Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès pour AWS CodeStar les notifications et AWS CodeConnections
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les AWS CodeStar notifications et AWS CodeConnections les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Note**
Les actions pour les ressources créées sous le nouveau préfixe de service `codeconnections` sont disponibles. La création d'une ressource sous le nouveau préfixe de service sera utilisée `codeconnections` dans l'ARN de la ressource. Les actions et les ressources relatives au préfixe de `codestar-connections` service restent disponibles. Lorsque vous spécifiez une ressource dans la politique IAM, le préfixe de service doit correspondre à celui de la ressource.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Fonctionnement des fonctions de la console des outils pour développeurs avec IAM](security_iam_service-with-iam.md)
+ [AWS CodeConnections référence aux autorisations](#permissions-reference-connections)
+ [Exemples de politiques basées sur l’identité](security_iam_id-based-policy-examples.md)
+ [Utilisation de balises pour contrôler l'accès aux AWS CodeConnections ressources](connections-tag-based-access-control.md)
+ [Utilisation de notifications et de connexions dans la console](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [AWS CodeStar Notifications de résolution des problèmes, AWS CodeConnections identité et accès](security_iam_troubleshoot.md)
+ [Utilisation de rôles liés à un service pour les notifications AWS CodeStar](using-service-linked-roles.md)
+ [Utilisation de rôles liés à un service pour AWS CodeConnections](service-linked-role-connections.md)
+ [AWS politiques gérées pour AWS CodeConnections](security-iam-awsmanpol.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [AWS CodeStar Notifications de résolution des problèmes, AWS CodeConnections identité et accès](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Fonctionnement des fonctions de la console des outils pour développeurs avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l’identité](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Utilisateur racine d'un compte AWS
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
## AWS CodeConnections référence aux autorisations
Les tableaux suivants répertorient chaque opération d' AWS CodeConnections API, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations et le format de l'ARN de la ressource à utiliser pour accorder des autorisations. Ils AWS CodeConnections APIs sont regroupés dans des tableaux en fonction de l'étendue des actions autorisées par cette API. Utilisez-le comme référence lorsque vous écrivez des stratégies d'autorisation que vous pouvez attacher à une identité IAM (stratégies basées sur une identité).
Lorsque vous créez une stratégie d'autorisation, vous spécifiez les actions dans le champ `Action` de la stratégie. Vous spécifiez un ARN, avec ou sans caractère générique (\$1), comme valeur de ressource dans le champ `Resource` de la stratégie.
Pour exprimer des conditions dans les stratégies de connexion, vous pouvez utiliser les clés de condition décrites ici et répertoriées dans [Clés de condition](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys). Vous pouvez également utiliser des AWS clés de condition larges. Pour obtenir la liste complète des touches AWS-wide, consultez la section [Clés disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
Pour spécifier une action, utilisez le préfixe `codeconnections` suivi du nom de l'opération d'API (par exemple, `codeconnections:ListConnections` ou `codeconnections:CreateConnection`).
**Utilisation de caractères génériques **
Pour spécifier plusieurs actions ou ressources, vous pouvez utiliser un caractère générique (\$1) dans votre ARN. Par exemple, `codeconnections:*` spécifie toutes les AWS CodeConnections actions et `codeconnections:Get*` indique toutes les AWS CodeConnections actions qui commencent par le mot`Get`. L'exemple suivant accorde l'accès à toutes les ressources dont le nom commence par `MyConnection`.
```
arn:aws:codeconnections:us-west-2:account-ID:connection/*
```
Vous ne pouvez utiliser des caractères génériques qu'avec les *connection* ressources répertoriées dans le tableau suivant. Vous ne pouvez pas utiliser de caractères génériques avec *region* nos *account-id* ressources. Pour plus d'informations sur les caractères génériques, consultez la section [Identifiants IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) dans le *guide de l'utilisateur IAM*.
**Topics**
+ [Autorisations pour la gestion des connexions](#permissions-reference-connections-managing)
+ [Autorisations pour la gestion des hôtes](#permissions-reference-connections-hosts)
+ [Autorisations pour établir des connexions](#permissions-reference-connections-handshake)
+ [Autorisations de configuration des hôtes](#connections-permissions-actions-host-registration)
+ [Transmission d'une connexion à un service](#permissions-reference-connections-passconnection)
+ [Utilisation d'une connexion](#permissions-reference-connections-use)
+ [Types d'accès pris en charge pour `ProviderAction`](#permissions-reference-connections-access)
+ [Autorisations prises en charge pour le balisage des ressources de connexion](#permissions-reference-connections-tagging)
+ [Transmission d'une connexion vers un lien de référentiel](#permissions-reference-connections-passrepository)
+ [Clé de condition prise en charge pour les liens de référentiel](#permissions-reference-connections-branch)
+ [Autorisations prises en charge pour le partage de connexion](#permissions-reference-connections-sharing)
### Autorisations pour la gestion des connexions
Un rôle ou un utilisateur désigné pour utiliser le AWS CLI SDK pour afficher, créer ou supprimer des connexions doit disposer d'autorisations limitées aux suivantes.
