Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle identità e degli accessi per AWS CodeStar notifiche e AWS CodeConnections

AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare AWS CodeStar le notifiche e le risorse. AWS CodeConnections IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.

Destinatari

Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:

Autenticazione con identità

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per maggiori informazioni sull’accesso, consultare la sezione Come accedere a Account AWS nella Guida per l’utente di Accedi ad AWS .

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta AWS Signature Version 4 per le richieste API nella Guida per l’utente IAM.

Utente root dell'account AWS

Quando si crea una Account AWS, si inizia con un'identità di accesso chiamata utente Account AWS root che ha accesso completo a tutte le risorse. Servizi AWS Si consiglia vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta Attività che richiedono le credenziali dell’utente root nella Guida per l’utente IAM.

Utenti e gruppi IAM

Un utente IAM è un’identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida per l'utente IAM.

Un gruppo IAM specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta Casi d’uso per utenti IAM nella Guida per l’utente IAM.

Ruoli IAM

Un ruolo IAM è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo passando da un ruolo utente a un ruolo IAM (console) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta Metodi per assumere un ruolonella Guida per l’utente IAM.

I ruoli IAM sono utili per l'accesso federato degli utenti, le autorizzazioni utente IAM temporanee, l'accesso tra account, l'accesso tra servizi e le applicazioni in esecuzione su Amazon. EC2 Per maggiori informazioni, consultare Accesso a risorse multi-account in IAM nella Guida per l’utente IAM.

Gestione dell’accesso tramite policy

Puoi controllare l'accesso AWS creando policy e collegandole a identità o risorse. AWS Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta Panoramica delle policy JSON nella Guida per l’utente IAM.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale principale può eseguire azioni su quali risorse e in quali condizioni.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

Policy basate sull’identità

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente nella Guida per l’utente IAM.

Le policy basate sull’identità possono essere policy in linea (incorporate direttamente in una singola identità) o policy gestite (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consultare Scelta fra policy gestite e policy inline nella Guida per l’utente IAM.

AWS CodeConnections riferimento alle autorizzazioni

Le tabelle seguenti elencano ogni operazione AWS CodeConnections API, le azioni corrispondenti per le quali è possibile concedere le autorizzazioni e il formato della risorsa ARN da utilizzare per la concessione delle autorizzazioni. AWS CodeConnections APIs Sono raggruppate in tabelle in base all'ambito delle azioni consentite da tale API. Usale come riferimento durante la stesura delle policy di autorizzazione da collegare a un'identità IAM (policy basate su identità).

Quando si crea una policy di autorizzazione, è necessario specificare le operazioni nel campo Action della policy. Puoi specificare il valore della risorsa nel campo Resource della policy come ARN, con o senza un carattere jolly (*).

Per esprimere le condizioni nelle policy di connessione, utilizza le chiavi di condizione descritte qui ed elencate in Chiavi di condizione. Puoi anche usare i tasti di condizione AWS-wide. Per un elenco completo delle chiavi AWS-wide, consulta Available keys nella IAM User Guide.

Per specificare un'operazione, utilizza il prefisso codeconnections seguito dal nome dell'operazione API (ad esempio, codeconnections:ListConnections o codeconnections:CreateConnection).

Utilizzo di caratteri jolly

Per specificare più operazioni o risorse, usa un carattere jolly (*) nell'ARN. Ad esempio, codeconnections:* specifica tutte le AWS CodeConnections azioni e codeconnections:Get* specifica tutte le AWS CodeConnections azioni che iniziano con la parola. Get L'esempio seguente concede l'accesso completo a tutte le risorse con nomi che iniziano con MyConnection.

arn:aws:codeconnections:us-west-2:account-ID:connection/*

È possibile utilizzare i caratteri jolly solo con le connection risorse elencate nella tabella seguente. Non puoi usare i caratteri jolly con le nostre risorseregion. account-id Per ulteriori informazioni sui caratteri jolly, consulta Identificatori IAM nella Guida per l'utente IAM.

Autorizzazioni per la gestione delle connessioni

Un ruolo o un utente designato a utilizzare l'SDK AWS CLI o l'SDK per visualizzare, creare o eliminare connessioni deve avere le autorizzazioni limitate a quanto segue.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

Queste operazioni supportano le seguenti chiavi di condizione:

Autorizzazioni per la gestione degli host

Un ruolo o un utente designato a utilizzare l'SDK AWS CLI o l'SDK per visualizzare, creare o eliminare gli host deve disporre delle autorizzazioni limitate ai seguenti.

codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

Queste operazioni supportano le seguenti chiavi di condizione:

Per un esempio di politica che utilizza la chiave VpcIdcondition, vediEsempio: limita le autorizzazioni VPC dell'host utilizzando la chiave di contesto VpcId.

Autorizzazioni per completare le connessioni

Un ruolo o un utente designato per gestire le connessioni nella console deve disporre delle autorizzazioni necessarie per completare una connessione nella console e creare un'installazione, che include l'autorizzazione dell'handshake al provider e la creazione di installazioni da utilizzare per le connessioni. Utilizzare le seguenti autorizzazioni oltre alle autorizzazioni precedenti.

Le seguenti operazioni IAM vengono utilizzate dalla console durante l'esecuzione di un handshake basato su browser. ListInstallationTargets, GetInstallationUrl, StartOAuthHandshake, UpdateConnectionInstallation, e GetIndividualAccessToken sono autorizzazioni di policy IAM. Non sono operazioni API.

codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation

In base a ciò, sono necessarie le seguenti autorizzazioni per utilizzare, creare, aggiornare o eliminare una connessione nella console.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

Queste operazioni supportano le seguenti chiavi di condizione.

