Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajemen identitas dan akses untuk AWS CodeStar Pemberitahuan dan AWS CodeConnections

AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan AWS CodeStar Pemberitahuan dan sumber daya. AWS CodeConnections IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

Audiens

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:

Mengautentikasi dengan identitas

Otentikasi adalah cara Anda masuk AWS menggunakan kredensyal identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensi dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensi. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat Cara masuk ke Akun AWS Anda dalam Panduan Pengguna AWS Sign-In .

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat AWS Signature Version 4 untuk permintaan API dalam Panduan Pengguna IAM.

Pengguna root akun AWS

Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut pengguna Akun AWS root yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat Tugas yang memerlukan kredensial pengguna root dalam Panduan Pengguna IAM.

Pengguna dan grup IAM

Pengguna IAM adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara di Panduan Pengguna IAM.

Grup IAM menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat Kasus penggunaan untuk pengguna IAM dalam Panduan Pengguna IAM.

Peran IAM

Peran IAM adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan beralih dari pengguna ke peran IAM (konsol) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat Metode untuk mengambil peran dalam Panduan Pengguna IAM.

Peran IAM berguna untuk akses pengguna gabungan, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon. EC2 Untuk informasi selengkapnya, lihat Akses sumber daya lintas akun di IAM dalam Panduan Pengguna IAM.

Mengelola akses menggunakan kebijakan

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat Gambaran umum kebijakan JSON dalam Panduan Pengguna IAM.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan principal mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

Kebijakan berbasis identitas

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan dalam Panduan Pengguna IAM.

Kebijakan berbasis identitas dapat berupa kebijakan inline (disematkan langsung ke dalam satu identitas) atau kebijakan terkelola (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat Pilih antara kebijakan terkelola dan kebijakan inline dalam Panduan Pengguna IAM.

AWS CodeConnections referensi izin

Tabel berikut mencantumkan setiap operasi AWS CodeConnections API, tindakan terkait yang dapat Anda berikan izin, dan format ARN sumber daya yang akan digunakan untuk memberikan izin. AWS CodeConnections APIs Dikelompokkan ke dalam tabel berdasarkan cakupan tindakan yang diizinkan oleh API tersebut. Mengacu saat menulis kebijakan izin yang dapat Anda lampirkan ke identitas IAM (kebijakan berbasis identitas).

Ketika Anda membuat kebijakan izin, Anda menentukan tindakan di bidang Action. Anda menentukan nilai sumber daya di bidang Resource sebagai ARN, dengan atau tanpa karakter wildcard (*).

Untuk mengekspresikan syarat dalam kebijakan koneksi Anda, gunakan kunci syarat yang dijelaskan di sini dan tercantum dalam Kunci syarat. Anda juga dapat menggunakan tombol kondisi AWS-wide. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang tersedia di Panduan Pengguna IAM.

Untuk menentukan tindakan, gunakan awalan codeconnections yang diikuti dengan nama operasi API (misalnya, codeconnections:ListConnections atau codeconnections:CreateConnection.

Menggunakan wildcard

Untuk menentukan beberapa tindakan atau sumber daya, gunakan karakter wildcard (*) di ARN Anda. Misalnya, codeconnections:* menentukan semua AWS CodeConnections tindakan dan codeconnections:Get* menentukan semua AWS CodeConnections tindakan yang dimulai dengan kata. Get Contoh berikut memberikan akses ke semua sumber daya dengan nama yang dimulai dengan MyConnection.

arn:aws:codeconnections:us-west-2:account-ID:connection/*

Anda dapat menggunakan wildcard hanya dengan connection sumber daya yang tercantum dalam tabel berikut. Anda tidak dapat menggunakan wildcard dengan region atau account-id sumber daya. Untuk informasi lebih lanjut tentang wildcard, lihat Pengidentifikasi IAM dalam Panduan Pengguna IAM.