**Note**
Vous ne pouvez établir ou utiliser une connexion dans la console qu'avec les autorisations suivantes. Vous devez ajouter les autorisations dans [Autorisations pour établir des connexions](#permissions-reference-connections-handshake).
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour gérer les connexions**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| CreateConnection | `codeconnections:CreateConnection` Requis pour utiliser la CLI ou la console pour créer une connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| DeleteConnection | `codeconnections:DeleteConnection` Requis pour utiliser la CLI ou la console pour supprimer une connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| GetConnection | `codeconnections:GetConnection` Requis pour utiliser la CLI ou la console pour afficher les détails sur une connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| ListConnections | `codeconnections:ListConnections` Requis pour utiliser la CLI ou la console pour répertorier toutes les connexions dans le compte. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
Ces opérations prennent en charge les clés de condition suivantes :
| Action | Clés de condition |
| --- | --- |
| `codeconnections:CreateConnection` | `codeconnections:ProviderType` |
| codeconnections:DeleteConnection | N/A |
| codeconnections:GetConnection | N/A |
| codeconnections:ListConnections | codeconnections:ProviderTypeFilter |
### Autorisations pour la gestion des hôtes
Un rôle ou un utilisateur désigné pour utiliser le AWS CLI SDK pour afficher, créer ou supprimer des hôtes doit disposer d'autorisations limitées aux suivantes.
**Note**
Vous ne pouvez établir ou utiliser une connexion dans l'hôte qu'avec les autorisations suivantes. Vous devez ajouter les autorisations dans [Autorisations de configuration des hôtes](#connections-permissions-actions-host-registration).
```
codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour gérer les hôtes**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| CreateHost | `codeconnections:CreateHost` Requis pour utiliser la CLI ou la console pour créer un hôte. | arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
| DeleteHost | `codeconnections:DeleteHost` Requis pour utiliser la CLI ou la console pour supprimer un hôte. | codeconnections : ::host/ *region* *account-id* *host-id* |
| GetHost | `codeconnections:GetHost` Requis pour utiliser la CLI ou la console pour afficher les détails sur un hôte. | arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
| ListHosts | `codeconnections:ListHosts` Requis pour utiliser la CLI ou la console pour répertorier toutes les hôtes dans le compte. | arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
Ces opérations prennent en charge les clés de condition suivantes :
| Action | Clés de condition |
| --- | --- |
| `codeconnections:CreateHost` | `codeconnections:ProviderType` `codeconnections:VpcId` |
| codeconnections:DeleteHost | N/A |
| codeconnections:GetHost | N/A |
| codeconnections:ListHosts | codeconnections:ProviderTypeFilter |
Pour un exemple de politique utilisant la clé de **VpcId**condition, consultez[Exemple : Limiter les autorisations VPC de l'hôte à l'aide de la clé de contexte **VpcId**](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-vpc).
### Autorisations pour établir des connexions
Un rôle ou un utilisateur désigné pour gérer les connexions dans la console doit disposer des autorisations requises pour établir une connexion dans la console et créer une installation, ce qui inclut l'autorisation de négocier avec le fournisseur et de créer des installations pour l'utilisation des connexions. Utilisez les autorisations suivantes en plus des autorisations ci-dessus.
Les opérations IAM suivantes sont utilisées par la console lors de l'exécution d'un processus de négociation basé sur un navigateur. Les `ListInstallationTargets`, `GetInstallationUrl`, `StartOAuthHandshake`, `UpdateConnectionInstallation` et `GetIndividualAccessToken` sont des autorisations de stratégie IAM. Ce ne sont pas des actions d'API.
```
codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
```
Sur la base de ces informations, les autorisations suivantes sont nécessaires pour utiliser, créer, mettre à jour ou supprimer une connexion dans la console.
