploy role
```
1. Choisissez **Créer un rôle**.
Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.
1. Associez la politique d'autorisations au rôle de build, comme suit :
1. Dans le volet de navigation, choisissez **Rôles**, puis recherchez`codecatalyst-SAM-deploy-role`. ``
1. Choisissez `codecatalyst-SAM-deploy-role` d'en afficher les détails. ``
1. Dans l'onglet **Autorisations**, choisissez **Ajouter des autorisations**, puis choisissez **Joindre des politiques**.
1. Recherchez`codecatalyst-SAM-deploy-policy`, cochez sa case, puis choisissez **Joindre des politiques**.
Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.
1. Obtenez l'ARN du rôle de build, comme suit :
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-SAM-deploy-role`).
1. Choisissez le rôle dans la liste.
La page **Résumé** du rôle apparaît.
1. En haut, copiez la valeur de l'**ARN**.
Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.