Autorizzazioni per la configurazione degli host

Un ruolo o un utente designato per gestire le connessioni nella console deve disporre delle autorizzazioni necessarie per configurare un host nella console, incluse l'autorizzazione dell'handshake al provider e l'installazione dell'app host. Utilizzare le seguenti autorizzazioni oltre alle autorizzazioni per host precedenti.

Le seguenti operazioni IAM vengono utilizzate dalla console per eseguire una registrazione dell'host basata su browser. RegisterAppCode e StartAppRegistrationHandshake sono autorizzazioni delle policy IAM. Non sono operazioni API.

codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

In base a ciò, sono necessarie le seguenti autorizzazioni per utilizzare, creare, aggiornare o eliminare una connessione nella console che richiede un host (ad esempio i tipi di provider installati).

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

Queste operazioni supportano le seguenti chiavi di condizione.

Trasferimento di una connessione a un servizio

Quando una connessione viene trasferita a un servizio (ad esempio, quando un ARN di connessione viene fornito in una definizione di pipeline per creare o aggiornare una pipeline), l'utente deve disporre dell'autorizzazione codeconnections:PassConnection.

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

Questa operazione supporta anche la seguente chiave di condizione:

Utilizzo di una connessione

Quando un servizio simile CodePipeline utilizza una connessione, il ruolo del servizio deve disporre dell'codeconnections:UseConnectionautorizzazione per una determinata connessione.

Per gestire le connessioni nella console, è necessario che la policy utente disponga dell'autorizzazione codeconnections:UseConnection.

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

Questa operazione supporta anche le seguenti chiavi di condizione:

Le chiavi di condizione necessarie per alcune funzionalità potrebbero cambiare nel tempo. Si consiglia di utilizzare codeconnections:UseConnection per controllare l'accesso a una connessione, a meno che i requisiti di controllo dell'accesso non richiedano autorizzazioni diverse.

Tipi di accesso supportati per ProviderAction

Quando una connessione viene utilizzata da un AWS servizio, vengono effettuate chiamate API al provider del codice sorgente. Ad esempio, un servizio potrebbe elencare i repository per una connessione Bitbucket chiamando l'API https://api.bitbucket.org/2.0/repositories/username.

La chiave di ProviderAction condizione consente di limitare APIs il numero di provider che è possibile chiamare. Poiché il percorso API potrebbe essere generato dinamicamente e il percorso varia da provider a provider, il valore ProviderAction viene mappato a un nome di operazione astratto anziché all'URL dell'API. Ciò permette di scrivere policy che hanno lo stesso effetto indipendentemente dal tipo di provider per la connessione.

Di seguito sono riportati i tipi di accesso concessi per ciascuno dei valori ProviderAction supportati. Le seguenti sono autorizzazioni di policy IAM. Non sono operazioni API.

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

Autorizzazioni supportate per l'assegnazione di tag alle risorse di connessione

Le seguenti operazioni IAM vengono utilizzate per taggare le risorse di connessione.

codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

Passare una connessione a un collegamento di repository

Quando in una configurazione di sincronizzazione viene fornito un collegamento di repository, l'utente deve disporre dell'autorizzazione codeconnections:PassRepository per l'ARN o la risorsa di collegamento al repository.

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

Questa operazione supporta anche la seguente chiave di condizione:

Chiave di condizione supportata per i collegamenti al repository

La seguente chiave di condizione supporta le operazioni per i collegamenti ai repository e le risorse di configurazione delle sincronizzazioni:

Autorizzazioni supportate per la condivisione della connessione

Le seguenti operazioni IAM vengono utilizzate per la condivisione delle connessioni.

codeconnections:GetResourcePolicy

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

Per ulteriori informazioni sulla condivisione della connessione, vedereCondividi le connessioni con Account AWS.

Utilizzo di notifiche e connessioni nella console

L'esperienza di notifica è integrata nelle console CodeBuild CodeCommit, CodeDeploy, e, nonché nella CodePipeline console Developer Tools nella barra di navigazione delle Impostazioni stessa. Per accedere alle notifiche nelle console, è necessario applicare una delle policy gestite a tali servizi oppure disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS CodeStar notifiche e sulle AWS CodeConnections risorse del tuo AWS account. Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy. Per ulteriori informazioni sulla concessione dell'accesso a AWS CodeBuild,, e AWS CodeCommit AWS CodeDeploy AWS CodePipeline, incluso l'accesso a tali console, consulta i seguenti argomenti:

AWS CodeStar Le notifiche non hanno politiche AWS gestite. Per fornire l'accesso alla funzionalità di notifica, è necessario applicare una delle policy gestite per uno dei servizi elencati in precedenza oppure creare policy con il livello di autorizzazione che si desidera concedere agli utenti o alle entità e quindi allegare le policy agli utenti, ai gruppi o ai ruoli che richiedono le autorizzazioni. Per maggiori informazioni ed esempi, consulta:

AWS CodeConnections non dispone di politiche AWS gestite. È possibile utilizzare le autorizzazioni e le combinazioni di autorizzazioni per l'accesso, ad esempio le autorizzazioni descritte in Autorizzazioni per completare le connessioni.

Per ulteriori informazioni, consulta gli argomenti seguenti:

Non è necessario concedere le autorizzazioni della console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}