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour effectuer les connexions**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `GetIndividualAccessToken` | `codeconnections:GetIndividualAccessToken` Requise pour utiliser la console pour établir une connexion. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `GetInstallationUrl` | `codeconnections:GetInstallationUrl` Requise pour utiliser la console pour établir une connexion. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListInstallationTargets` | `codeconnections:ListInstallationTargets` Requise pour utiliser la console pour établir une connexion. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `StartOAuthHandshake` | `codeconnections:StartOAuthHandshake` Requise pour utiliser la console pour établir une connexion. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `UpdateConnectionInstallation` | `codeconnections:UpdateConnectionInstallation` Requise pour utiliser la console pour établir une connexion. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
Ces opérations prennent en charge les clés de condition suivantes.
| Action | Clés de condition |
| --- | --- |
| codeconnections:GetIndividualAccessToken | codeconnections:ProviderType |
| codeconnections:GetInstallationUrl | codeconnections:ProviderType |
| `codeconnections:ListInstallationTargets` | N/A |
| codeconnections:StartOAuthHandshake | codeconnections:ProviderType |
| codeconnections:UpdateConnectionInstallation | codeconnections:InstallationId |
### Autorisations de configuration des hôtes
Un rôle ou un utilisateur désigné pour gérer les connexions dans la console doit disposer des autorisations requises pour configurer un hôte dans la console, ce qui inclut l'autorisation de négocier avec le fournisseur et d'installer pour l'application de l'hôte. Utilisez les autorisations suivantes en plus des autorisations pour hôtes ci-dessus.
Les opérations IAM suivantes sont utilisées par la console lors de l'enregistrement d'hôte basé sur un navigateur. `RegisterAppCode` et `StartAppRegistrationHandshake` sont des autorisations de stratégie IAM. Ce ne sont pas des actions d'API.
```
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
Sur la base de ces informations, les autorisations suivantes sont nécessaires pour utiliser, créer, mettre à jour ou supprimer une connexion dans la console qui nécessite un hôte (comme les types de fournisseurs installés).
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour terminer la configuration de l'hôte**
| Actions liées aux connexions | Autorisations requises | Ressources |
| --- | --- | --- |
| `RegisterAppCode` | `codeconnections:RegisterAppCode` Requis pour utiliser la console pour finaliser la configuration de l'hôte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
| `StartAppRegistrationHandshake` | `codeconnections:StartAppRegistrationHandshake` Requis pour utiliser la console pour finaliser la configuration de l'hôte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
Ces opérations prennent en charge les clés de condition suivantes.
### Transmission d'une connexion à un service
Lorsqu'une connexion est transmise à un service (par exemple, lorsqu'un ARN de connexion est fourni dans une définition de pipeline pour créer ou mettre à jour un pipeline), l'utilisateur doit disposer de l'autorisation `codeconnections:PassConnection`.
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour passer une connexion**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `PassConnection` | `codeconnections:PassConnection` Requis pour transférer une connexion à un service. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
Cette opération prend également en charge la clé de condition suivante :
+ `codeconnections:PassedToService`
**Valeurs prises en charge pour les clés de condition**
| Clé | Fournisseurs d'actions valides |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/dtconsole/latest/userguide/security-iam.html) |
### Utilisation d'une connexion
Lorsqu'un service tel que celui-ci CodePipeline utilise une connexion, le rôle de service doit disposer de l'`codeconnections:UseConnection`autorisation pour une connexion donnée.
Pour gérer les connexions de la console, la stratégie utilisateur doit avoir l'autorisation `codeconnections:UseConnection`.
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections action requise pour utiliser les connexions**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `UseConnection` | `codeconnections:UseConnection` Requis pour utiliser une connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
Cette opération prend également en charge les clés de condition suivantes :
+ `codeconnections:BranchName`
+ `codeconnections:FullRepositoryId`
+ `codeconnections:OwnerId`
+ `codeconnections:ProviderAction`
+ `codeconnections:ProviderPermissionsRequired`
+ `codeconnections:RepositoryName`
**Valeurs prises en charge pour les clés de condition**
| Clé | Fournisseurs d'actions valides |
| --- | --- |
| `codeconnections:FullRepositoryId` | Nom de l'utilisateur et nom d'un référentiel, par exemple `my-owner/my-repository`. Prise en charge uniquement lorsque la connexion est utilisée pour accéder à un référentiel spécifique. |
| `codeconnections:ProviderPermissionsRequired` | read\$1only ou read\$1write |
| `codeconnections:ProviderAction` | `GetBranch`, `ListRepositories`, `ListOwners`, `ListBranches`, `StartUploadArchiveToS3`, `GitPush`, `GitPull`, `GetUploadArchiveToS3Status`, `CreatePullRequestDiffComment`, `GetPullRequest`, `ListBranchCommits`, `ListCommitFiles`, `ListPullRequestComments`, `ListPullRequestCommits`. Pour plus d'informations, consultez la section suivante. |
Les clés de condition requises pour certaines fonctionnalités peuvent changer au fil du temps. Nous vous recommandons d'utiliser `codeconnections:UseConnection` pour contrôler l'accès à une connexion, sauf si vos exigences de contrôle d'accès requièrent des autorisations différentes.
