Amazon CodeCatalyst は新規のお客様には提供されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CodeCatalyst から移行する方法](migration.md)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM ロールを使用してプロジェクト AWS リソースへのアクセスを許可する
CodeCatalyst は、 AWS アカウント を CodeCatalyst スペースに接続 AWS することでリソースにアクセスできます。その後、次のサービスロールを作成し、アカウントを接続するときに関連付けることができます。
JSON ポリシーで使用するすべての要素については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
+ CodeCatalyst プロジェクトとワークフロー AWS アカウント の のリソースにアクセスするには、まず CodeCatalyst がユーザーに代わってそれらのリソースにアクセスするためのアクセス許可を付与する必要があります。そのためには、CodeCatalyst AWS アカウント がスペース内のユーザーとプロジェクトに代わって引き受けることができる接続された にサービスロールを作成する必要があります。**CodeCatalystWorkflowDevelopmentRole-*spaceName*** サービスロールを作成して使用するか、カスタマイズされたサービスロールを作成してこれらの IAM ポリシーとロールを手動で設定するかを選択できます。ベストプラクティスとして、これらのロールには必要最小限のアクセス許可を割り当てます。
**注記**
カスタマイズされたサービスロールには、CodeCatalyst サービスプリンシパルが必要です。CodeCatalyst サービスプリンシパルと信頼モデルの詳細については、「[CodeCatalyst 信頼モデルについて](trust-model.md)」を参照してください。
+ 接続された を介してスペースのサポートを管理するには AWS アカウント、CodeCatalyst ユーザーがサポートにアクセスできるようにする**AWSRoleForCodeCatalystSupport**サービスロールを作成して使用できます。CodeCatalyst スペースのサポートの詳細については、「[Amazon CodeCatalyst の サポート](support.md)」を参照してください。
## **CodeCatalystWorkflowDevelopmentRole-*spaceName*** サービスロールについて
CodeCatalyst が接続された AWS アカウントでリソースを作成およびアクセスするために使用できる IAM ロールをスペースに追加できます。これは[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)と呼ばれます。サービスロールを作成する最も簡単な方法は、スペースを作成するときにサービスロールを追加し、そのロールに **CodeCatalystWorkflowDevelopmentRole-*spaceName*** オプションを選択することです。これにより、`AdministratorAccess` がアタッチされたサービスロールが作成されるだけでなく、CodeCatalyst がスペース内のプロジェクトでユーザーに代わってロールを引き受けることを許可する信頼ポリシーも作成されます。サービスロールは、個々のプロジェクトではなく、スペースに範囲が限定されます。このロールの作成については、「[アカウントとスペース用の **CodeCatalystWorkflowDevelopmentRole-*spaceName*** ロールを作成する](#ipa-iam-roles-service-create)」を参照してください。各アカウントのスペースごとに作成できるロールは 1 つのみです。
**注記**
このロールは開発アカウントでのみ使用が推奨され、 `AdministratorAccess` AWS マネージドポリシーを使用して、このロールに新しいポリシーとリソースを作成するためのフルアクセスを付与します AWS アカウント。
**CodeCatalystWorkflowDevelopmentRole-*spaceName*** ロールにアタッチされたポリシーは、スペース内のブループリントで作成されたプロジェクトで機能するように設計されています。このポリシーにより、こうしたプロジェクトのユーザーは、接続された AWS アカウントのリソースを使用してコードを開発、ビルド、テスト、デプロイできます。詳細については、[「 AWS サービスのロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。
**CodeCatalystWorkflowDevelopmentRole-*spaceName*** ロールにアタッチされたポリシーは、 `AdministratorAccess`の管理ポリシーです AWS。これは、すべての AWS アクションとリソースへのフルアクセスを許可するポリシーです。IAM コンソールで JSON ポリシードキュメントを表示するには、[AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)」を参照してください。
次の信頼ポリシーは、CodeCatalyst が **CodeCatalystWorkflowDevelopmentRole-*spaceName*** ロールを引き受けることを許可します。CodeCatalyst 信頼モデルの詳細については、「[CodeCatalyst 信頼モデルについて](trust-model.md)」を参照してください。
```
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst-runner.amazonaws.com",
"codecatalyst.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
}
}
}
]
```
## アカウントとスペース用の **CodeCatalystWorkflowDevelopmentRole-*spaceName*** ロールを作成する
以下の手順に従って、スペース内のワークフローに使用される `CodeCatalystWorkflowDevelopmentRole-spaceName` ロールを作成します。スペース内のプロジェクトで使用する IAM ロールを持たせたいアカウントごとに、デベロッパーロールなどのロールを追加する必要があります。
開始する前に、 の管理者権限を持っている AWS アカウント か、管理者と連携できる必要があります。CodeCatalyst で AWS アカウント および IAM ロールを使用する方法の詳細については、「」を参照してください[接続された AWS リソースへのアクセスを許可する AWS アカウント](ipa-connect-account.md)。
