Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des identités et des accès pour AWS CodeStar les notifications et AWS CodeConnections

AWS Identity and Access Management (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser les AWS CodeStar notifications et AWS CodeConnections les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.

Public ciblé

La façon dont vous utilisez AWS Identity and Access Management (IAM) varie en fonction de votre rôle :

Authentification par des identités

L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS

Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez Connexion à votre Compte AWS dans le Guide de l’utilisateur Connexion à AWS .

Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez Signature AWS Version 4 pour les demandes d’API dans le Guide de l’utilisateur IAM.

Utilisateur racine d'un compte AWS

Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée utilisateur Compte AWS root qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez Tâches qui requièrent les informations d’identification de l’utilisateur racine dans le Guide de l’utilisateur IAM.

Utilisateurs et groupes IAM

Un utilisateur IAM est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires dans le guide de l'utilisateur IAM.

Les groupes IAM spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez la section Cas d’utilisation pour les utilisateurs IAM dans le Guide de l’utilisateur IAM.

Rôles IAM

Un rôle IAM est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en passant d'un rôle d'utilisateur à un rôle IAM (console) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez Méthodes pour endosser un rôle dans le Guide de l’utilisateur IAM.

Les rôles IAM sont utiles pour l'accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès entre comptes, les accès entre services et pour les applications exécutées sur Amazon. EC2 Pour plus d’informations, consultez Accès intercompte aux ressources dans IAM dans le Guide de l’utilisateur IAM.

Gestion de l’accès à l’aide de politiques

Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez Vue d’ensemble des politiques JSON dans le Guide de l’utilisateur IAM.

À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.

Politiques basées sur l’identité

Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez Définition d’autorisations IAM personnalisées avec des politiques gérées par le client dans le Guide de l’utilisateur IAM.

Les politiques basées sur l’identité peuvent être des politiques intégrées (intégrées directement dans une seule identité) ou des politiques gérées (politiques autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez Choix entre les politiques gérées et les politiques en ligne dans le Guide de l’utilisateur IAM.

AWS CodeConnections référence aux autorisations

Les tableaux suivants répertorient chaque opération d' AWS CodeConnections API, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations et le format de l'ARN de la ressource à utiliser pour accorder des autorisations. Ils AWS CodeConnections APIs sont regroupés dans des tableaux en fonction de l'étendue des actions autorisées par cette API. Utilisez-le comme référence lorsque vous écrivez des stratégies d'autorisation que vous pouvez attacher à une identité IAM (stratégies basées sur une identité).

Lorsque vous créez une stratégie d'autorisation, vous spécifiez les actions dans le champ Action de la stratégie. Vous spécifiez un ARN, avec ou sans caractère générique (*), comme valeur de ressource dans le champ Resource de la stratégie.

Pour exprimer des conditions dans les stratégies de connexion, vous pouvez utiliser les clés de condition décrites ici et répertoriées dans Clés de condition. Vous pouvez également utiliser des AWS clés de condition larges. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles dans le guide de l'utilisateur IAM.

Pour spécifier une action, utilisez le préfixe codeconnections suivi du nom de l'opération d'API (par exemple, codeconnections:ListConnections ou codeconnections:CreateConnection).

Utilisation de caractères génériques

Pour spécifier plusieurs actions ou ressources, vous pouvez utiliser un caractère générique (*) dans votre ARN. Par exemple, codeconnections:* spécifie toutes les AWS CodeConnections actions et codeconnections:Get* indique toutes les AWS CodeConnections actions qui commencent par le motGet. L'exemple suivant accorde l'accès à toutes les ressources dont le nom commence par MyConnection.

arn:aws:codeconnections:us-west-2:account-ID:connection/*

Vous ne pouvez utiliser des caractères génériques qu'avec les connection ressources répertoriées dans le tableau suivant. Vous ne pouvez pas utiliser de caractères génériques avec region nos account-id ressources. Pour plus d'informations sur les caractères génériques, consultez la section Identifiants IAM dans le guide de l'utilisateur IAM.