Izin untuk mengelola koneksi

Peran atau pengguna yang ditunjuk untuk menggunakan AWS CLI atau SDK untuk melihat, membuat, atau menghapus koneksi harus memiliki izin terbatas pada hal berikut.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections

Gunakan bilah gulir untuk melihat seluruh tabel.

Operasi ini mendukung kunci syarat berikut:

Izin untuk mengelola host

Peran atau pengguna yang ditunjuk untuk menggunakan AWS CLI atau SDK untuk melihat, membuat, atau menghapus host harus memiliki izin terbatas pada hal berikut.

codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts

Gunakan bilah gulir untuk melihat seluruh tabel.

Operasi ini mendukung kunci syarat berikut:

Untuk contoh kebijakan yang menggunakan kunci VpcIdkondisi, lihatContoh: Batasi izin VPC host menggunakan tombol konteks VpcId.

Izin untuk menyelesaikan koneksi

Peran atau pengguna yang ditunjuk untuk mengelola koneksi di konsol harus memiliki izin yang diperlukan untuk menyelesaikan koneksi di konsol dan membuat instalasi, yang mencakup otorisasi handshake ke penyedia dan membuat instalasi untuk koneksi untuk digunakan. Gunakan izin berikut selain izin di atas.

Operasi IAM berikut digunakan oleh konsol saat melakukan handshake berbasis browser. ListInstallationTargets, GetInstallationUrl, StartOAuthHandshake, UpdateConnectionInstallation, dan GetIndividualAccessToken adalah izin kebijakan IAM. Mereka bukan tindakan API.

codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation

Berdasarkan ini, izin berikut diperlukan untuk menggunakan, membuat, memperbarui, atau menghapus koneksi di konsol.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken

Gunakan bilah gulir untuk melihat seluruh tabel.

Operasi ini mendukung kunci kondisi berikut.

Izin untuk menyiapkan host

Peran atau pengguna yang ditunjuk untuk mengelola koneksi di konsol harus memiliki izin yang diperlukan untuk mengatur host di konsol, yang mencakup otorisasi handshake ke penyedia dan menginstal aplikasi host. Gunakan izin berikut selain izin untuk host di atas.

Operasi IAM berikut digunakan oleh konsol saat melakukan pendaftaran host berbasis browser. RegisterAppCode dan StartAppRegistrationHandshake adalah izin kebijakan IAM. Mereka bukan tindakan API.

codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Berdasarkan ini, izin berikut diperlukan untuk menggunakan, membuat, memperbarui, atau menghapus koneksi di konsol yang memerlukan host (seperti jenis penyedia yang diinstal).

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Gunakan bilah gulir untuk melihat seluruh tabel.

Operasi ini mendukung kunci kondisi berikut.

Melewati koneksi ke layanan

Ketika koneksi dilewatkan ke layanan (misalnya, ketika ARN koneksi disediakan dalam definisi alur untuk membuat atau memperbarui alur) pengguna harus memiliki izin codeconnections:PassConnection.

Gunakan bilah gulir untuk melihat seluruh tabel.

Operasi ini juga mendukung kunci kondisi berikut:

Menggunakan koneksi

Ketika layanan seperti CodePipeline menggunakan koneksi, peran layanan harus memiliki codeconnections:UseConnection izin untuk koneksi yang diberikan.

Untuk mengelola koneksi di konsol, kebijakan pengguna harus memiliki izin codeconnections:UseConnection.

Gunakan bilah gulir untuk melihat seluruh tabel.

Operasi ini juga mendukung kunci syarat berikut:

Kunci syarat yang diperlukan untuk beberapa fungsionalitas mungkin berubah dari waktu ke waktu. Kami menyarankan agar Anda menggunakan codeconnections:UseConnection untuk mengontrol akses ke koneksi kecuali persyaratan kontrol akses Anda memerlukan izin yang berbeda.