**CodeCatalyst **CodeCatalystWorkflowDevelopmentRole-*spaceName*** を作成して追加するには**
1. CodeCatalyst コンソールで を開始する前に、 を開き AWS マネジメントコンソール、スペース AWS アカウント に対して同じ でログインしていることを確認します。
1. [https://codecatalyst.aws/](https://codecatalyst.aws/) で CodeCatalyst コンソールを開きます。
1. CodeCatalyst スペースに移動します。**[設定]**、**[AWS アカウント]** の順に選択します。
1. ロールを作成する AWS アカウント のリンクを選択します。**[AWS アカウント の詳細]** ページが表示されます。
1. **ロールの管理 AWS マネジメントコンソール**を選択します。
AWS マネジメントコンソールで **[Amazon CodeCatalyst スペースに IAM ロールを追加]** ページが開きます。これは **[Amazon CodeCatalyst スペース]** ページです。ページにアクセスするには、ログインが必要な場合があります。
1. **[IAM で CodeCatalyst 開発管理者ロールを作成]** を選択します。このオプションにより、開発ロールのためのアクセス許可ポリシーと信頼ポリシーを含むサービスロールが作成されます。ロールには `CodeCatalystWorkflowDevelopmentRole-spaceName` という名前が付けられます。ロールとロールポリシーの詳細については、「[**CodeCatalystWorkflowDevelopmentRole-*spaceName*** サービスロールについて](#ipa-iam-roles-service-role)」を参照してください。
**注記**
このロールはデベロッパーアカウントでのみ使用が推奨され、 `AdministratorAccess` AWS マネージドポリシーを使用して、このロールに新しいポリシーとリソースを作成するためのフルアクセスを付与します AWS アカウント。
1. **[開発ロールを作成]** を選択します。
1. [接続] ページの **[CodeCatalyst で使用できる IAM ロール]** で、アカウントに追加された IAM ロールの一覧に `CodeCatalystWorkflowDevelopmentRole-spaceName` ロールが表示されます。
1. スペースに戻るには、**[Amazon CodeCatalyst に移動]** を選択します。
## **AWSRoleForCodeCatalystSupport** サービスロールについて
スペースの CodeCatalyst ユーザーがサポートケースの作成とアクセスに使用できる IAM ロールをスペースに追加できます。これは、サポート用の[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)と呼ばれます。サポート用のサービスロールを作成する最も簡単な方法は、スペースを作成するときにサービスロールを追加し、そのロールの `AWSRoleForCodeCatalystSupport` オプションを選択することです。これにより、ポリシーとロールが作成されるだけでなく、CodeCatalyst がスペース内のプロジェクトでユーザーに代わってロールを引き受けることを許可する信頼ポリシーも作成されます。サービスロールは、個々のプロジェクトではなく、スペースに範囲が限定されます。このロールの作成については、「[アカウントとスペース用の **AWSRoleForCodeCatalystSupport** ロールを作成する](#ipa-iam-roles-support-create)」を参照してください。
`AWSRoleForCodeCatalystSupport` ロールにアタッチされたポリシーは、サポートアクセス許可へのアクセスを提供するマネージドポリシーです。詳細については、「[AWS 管理ポリシー: AmazonCodeCatalystSupportAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess)」を参照してください。
このポリシーの信頼ロールにより、CodeCatalyst がロールを引き受けることができます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## アカウントとスペース用の **AWSRoleForCodeCatalystSupport** ロールを作成する
スペース内のサポートケースに使用される `AWSRoleForCodeCatalystSupport` ロールを作成する手順は次のとおりです。このロールを、スペースに指定された請求アカウントに追加する必要があります。
開始する前に、 の管理者権限を持っている AWS アカウント か、管理者と連携できる必要があります。CodeCatalyst で AWS アカウント および IAM ロールを使用する方法の詳細については、「」を参照してください[接続された AWS リソースへのアクセスを許可する AWS アカウント](ipa-connect-account.md)。
**CodeCatalyst **AWSRoleForCodeCatalystSupport** を作成して追加するには**
1. CodeCatalyst コンソールで を開始する前に、 を開き AWS マネジメントコンソール、スペース AWS アカウント に対して同じ でログインしていることを確認します。
1. CodeCatalyst スペースに移動します。**[設定]**、**[AWS アカウント]** の順に選択します。
1. ロールを作成する AWS アカウント のリンクを選択します。**[AWS アカウント の詳細]** ページが表示されます。
1. **ロールの管理を選択します AWS マネジメントコンソール**。
AWS マネジメントコンソールで **[Amazon CodeCatalyst スペースに IAM ロールを追加]** ページが開きます。これは **[Amazon CodeCatalyst スペース]** ページです。ページにアクセスするには、サインインが必要な場合があります。
1. **[CodeCatalyst スペースの詳細]** で、**[CodeCatalyst サポートロールの追加]** を選択します。このオプションでは、プレビュー開発ロールのための許可ポリシーと信頼ポリシーを含むサービスロールを作成します。ロールには、一意の識別子が追加された **AWSRoleForCodeCatalystSupport** という名前が付けられます。ロールとロールポリシーの詳細については、「[**AWSRoleForCodeCatalystSupport** サービスロールについて](#ipa-iam-roles-support-role)」を参照してください。