Autorisations pour la gestion des connexions

Un rôle ou un utilisateur désigné pour utiliser le AWS CLI SDK pour afficher, créer ou supprimer des connexions doit disposer d'autorisations limitées aux suivantes.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections

Utilisez les barres de défilement pour voir le reste du tableau.

Ces opérations prennent en charge les clés de condition suivantes :

Autorisations pour la gestion des hôtes

Un rôle ou un utilisateur désigné pour utiliser le AWS CLI SDK pour afficher, créer ou supprimer des hôtes doit disposer d'autorisations limitées aux suivantes.

codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts

Utilisez les barres de défilement pour voir le reste du tableau.

Ces opérations prennent en charge les clés de condition suivantes :

Pour un exemple de politique utilisant la clé de VpcIdcondition, consultezExemple : Limiter les autorisations VPC de l'hôte à l'aide de la clé de contexte VpcId.

Autorisations pour établir des connexions

Un rôle ou un utilisateur désigné pour gérer les connexions dans la console doit disposer des autorisations requises pour établir une connexion dans la console et créer une installation, ce qui inclut l'autorisation de négocier avec le fournisseur et de créer des installations pour l'utilisation des connexions. Utilisez les autorisations suivantes en plus des autorisations ci-dessus.

Les opérations IAM suivantes sont utilisées par la console lors de l'exécution d'un processus de négociation basé sur un navigateur. Les ListInstallationTargets, GetInstallationUrl, StartOAuthHandshake, UpdateConnectionInstallation et GetIndividualAccessToken sont des autorisations de stratégie IAM. Ce ne sont pas des actions d'API.

codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation

Sur la base de ces informations, les autorisations suivantes sont nécessaires pour utiliser, créer, mettre à jour ou supprimer une connexion dans la console.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken

Utilisez les barres de défilement pour voir le reste du tableau.

Ces opérations prennent en charge les clés de condition suivantes.

Autorisations de configuration des hôtes

Un rôle ou un utilisateur désigné pour gérer les connexions dans la console doit disposer des autorisations requises pour configurer un hôte dans la console, ce qui inclut l'autorisation de négocier avec le fournisseur et d'installer pour l'application de l'hôte. Utilisez les autorisations suivantes en plus des autorisations pour hôtes ci-dessus.

Les opérations IAM suivantes sont utilisées par la console lors de l'enregistrement d'hôte basé sur un navigateur. RegisterAppCode et StartAppRegistrationHandshake sont des autorisations de stratégie IAM. Ce ne sont pas des actions d'API.

codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Sur la base de ces informations, les autorisations suivantes sont nécessaires pour utiliser, créer, mettre à jour ou supprimer une connexion dans la console qui nécessite un hôte (comme les types de fournisseurs installés).

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Utilisez les barres de défilement pour voir le reste du tableau.

Ces opérations prennent en charge les clés de condition suivantes.

Transmission d'une connexion à un service

Lorsqu'une connexion est transmise à un service (par exemple, lorsqu'un ARN de connexion est fourni dans une définition de pipeline pour créer ou mettre à jour un pipeline), l'utilisateur doit disposer de l'autorisation codeconnections:PassConnection.

Utilisez les barres de défilement pour voir le reste du tableau.

Cette opération prend également en charge la clé de condition suivante :

Utilisation d'une connexion

Lorsqu'un service tel que celui-ci CodePipeline utilise une connexion, le rôle de service doit disposer de l'codeconnections:UseConnectionautorisation pour une connexion donnée.

Pour gérer les connexions de la console, la stratégie utilisateur doit avoir l'autorisation codeconnections:UseConnection.

Utilisez les barres de défilement pour voir le reste du tableau.