Jenis akses yang didukung untuk ProviderAction

Ketika koneksi digunakan oleh AWS layanan, itu menghasilkan panggilan API yang dilakukan ke penyedia kode sumber Anda. Sebagai contoh, layanan mungkin mencantumkan repositori untuk koneksi Bitbucket dengan memanggil API https://api.bitbucket.org/2.0/repositories/username.

Kunci ProviderAction kondisi memungkinkan Anda untuk membatasi penyedia mana APIs yang dapat dipanggil. Karena jalur API mungkin dihasilkan secara dinamis, dan jalur bervariasi dari penyedia ke penyedia, nilai ProviderAction dipetakan ke nama tindakan abstrak bukan URL API. Hal ini memungkinkan Anda untuk menulis kebijakan yang memiliki efek yang sama terlepas dari jenis penyedia untuk koneksi.

Berikut ini adalah jenis akses yang diberikan untuk masing-masing nilai ProviderAction yang didukung. Berikut ini adalah izin kebijakan IAM. Mereka bukan tindakan API.

Gunakan bilah gulir untuk melihat seluruh tabel.

Izin yang didukung untuk menandai sumber daya koneksi

Operasi IAM berikut digunakan ketika penandaan sumber daya koneksi.

codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource

Gunakan bilah gulir untuk melihat seluruh tabel.

Melewati koneksi ke tautan repositori

Ketika repository-link disediakan dalam konfigurasi sinkronisasi, pengguna harus memiliki codeconnections:PassRepository izin untuk repository-link ARN/resource.

Gunakan bilah gulir untuk melihat seluruh tabel.

Operasi ini juga mendukung kunci kondisi berikut:

Kunci kondisi yang didukung untuk tautan repositori

Operasi untuk tautan repositori dan sumber daya konfigurasi sinkronisasi didukung oleh kunci kondisi berikut:

Izin yang didukung untuk berbagi koneksi

Operasi IAM berikut digunakan saat berbagi koneksi.

codeconnections:GetResourcePolicy

Gunakan bilah gulir untuk melihat seluruh tabel.

Untuk informasi selengkapnya tentang berbagi koneksi, lihatBerbagi koneksi dengan Akun AWS.

Menggunakan notifikasi dan koneksi di konsol

Pengalaman notifikasi dibangun ke dalam CodeBuild, CodeCommit, CodeDeploy, dan CodePipeline konsol, serta di konsol Alat Pengembang di bilah navigasi Pengaturan itu sendiri. Untuk mengakses notifikasi di konsol, Anda harus memiliki salah satu kebijakan terkelola untuk layanan tersebut diterapkan, atau Anda harus memiliki seperangkat izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang AWS CodeStar Pemberitahuan dan AWS CodeConnections sumber daya di AWS akun Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tersebut tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna IAM atau peran) dengan kebijakan tersebut. Untuk informasi selengkapnya tentang pemberian akses ke AWS CodeBuild AWS CodeCommit, AWS CodeDeploy,, dan AWS CodePipeline, termasuk akses ke konsol tersebut, lihat topik berikut:

AWS CodeStar Pemberitahuan tidak memiliki kebijakan AWS terkelola apa pun. Untuk menyediakan akses ke fungsionalitas notifikasi, Anda harus menerapkan salah satu kebijakan terkelola untuk salah satu layanan yang terdaftar sebelumnya, atau Anda harus membuat kebijakan dengan tingkat izin yang ingin Anda berikan kepada pengguna atau entitas, dan kemudian melampirkan kebijakan tersebut ke pengguna, grup, atau peran yang memerlukan izin tersebut. Untuk informasi selengkapnya dan contoh, lihat berikut ini:

AWS CodeConnections tidak memiliki kebijakan AWS terkelola. Anda menggunakan izin dan kombinasi izin untuk akses, seperti izin yang dirinci. Izin untuk menyelesaikan koneksi

Untuk informasi selengkapnya, lihat berikut ini:

Anda tidak perlu mengizinkan izin konsol untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.

Izinkan para pengguna untuk melihat izin mereka sendiri

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}