1. **[CodeCatalyst サポートのロールを追加]** ページで、デフォルトを選択したままにし、**[ロールを作成]** を選択します。
1. **[CodeCatalyst で使用できる IAM ロール]** で、アカウントに追加された IAM ロールの一覧に `CodeCatalystWorkflowDevelopmentRole-spaceName` ロールが表示されます。
1. スペースに戻るには、**[Amazon CodeCatalyst に移動]** を選択します。
## CodeCatalyst のワークフローアクションに IAM ロールを設定する
このセクションでは、CodeCatalyst アカウントで使用できる IAM ロールとポリシーについて詳しく説明します。サンプルロールの作成手順については、「[ワークフローアクション用のロールを手動で作成する](#ipa-iam-roles-actions)」を参照してください。IAM ロールを作成したら、ロール ARN をコピーしてアカウント接続に IAM ロールを追加し、プロジェクト環境に関連付けます。詳細については[IAM ロールをアカウント接続に追加する](ipa-connect-account-addroles.md)を参照してください。
### Amazon S3 アクセス用の CodeCatalyst ビルドロール
CodeCatalyst ワークフローのビルドアクションでは、デフォルトの **CodeCatalystWorkflowDevelopmentRole-*spaceName*** サービスロールを使用するか、**CodeCatalystBuildRoleforS3Access** という名前の IAM ロールを作成できます。このロールは、CodeCatalyst が の CloudFormation リソースでタスクを実行するために必要なスコープ付きアクセス許可を持つポリシーを使用します AWS アカウント。
このロールにより、以下のアクセス許可が付与されます。
+ Amazon S3 バケットに書き込む。
+ で リソースの構築をサポートします CloudFormation。これには Amazon S3 アクセスが必要です。
このロールは以下のポリシーを使用します。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
### の CodeCatalyst ビルドロール CloudFormation
CodeCatalyst ワークフローのビルドアクションでは、デフォルトの **CodeCatalystWorkflowDevelopmentRole-*spaceName*** サービスロールを使用するか、必要なアクセス許可を持つ IAM ロールを作成できます。このロールは、CodeCatalyst が の CloudFormation リソースでタスクを実行するために必要なスコープ付きアクセス許可を持つポリシーを使用します AWS アカウント。
このロールにより、以下のアクセス許可が付与されます。
+ で リソースの構築をサポートします CloudFormation。これは、Amazon S3 アクセス用の CodeCatalyst ビルドロールと、 CloudFormation用の CodeCatalyst デプロイロールと共に必要です。
このロールには、次の AWS 管理ポリシーをアタッチする必要があります。
+ **AWSCloudFormationFullAccess**
+ **IAMFullAccess**
+ **AmazonS3FullAccess**
+ **AmazonAPIGatewayAdministrator**
+ **AWSLambdaFullAccess**
### CDK 用の CodeCatalyst ビルドロール
「Modern three-tier web application」などの CDK ビルドアクションを実行する CodeCatalyst ワークフローでは、デフォルトの **CodeCatalystWorkflowDevelopmentRole-*spaceName*** サービスロールを使用するか、必要なアクセス許可を持つ IAM ロールを作成できます。このロールは、CodeCatalyst が の CloudFormation リソースの CDK ビルドコマンドをブートストラップして実行するために必要なスコープ付きアクセス許可を持つポリシーを使用します AWS アカウント。
このロールにより、以下のアクセス許可が付与されます。
+ Amazon S3 バケットに書き込む。
+ CDK コンストラクトと CloudFormation リソーススタックの構築をサポートします。これには、アーティファクトストレージ用の Amazon S3、イメージリポジトリサポート用の Amazon ECR、仮想インスタンスのシステムガバナンスおよびモニタリング用の SSM へのアクセスが必要です。
このロールは以下のポリシーを使用します。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
### の CodeCatalyst デプロイロール CloudFormation
が使用する CodeCatalyst ワークフローデプロイアクションでは CloudFormation、デフォルトの**CodeCatalystWorkflowDevelopmentRole-*spaceName***サービスロールを使用するか、CodeCatalyst が の CloudFormation リソースでタスクを実行するために必要なスコープ付きアクセス許可を持つポリシーを使用できます AWS アカウント。
このロールにより、以下のアクセス許可が付与されます。
+ CodeCatalyst が CloudFormationを通じてブルー/グリーンデプロイを実行する Lambda 関数を呼び出すことを許可する。
+ CodeCatalyst がスタックと変更セットを作成および更新できるようにします CloudFormation。
このロールは以下のポリシーを使用します。
```
{"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:Describe*",
"cloudformation:UpdateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:SetStackPolicy",
"cloudformation:ValidateTemplate",
"cloudformation:List*",
"iam:PassRole"
],
"Resource": "resource_ARN",
"Effect": "Allow"
}
```
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