### Types d'accès pris en charge pour `ProviderAction`
Lorsqu'une connexion est utilisée par un AWS service, des appels d'API sont effectués vers votre fournisseur de code source. Par exemple, un service peut répertorier les référentiels pour une connexion Bitbucket en appelant l'API `https://api.bitbucket.org/2.0/repositories/username`.
La clé de `ProviderAction` condition vous permet de restreindre APIs le fournisseur qui peut être appelé. Comme le chemin de l'API peut être généré dynamiquement et que le chemin varie d'un fournisseur à l'autre, la valeur `ProviderAction` est mappée à un nom d'action abstrait plutôt qu'à l'URL de l'API. Cela vous permet d'écrire des stratégies qui ont le même effet quel que soit le type de fournisseur de la connexion.
Voici les types d'accès qui sont accordés pour chacune des valeurs `ProviderAction` prises en charge. Voici des autorisations de stratégie IAM. Ce ne sont pas des actions d'API.
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections types d'accès pris en charge pour `ProviderAction`**
| AWS CodeConnections autorisation | Autorisations requises | Ressources |
| --- | --- | --- |
| `GetBranch` | ` codeconnections:GetBranch` Requis pour accéder aux informations d'une branche, telles que la dernière validation de cette branche. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListRepositories` | ` codeconnections:ListRepositories` Requis pour accéder à une liste de référentiels publics et privés qui appartiennent à un propriétaire, ainsi qu'aux détails sur ces référentiels. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListOwners` | `codeconnections:ListOwners` Requis pour accéder à la liste des propriétaires auxquels la connexion a accès. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListBranches` | ` codeconnections:ListBranches` Requis pour accéder à la liste des branches qui existent sur un référentiel donné. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `StartUploadArchiveToS3` | ` codeconnections:StartUploadArchiveToS3` Requis pour lire le code source et le télécharger sur Amazon S3. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `GitPush` | ` codeconnections:GitPush` Requis pour écrire dans un référentiel à l'aide de Git. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `GitPull` | ` codeconnections:GitPull` Requis pour lire les données d'un référentiel à l'aide de Git. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| GetUploadArchiveToS3Status | ` codeconnections:GetUploadArchiveToS3Status` Requis pour accéder à l'état d'un chargement, y compris aux messages d'erreur par `StartUploadArchiveToS3`. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| CreatePullRequestDiffComment | ` codeconnections:CreatePullRequestDiffComment` Requis pour accéder aux commentaires sur une demande d'extraction. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| GetPullRequest | ` codeconnections:GetPullRequest` Requis pour afficher les demandes d'extraction d'un référentiel. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListBranchCommits` | ` codeconnections:ListBranchCommits` Requis pour afficher une liste de validations pour une branche du référentiel. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListCommitFiles` | ` codeconnections:ListCommitFiles` Requis pour afficher une liste de fichiers pour une validation. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListPullRequestComments` | ` codeconnections:ListPullRequestComments` Requis pour afficher une liste de commentaires pour une demande d'extraction. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
| `ListPullRequestCommits` | ` codeconnections:ListPullRequestCommits` Requis pour afficher une liste de validations pour une requête d'extraction. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
### Autorisations prises en charge pour le balisage des ressources de connexion
Les opérations IAM suivantes sont utilisées lors du balisage des ressources de connexion.
```
codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections actions requises pour le balisage des ressources de connexion**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `ListTagsForResource` | `codeconnections:ListTagsForResource` Requis pour afficher une liste des balises associées à la ressource de connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id*,arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
| `TagResource` | `codeconnections:TagResource` Requis pour baliser une ressource de connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id*,arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
| `UntagResource` | `codeconnections:UntagResource` Autorisation requise pour supprimer des balises d'une ressource de connexion. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id*,arn:aws:codeconnections : ::host/ *region* *account-id* *host-id* |
### Transmission d'une connexion vers un lien de référentiel
Lorsqu'un lien de référentiel est fourni dans une configuration de synchronisation, l'utilisateur doit avoir l'autorisation `codeconnections:PassRepository` pour l'ARN/la ressource du lien de référentiel.