Cette opération prend également en charge les clés de condition suivantes :

Les clés de condition requises pour certaines fonctionnalités peuvent changer au fil du temps. Nous vous recommandons d'utiliser codeconnections:UseConnection pour contrôler l'accès à une connexion, sauf si vos exigences de contrôle d'accès requièrent des autorisations différentes.

Types d'accès pris en charge pour ProviderAction

Lorsqu'une connexion est utilisée par un AWS service, des appels d'API sont effectués vers votre fournisseur de code source. Par exemple, un service peut répertorier les référentiels pour une connexion Bitbucket en appelant l'API https://api.bitbucket.org/2.0/repositories/username.

La clé de ProviderAction condition vous permet de restreindre APIs le fournisseur qui peut être appelé. Comme le chemin de l'API peut être généré dynamiquement et que le chemin varie d'un fournisseur à l'autre, la valeur ProviderAction est mappée à un nom d'action abstrait plutôt qu'à l'URL de l'API. Cela vous permet d'écrire des stratégies qui ont le même effet quel que soit le type de fournisseur de la connexion.

Voici les types d'accès qui sont accordés pour chacune des valeurs ProviderAction prises en charge. Voici des autorisations de stratégie IAM. Ce ne sont pas des actions d'API.

Utilisez les barres de défilement pour voir le reste du tableau.

Autorisations prises en charge pour le balisage des ressources de connexion

Les opérations IAM suivantes sont utilisées lors du balisage des ressources de connexion.

codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource

Utilisez les barres de défilement pour voir le reste du tableau.

Transmission d'une connexion vers un lien de référentiel

Lorsqu'un lien de référentiel est fourni dans une configuration de synchronisation, l'utilisateur doit avoir l'autorisation codeconnections:PassRepository pour l'ARN/la ressource du lien de référentiel.

Utilisez les barres de défilement pour voir le reste du tableau.

Cette opération prend également en charge la clé de condition suivante :

Clé de condition prise en charge pour les liens de référentiel

Les opérations relatives aux liens de référentiel et aux ressources de configuration de synchronisation sont prises en charge par la clé de condition suivante :

Autorisations prises en charge pour le partage de connexion

Les opérations IAM suivantes sont utilisées lors du partage de connexions.

codeconnections:GetResourcePolicy

Utilisez les barres de défilement pour voir le reste du tableau.

Pour plus d'informations sur le partage de connexion, consultezPartagez des connexions avec Comptes AWS.

Utilisation de notifications et de connexions dans la console

L'expérience des notifications est intégrée aux CodePipeline consoles CodeBuild, CodeCommit, et CodeDeploy, ainsi que dans la console des outils de développement, dans la barre de navigation des paramètres elle-même. Pour accéder aux notifications dans les consoles, vous devez appliquer l'une des stratégies gérées pour ces services ou disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails relatifs aux AWS CodeStar notifications et AWS CodeConnections aux ressources de votre AWS compte. Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs et rôles IAM) tributaires de cette politique. Pour plus d'informations sur l'octroi de l'accès à AWS CodeBuild AWS CodeCommit AWS CodeDeploy, AWS CodePipeline, et notamment l'accès à ces consoles, consultez les rubriques suivantes :

AWS CodeStar Les notifications ne disposent d'aucune politique AWS gérée. Pour permettre l'accès à la fonction de notification, vous devez soit appliquer l'une des stratégies gérées pour l'un des services répertoriés ci-dessus, soit créer des stratégies avec le niveau d'autorisation que vous souhaitez accorder aux utilisateurs ou aux entités, puis attacher ces stratégies aux utilisateurs, groupes ou rôles qui requièrent ces autorisations. Pour plus d'informations, consultez les exemples suivants :

AWS CodeConnections ne dispose d'aucune politique AWS gérée. Vous utilisez les autorisations et les combinaisons d'autorisations pour l'accès, telles que les autorisations détaillées dans Autorisations pour établir des connexions.

Pour plus d’informations, consultez les ressources suivantes :

Il n'est pas nécessaire d'accorder des autorisations de console aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.

Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}