### Amazon EC2 用の CodeCatalyst デプロイロール
CodeCatalyst ワークフローデプロイアクションは、必要なアクセス許可を持つ IAM ロールを使用します。このロールは、CodeCatalyst が の Amazon EC2 リソースでタスクを実行するために必要なスコープ付きアクセス許可を持つポリシーを使用します AWS アカウント。**CodeCatalystWorkflowDevelopmentRole-*spaceName*** ロールのデフォルトポリシーには、Amazon EC2 または Amazon EC2 Auto Scaling のアクセス許可は含まれません。
このロールにより、以下のアクセス許可が付与されます。
+ Amazon EC2 デプロイを作成する。
+ インスタンスのタグを読み取る、または Auto Scaling グループ名により Amazon EC2 インスタンスを識別する。
+ Amazon EC2 Auto Scaling グループ、ライフサイクルフック、スケーリングポリシーの読み取り、作成、更新、削除を行います。
+ Amazon SNS トピックに情報を公開します。
+ CloudWatch アラームに関する情報を取得します。
+ Elastic Load Balancing を読み、更新します。
このロールは以下のポリシーを使用します。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
### Amazon ECS 用の CodeCatalyst デプロイロール
CodeCatalyst ワークフローアクションでは、必要なアクセス許可を持つ IAM ロールを作成できます。デフォルトの **CodeCatalystWorkflowDevelopmentRole-*spaceName*** サービスロールを使用するか、Lambda デプロイに使用する CodeCatalyst デプロイアクション用の IAM ロールを作成できます。このロールは、CodeCatalyst が の Amazon ECS リソースでタスクを実行するために必要なスコープ付きアクセス許可を持つポリシーを使用します AWS アカウント。
このロールにより、以下のアクセス許可が付与されます。
+ CodeCatalyst 接続で指定されたアカウントで、CodeCatalyst ユーザーに代わって Amazon ECS のローリングデプロイを開始する。
+ Amazon ECS タスクセットを読んで、更新、削除します。
+ Elastic Load Balancing ターゲットグループ、リスナー、ルールを更新します。
+ Lambda 関数を呼び出す。
+ Amazon S3 バケットのリビジョンファイルにアクセスします。
+ CloudWatch アラームに関する情報を取得します。
+ Amazon SNS トピックに情報を公開します。
このロールは以下のポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action":[
"ecs:DescribeServices",
"ecs:CreateTaskSet",
"ecs:DeleteTaskSet",
"ecs:ListClusters",
"ecs:RegisterTaskDefinition",
"ecs:UpdateServicePrimaryTaskSet",
"ecs:UpdateService",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:ModifyRule",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"cloudwatch:DescribeAlarms",
"sns:Publish",
"sns:ListTopics",
"s3:GetObject",
"s3:GetObjectVersion",
"codedeploy:CreateApplication",
"codedeploy:CreateDeployment",
"codedeploy:CreateDeploymentGroup",
"codedeploy:GetApplication",
"codedeploy:GetDeployment",
"codedeploy:GetDeploymentGroup",
"codedeploy:ListApplications",
"codedeploy:ListDeploymentGroups",
"codedeploy:ListDeployments",
"codedeploy:StopDeployment",
"codedeploy:GetDeploymentTarget",
"codedeploy:ListDeploymentTargets",
"codedeploy:GetDeploymentConfig",
"codedeploy:GetApplicationRevision",
"codedeploy:RegisterApplicationRevision",
"codedeploy:BatchGetApplicationRevisions",
"codedeploy:BatchGetDeploymentGroups",
"codedeploy:BatchGetDeployments",
"codedeploy:BatchGetApplications",
"codedeploy:ListApplicationRevisions",
"codedeploy:ListDeploymentConfigs",
"codedeploy:ContinueDeployment"
],
"Resource":"*",
"Effect":"Allow"
},{"Action":[
"iam:PassRole"
],
"Effect":"Allow",
"Resource":"*",
"Condition":{"StringLike":{"iam:PassedToService":[
"ecs-tasks.amazonaws.com",
"codedeploy.amazonaws.com"
]
}
}
}]
}
```
------
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
### Lambda 用の CodeCatalyst デプロイロール
CodeCatalyst ワークフローアクションでは、必要なアクセス許可を持つ IAM ロールを作成できます。デフォルトの **CodeCatalystWorkflowDevelopmentRole-*spaceName*** サービスロールを使用するか、Lambda デプロイに使用する CodeCatalyst デプロイアクション用の IAM ロールを作成できます。このロールは、CodeCatalyst が の Lambda リソースでタスクを実行するために必要なスコープ付きアクセス許可を持つポリシーを使用します AWS アカウント。