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections autorisations requises pour passer une connexion**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `PassRepository` | `codeconnections:PassRepository` Nécessaire pour transmettre un lien de référentiel à une configuration de synchronisation. | arn:aws:codeconnections : ::repository-link/ *region* *account-id* *repository-link-id* |
Cette opération prend également en charge la clé de condition suivante :
+ `codeconnections:PassedToService`
**Valeurs prises en charge pour les clés de condition**
| Clé | Fournisseurs d'actions valides |
| --- | --- |
| `codeconnections:PassedToService` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/dtconsole/latest/userguide/security-iam.html) |
### Clé de condition prise en charge pour les liens de référentiel
Les opérations relatives aux liens de référentiel et aux ressources de configuration de synchronisation sont prises en charge par la clé de condition suivante :
+ `codeconnections:Branch`
Filtre l'accès en fonction du nom de la branche transmis dans la demande.
**Actions prises en charge pour la clé de condition**
| Clé | Valeurs valides |
| --- | --- |
| `codeconnections:Branch` | Les actions suivantes sont prises en charge pour cette clé de condition :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/dtconsole/latest/userguide/security-iam.html) |
### Autorisations prises en charge pour le partage de connexion
Les opérations IAM suivantes sont utilisées lors du partage de connexions.
```
codeconnections:GetResourcePolicy
```
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS CodeConnections actions requises pour le partage de connexions**
| AWS CodeConnections actions | Autorisations requises | Ressources |
| --- | --- | --- |
| `GetResourcePolicy` | `codeconnections:GetResourcePolicy` Nécessaire pour accéder aux informations relatives à la politique de ressources. | arn:aws:codeconnections : ::connection/ *region* *account-id* *connection-id* |
Pour plus d'informations sur le partage de connexion, consultez[Partagez des connexions avec Comptes AWS](connections-share.md).
## Utilisation de notifications et de connexions dans la console
L'expérience des notifications est intégrée aux CodePipeline consoles CodeBuild, CodeCommit, et CodeDeploy, ainsi que dans la console des outils de développement, dans la barre de navigation des **paramètres** elle-même. Pour accéder aux notifications dans les consoles, vous devez appliquer l'une des stratégies gérées pour ces services ou disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails relatifs aux AWS CodeStar notifications et AWS CodeConnections aux ressources de votre AWS compte. Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs et rôles IAM) tributaires de cette politique. Pour plus d'informations sur l'octroi de l'accès à AWS CodeBuild AWS CodeCommit AWS CodeDeploy, AWS CodePipeline, et notamment l'accès à ces consoles, consultez les rubriques suivantes :
+ CodeBuild: [Utilisation de politiques basées sur l'identité](https://docs.aws.amazon.com/codebuild/latest/userguide/security_iam_id-based-policy-examples.html#managed-policies) pour CodeBuild
+ CodeCommit: [Utilisation de politiques basées sur l'identité](https://docs.aws.amazon.com/codecommit/latest/userguide/auth-and-access-control-iam-identity-based-access-control.html) pour CodeCommit
+ AWS CodeDeploy: [Gestion des identités et des accès pour AWS CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/security-iam.html)
+ CodePipeline: [Contrôle d'accès avec des politiques IAM](https://docs.aws.amazon.com/codepipeline/latest/userguide/access-control.html)
AWS CodeStar Les notifications ne disposent d'aucune politique AWS gérée. Pour permettre l'accès à la fonction de notification, vous devez soit appliquer l'une des stratégies gérées pour l'un des services répertoriés ci-dessus, soit créer des stratégies avec le niveau d'autorisation que vous souhaitez accorder aux utilisateurs ou aux entités, puis attacher ces stratégies aux utilisateurs, groupes ou rôles qui requièrent ces autorisations. Pour plus d'informations, consultez les exemples suivants :
+ [Exemple : politique de gestion des notifications au niveau de l'administrateur AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-full-access)
+ [Exemple : politique au niveau du contributeur pour l'utilisation des notifications AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-contributor)
+ [Exemple : read-only-level politique d'utilisation AWS CodeStar des notifications](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-read-only).
AWS CodeConnections ne dispose d'aucune politique AWS gérée. Vous utilisez les autorisations et les combinaisons d'autorisations pour l'accès, telles que les autorisations détaillées dans [Autorisations pour établir des connexions](#permissions-reference-connections-handshake).
Pour plus d’informations, consultez les ressources suivantes :
+ [Exemple : politique de gestion au niveau de l'administrateur AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-fullaccess)
+ [Exemple : politique d'utilisation au niveau du contributeur AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-contributor)
+ [Exemple : read-only-level politique d'utilisation AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-readonly)
Il n'est pas nécessaire d'accorder des autorisations de console aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```