このロールにより、以下のアクセス許可が付与されます。
+ Lambda 関数およびエイリアスの読み取り、更新、呼び出しを行う。
+ Amazon S3 バケットのリビジョンファイルにアクセスします。
+ CloudWatch Events アラームに関する情報を取得する。
+ Amazon SNS トピックに情報を公開します。
このロールは以下のポリシーを使用します。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
### Lambda 用の CodeCatalyst デプロイロール
CodeCatalyst ワークフローアクションでは、デフォルトの **CodeCatalystWorkflowDevelopmentRole-*spaceName*** サービスロールを使用するか、必要なアクセス許可を持つ IAM ロールを作成できます。このロールは、CodeCatalyst が の Lambda リソースでタスクを実行するために必要なスコープ付きアクセス許可を持つポリシーを使用します AWS アカウント。
このロールにより、以下のアクセス許可が付与されます。
+ Lambda 関数およびエイリアスの読み取り、更新、呼び出しを行う。
+ Amazon S3 バケットのリビジョンファイルにアクセスします。
+ CloudWatch アラームに関する情報を取得します。
+ Amazon SNS トピックに情報を公開します。
このロールは以下のポリシーを使用します。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
### の CodeCatalyst デプロイロール AWS SAM
CodeCatalyst ワークフローアクションでは、デフォルトの **CodeCatalystWorkflowDevelopmentRole-*spaceName*** サービスロールを使用するか、必要なアクセス許可を持つ IAM ロールを作成できます。このロールは、CodeCatalyst が の AWS SAM および CloudFormation リソースでタスクを実行するために必要なスコープ付きアクセス許可を持つポリシーを使用します AWS アカウント。
このロールにより、以下のアクセス許可が付与されます。
+ CodeCatalyst が Lambda 関数を呼び出して、サーバーレスアプリケーションおよび AWS SAM CLI アプリケーションのデプロイを実行することを許可する。
+ CodeCatalyst がスタックと変更セットを作成および更新できるようにします CloudFormation。
このロールは以下のポリシーを使用します。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
### Amazon EC2 用の CodeCatalyst 読み取り専用ロール
CodeCatalyst ワークフローアクションでは、必要なアクセス許可を持つ IAM ロールを作成できます。このロールは、CodeCatalyst が の Amazon EC2 リソースでタスクを実行するために必要なスコープ付きアクセス許可を持つポリシーを使用します AWS アカウント。**CodeCatalystWorkflowDevelopmentRole-*spaceName*** サービスロールには、Amazon EC2 のアクセス許可や説明されている Amazon CloudWatch のアクションは含まれません。
このロールにより、以下のアクセス許可が付与されます。
+ Amazon EC2 インスタンスのステータスを取得する。
+ Amazon EC2 インスタンスの CloudWatch メトリクスを取得する。
このロールは以下のポリシーを使用します。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
### Amazon ECS 用の CodeCatalyst 読み取り専用ロール
CodeCatalyst ワークフローアクションでは、必要なアクセス許可を持つ IAM ロールを作成できます。このロールは、CodeCatalyst が の Amazon ECS リソースでタスクを実行するために必要なスコープ付きアクセス許可を持つポリシーを使用します AWS アカウント。
このロールにより、以下のアクセス許可が付与されます。
+ Amazon ECS のタスクセットを読み取る。
+ CloudWatch アラームに関する情報を取得します。
このロールは以下のポリシーを使用します。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
### Lambda 用の CodeCatalyst 読み取り専用ロール
CodeCatalyst ワークフローアクションでは、必要なアクセス許可を持つ IAM ロールを作成できます。このロールは、CodeCatalyst が の Lambda リソースでタスクを実行するために必要なスコープ付きアクセス許可を持つポリシーを使用します AWS アカウント。
このロールにより、以下のアクセス許可が付与されます。
+ Lambda 関数とエイリアスを読み取る。
+ Amazon S3 バケットのリビジョンファイルにアクセスします。
+ CloudWatch アラームに関する情報を取得します。
このロールは以下の ポリシーを使用します。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
## ワークフローアクション用のロールを手動で作成する
CodeCatalyst ワークフローアクションでは、**ビルドロール**、**デプロイロール**、**スタックロール**という名前で作成した IAM ロールを使用します。
IAM ロールを作成する手順は次のとおりです。
**デプロイロールを作成するには**
1. ロールのポリシーを以下の手順で作成します。
1. にサインインします AWS。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで、**ポリシー** を選択してください。
1. **[Create policy]** (ポリシーを作成) を選択します。
1. **JSON** タブを選択します。
1. 既存のコードを削除します。
1. 次のコードを貼り付けます。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
1. [**Next: Tags (次へ: タグ)**] を選択します。
1. **[次へ: レビュー]** を選択します。
1. **[名前]** に次のように入力します。
```
codecatalyst-deploy-policy
```
1. [**Create policy**] (ポリシーの作成) を選択します。
これで、アクセス許可ポリシーが作成されました。
1. 次のようにデプロイロールを作成します。
1. ナビゲーションペインで **ロール** を選択してから、**ロールを作成する** を選択します。
1. **[カスタム信頼ポリシー]** を選択します。
1. 既存のカスタム信頼ポリシーを削除します。
1. 次の信頼ポリシーを追加します。
1. [**次へ**] を選択します。
1. **[アクセス許可ポリシー]** で `codecatalyst-deploy-policy` を検索し、チェックボックスをオンにします。
1. [**次へ**] を選択します。
1. **[ロール名]** には、次のように入力します。
```
codecatalyst-deploy-role
```
1. **[ロールの説明]** には、次のように入力します。
```
CodeCatalyst deploy role
```
1. [**ロールの作成**] を選択してください。
これで、信頼ポリシーとアクセス許可ポリシーを使用してデプロイロールが作成されました。
1. デプロイロール ARN を次のように取得します。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 検索ボックスに、作成したロールの名前 (`codecatalyst-deploy-role`) を入力します。
1. 使用するロールを一覧から選択します。
ロールの **[概要]** ページが表示されます。
1. 上部で、**[ARN]** 値をコピーします。
これで、適切なアクセス許可を持つデプロイロールを作成し、ARN を取得しました。
**ビルドロールを作成するには**
1. ロールのポリシーを以下の手順で作成します。
1. にサインインします AWS。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで、**ポリシー** を選択してください。
1. **[Create policy]** (ポリシーを作成) を選択します。
1. **JSON** タブを選択します。
1. 既存のコードを削除します。
1. 次のコードを貼り付けます。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
1. [**Next: Tags (次へ: タグ)**] を選択します。
1. **[次へ: レビュー]** を選択します。
1. **[名前]** に次のように入力します。
```
codecatalyst-build-policy
```
1. [**Create policy**] (ポリシーの作成) を選択します。
これで、アクセス許可ポリシーが作成されました。
1. 次のようにビルドロールを作成します。
1. ナビゲーションペインで **ロール** を選択してから、**ロールを作成する** を選択します。
1. **[カスタム信頼ポリシー]** を選択します。
1. 既存のカスタム信頼ポリシーを削除します。
1. 次の信頼ポリシーを追加します。
1. [**次へ**] を選択します。
1. **[アクセス許可ポリシー]** で `codecatalyst-build-policy` を検索し、チェックボックスをオンにします。
1. [**次へ**] を選択します。
1. **[ロール名]** には、次のように入力します。
```
codecatalyst-build-role
```
1. **[ロールの説明]** には、次のように入力します。
```
CodeCatalyst build role
```
1. [**ロールの作成**] を選択してください。
これで、信頼ポリシーとアクセス許可ポリシーを使用してビルドロールが作成されました。
1. 次のようにビルドロール ARN を取得します。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 検索ボックスに、作成したロールの名前 (`codecatalyst-build-role`) を入力します。
1. 使用するロールを一覧から選択します。
ロールの **[概要]** ページが表示されます。
1. 上部で、**[ARN]** 値をコピーします。
これで、適切なアクセス許可を持つビルドロールを作成し、その ARN を取得しました。
**スタックロールを作成するには**
**注記**
スタックロールを作成する必要はありませんが、セキュリティ上の理由から作成することをお勧めします。スタックロールを作成しない場合は、この手順で詳しく説明するアクセス許可ポリシーをデプロイロールに追加する必要があります。
1. スタックをデプロイするアカウント AWS を使用して にサインインします。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **[ロール]** を選択した後、**[ロールの作成]** を選択します。
1. 上部の **[AWS のサービス]** を選択します。
1. サービスのリストから、**CloudFormation** を選択します。
1. **[Next: Permissions]** (次のステップ: 許可) を選択します。
1. 検索ボックスに、スタック内のリソースへのアクセスに必要なポリシーをすべて追加します。たとえば、スタックに AWS Lambda 関数が含まれている場合は、Lambda へのアクセスを許可するポリシーを追加する必要があります。
**ヒント**
追加するポリシーが不明な場合は、現時点では省略できます。アクションをテストするときに、適切なアクセス許可がない場合、 は追加する必要があるアクセス許可を示すエラー CloudFormation を生成します。
1. [**Next: Tags (次へ: タグ)**] を選択します。
1. **[次へ: レビュー]** を選択します。
1. **[ロール名]** には、次のように入力します。
```
codecatalyst-stack-role
```
1. [**ロールの作成**] を選択してください。
1. スタックロールの ARN を取得するには、次の手順を実行します。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 検索ボックスに、作成したロールの名前 (`codecatalyst-stack-role`) を入力します。
1. 使用するロールを一覧から選択します。
1. **[概要]** ページで、**[ロール ARN]** をコピーします。
## AWS CloudFormation を使用して IAM でポリシーとロールを作成する
AWS CloudFormation テンプレートを作成して使用すると、CodeCatalyst プロジェクトとワークフロー AWS アカウント の のリソースにアクセスするために必要なポリシーとロールを作成できます。 CloudFormation は、 AWS リソースのモデル化とセットアップに役立つサービスです。これにより、リソースの管理時間を短縮し、実行されるアプリケーションに集中できます AWS。複数の でロールを作成する場合は AWS アカウント、テンプレートを作成すると、このタスクをより迅速に実行できます。
次のサンプルテンプレートは、デプロイアクションロールとポリシーを作成します。
```
Parameters:
CodeCatalystAccountId:
Type: String
Description: Account ID from the connections page
ExternalId:
Type: String
Description: External ID from the connections page
Resources:
CrossAccountRole:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref CodeCatalystAccountId
Action:
- 'sts:AssumeRole'
Condition:
StringEquals:
sts:ExternalId: !Ref ExternalId
Path: /
Policies:
- PolicyName: CodeCatalyst-CloudFormation-action-policy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- 'cloudformation:CreateStack'
- 'cloudformation:DeleteStack'
- 'cloudformation:Describe*'
- 'cloudformation:UpdateStack'
- 'cloudformation:CreateChangeSet'
- 'cloudformation:DeleteChangeSet'
- 'cloudformation:ExecuteChangeSet'
- 'cloudformation:SetStackPolicy'
- 'cloudformation:ValidateTemplate'
- 'cloudformation:List*'
- 'iam:PassRole'
Resource: '*'
```
## ウェブアプリケーションブループリント用のロールを手動で作成する
CodeCatalyst ウェブアプリケーションブループリントでは、**CDK 用のビルドロール**、**デプロイロール**、**スタックロール**という名前で作成した IAM ロールを使用します。
IAM でロールを作成する手順は次のとおりです。
**ビルドロールを作成するには**
1. ロールのポリシーを以下の手順で作成します。
1. にサインインします AWS。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで、**ポリシー** を選択してください。
1. **[ポリシーを作成]** を選択します。
1. **JSON** タブを選択します。
1. 既存のコードを削除します。
1. 次のコードを貼り付けます。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
1. [**Next: Tags (次へ: タグ)**] を選択します。
1. **[次へ: レビュー]** を選択します。
1. **[名前]** に次のように入力します。
```
codecatalyst-webapp-build-policy
```
1. [**Create policy**] (ポリシーの作成) を選択します。
これで、アクセス許可ポリシーが作成されました。
1. 次のようにビルドロールを作成します。
1. ナビゲーションペインで **ロール** を選択してから、**ロールを作成する** を選択します。
1. **[カスタム信頼ポリシー]** を選択します。
1. 既存のカスタム信頼ポリシーを削除します。
1. 次の信頼ポリシーを追加します。
1. [**次へ**] を選択します。
1. アクセス許可ポリシーをビルドロールにアタッチします。**[許可を追加]** ページで、**[アクセス許可ポリシー]** セクションで `codecatalyst-webapp-build-policy` を検索し、そのチェックボックスをオンにします。
1. [**次へ**] を選択します。
1. **[ロール名]** には、次のように入力します。
```
codecatalyst-webapp-build-role
```
1. **[ロールの説明]** には、次のように入力します。
```
CodeCatalyst Web app build role
```
1. [**ロールの作成**] を選択してください。
これで、信頼ポリシーとアクセス許可ポリシーを使用してビルドロールが作成されました。
1. 次の手順で、アクセス許可ポリシーをこのビルドにアタッチします。
1. ナビゲーションペインで **[ロール]** を選択した後、`codecatalyst-webapp-build-role``` を検索します。
1. `codecatalyst-webapp-build-role``` を選択して詳細を表示します。
1. **[アクセス許可]** タブで、**[許可を追加]** を選択してから、**[ポリシーをアタッチ]** を選択します。
1. `codecatalyst-webapp-build-policy` を検索してチェックボックスをオンにし、**[ポリシーをアタッチ]** を選択します。
これで、アクセス許可ポリシーをビルドロールにアタッチできました。このビルドロールには、2 つのポリシー (アクセス許可ポリシーと信頼ポリシー) がアタッチされています。
1. ビルドロール ARN を次の手順で取得します。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 検索ボックスに、作成したロールの名前 (`codecatalyst-webapp-build-role`) を入力します。
1. 使用するロールを一覧から選択します。
ロールの **[概要]** ページが表示されます。
1. 上部で、**[ARN]** 値をコピーします。
これで、適切なアクセス許可を持つビルドロールを作成し、その ARN を取得しました。
## SAM ブループリント用のロールを手動で作成する
CodeCatalyst SAM ブループリントでは、**CloudFormation 用のビルドロール**と **SAM 用のデプロイロール**という名前で作成した IAM ロールを使用します。
IAM でロールを作成する手順は次のとおりです。
**CloudFormation 用のビルドロールを作成するには**
1. ロールのポリシーを以下の手順で作成します。
1. にサインインします AWS。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで、**ポリシー** を選択してください。
1. **[ポリシーを作成]** を選択します。
1. **JSON** タブを選択します。
1. 既存のコードを削除します。
1. 次のコードを貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*",
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
1. [**Next: Tags (次へ: タグ)**] を選択します。
1. **[次へ: レビュー]** を選択します。
1. **[名前]** に次のように入力します。
```
codecatalyst-SAM-build-policy
```
1. [**Create policy**] (ポリシーの作成) を選択します。
これで、アクセス許可ポリシーが作成されました。
1. 次のようにビルドロールを作成します。
1. ナビゲーションペインで **ロール** を選択してから、**ロールを作成する** を選択します。
1. **[カスタム信頼ポリシー]** を選択します。
1. 既存のカスタム信頼ポリシーを削除します。
1. 次の信頼ポリシーを追加します。
1. [**次へ**] を選択します。
1. アクセス許可ポリシーをビルドロールにアタッチします。**[許可を追加]** ページで、**[アクセス許可ポリシー]** セクションで `codecatalyst-SAM-build-policy` を検索し、そのチェックボックスをオンにします。
1. [**次へ**] を選択します。
1. **[ロール名]** には、次のように入力します。
```
codecatalyst-SAM-build-role
```
1. **[ロールの説明]** には、次のように入力します。
```
CodeCatalyst SAM build role
```
1. [**ロールの作成**] を選択してください。
これで、信頼ポリシーとアクセス許可ポリシーを使用してビルドロールが作成されました。
1. 次の手順で、アクセス許可ポリシーをこのビルドにアタッチします。
1. ナビゲーションペインで **[ロール]** を選択した後、`codecatalyst-SAM-build-role``` を検索します。
1. `codecatalyst-SAM-build-role``` を選択して詳細を表示します。
1. **[アクセス許可]** タブで、**[許可を追加]** を選択してから、**[ポリシーをアタッチ]** を選択します。
1. `codecatalyst-SAM-build-policy` を検索してチェックボックスをオンにし、**[ポリシーをアタッチ]** を選択します。
これで、アクセス許可ポリシーをビルドロールにアタッチできました。このビルドロールには、2 つのポリシー (アクセス許可ポリシーと信頼ポリシー) がアタッチされています。
1. ビルドロール ARN を次の手順で取得します。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 検索ボックスに、作成したロールの名前 (`codecatalyst-SAM-build-role`) を入力します。
1. 使用するロールを一覧から選択します。
ロールの **[概要]** ページが表示されます。
1. 上部で、**[ARN]** 値をコピーします。
これで、適切なアクセス許可を持つビルドロールを作成し、その ARN を取得しました。
**SAM 用のデプロイロールを作成するには**
1. ロールのポリシーを次の手順で作成します。
1. にサインインします AWS。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで、**ポリシー** を選択してください。
1. **[ポリシーを作成]** を選択します。
1. **JSON** タブを選択します。
1. 既存のコードを削除します。
1. 次のコードを貼り付けます。
**注記**
ロールがワークフローアクションの実行に初めて使用されるときは、リソースポリシーステートメントでワイルドカードを使用し、利用可能になった後にリソース名でポリシーの範囲を絞り込みます。
```
"Resource": "*"
```
1. [**Next: Tags (次へ: タグ)**] を選択します。
1. **[次へ: レビュー]** を選択します。
1. **[名前]** に次のように入力します。
```
codecatalyst-SAM-deploy-policy
```
1. [**Create policy**] (ポリシーの作成) を選択します。
これで、アクセス許可ポリシーが作成されました。
1. 次のようにビルドロールを作成します。
1. ナビゲーションペインで **ロール** を選択してから、**ロールを作成する** を選択します。
1. **[カスタム信頼ポリシー]** を選択します。
1. 既存のカスタム信頼ポリシーを削除します。
1. 次の信頼ポリシーを追加します。
1. [**次へ**] を選択します。
1. アクセス許可ポリシーをビルドロールにアタッチします。**[許可を追加]** ページで、**[アクセス許可ポリシー]** セクションで `codecatalyst-SAM-deploy-policy` を検索し、そのチェックボックスをオンにします。
1. [**次へ**] を選択します。
1. **[ロール名]** には、次のように入力します。
```
codecatalyst-SAM-deploy-role
```
1. **[ロールの説明]** には、次のように入力します。
```
CodeCatalyst SAM deploy role
```
1. [**ロールの作成**] を選択してください。
これで、信頼ポリシーとアクセス許可ポリシーを使用してビルドロールが作成されました。
1. 次の手順で、アクセス許可ポリシーをこのビルドにアタッチします。
1. ナビゲーションペインで **[ロール]** を選択した後、`codecatalyst-SAM-deploy-role``` を検索します。
1. `codecatalyst-SAM-deploy-role``` を選択して詳細を表示します。
1. **[アクセス許可]** タブで、**[許可を追加]** を選択してから、**[ポリシーをアタッチ]** を選択します。
1. `codecatalyst-SAM-deploy-policy` を検索してチェックボックスをオンにし、**[ポリシーをアタッチ]** を選択します。
これで、アクセス許可ポリシーをビルドロールにアタッチできました。このビルドロールには、2 つのポリシー (アクセス許可ポリシーと信頼ポリシー) がアタッチされています。
1. ビルドロール ARN を次の手順で取得します。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 検索ボックスに、作成したロールの名前 (`codecatalyst-SAM-deploy-role`) を入力します。
1. 使用するロールを一覧から選択します。
ロールの **[概要]** ページが表示されます。
1. 上部で、**[ARN]** 値をコピーします。
これで、適切なアクセス許可を持つビルドロールを作成し、その ARN を取得しました。