翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CodeStar Notifications と AWS CodeConnections の Identity and Access Management

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を認証 (サインイン) し、誰に AWS CodeStar Notifications および AWS CodeConnections リソースの使用を許可する (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。

対象者

AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。

アイデンティティを使用した認証

認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。

AWS IAM Identity Center (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「AWS サインイン ユーザーガイド」の「How to sign in to your AWS アカウント」を参照してください。

プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「IAM ユーザーガイド」の「API リクエストに対するAWS Signature Version 4」を参照してください。

AWS アカウントのルートユーザー

を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント ルートユーザーと呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「IAM ユーザーガイド」の「ルートユーザー認証情報が必要なタスク」を参照してください。

IAM ユーザーとグループ

IAM ユーザーは、1 人のユーザーまたは 1 つのアプリケーションに対して特定の許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、IAM ユーザーガイドの「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS」を参照してください。

IAM グループは IAM ユーザーのコレクションを指定し、大量のユーザーのアクセス許可の管理を容易にします。詳細については、「IAM ユーザーガイド」の「IAM ユーザーに関するユースケース」を参照してください。

IAM ロール

IAM ロールは、一時的な認証情報を提供する特定のアクセス許可を持つ ID です。ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロールを引き受けることができます。 AWS CLI AWS 詳細については、「IAM ユーザーガイド」の「ロールを引き受けることができない」を参照してください。

IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行されているアプリケーションに役立ちます。詳細については、「IAM ユーザーガイド」の「IAM でのクロスアカウントリソースアクセス」を参照してください。

ポリシーを使用したアクセスの管理

でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、ID またはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「IAM ユーザーガイド」の「JSON ポリシー概要」を参照してください。

ポリシーを使用して、管理者は、どのプリンシパルがどのリソースに対してどの条件でアクションを実行できるかを定義することで、誰が何にアクセスできるかを指定します。

デフォルトでは、ユーザーやロールに権限はありません。IAM 管理者は IAM ポリシーを作成し、ユーザーが引き受けることができるロールに追加します。IAM ポリシーは、オペレーションの実行方法を問わずアクセス許可を定義します。

アイデンティティベースのポリシー

アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、ロール) にアタッチする JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティが実行できるアクション、リソース、および条件を制御します。アイデンティティベースポリシーの作成方法については、「IAM ユーザーガイド」の「カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する」を参照してください。

ID ベースのポリシーは、インラインポリシー (単一の ID に直接埋め込む) または管理ポリシー (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーおよびインラインポリシーのいずれかを選択する方法については、「IAM ユーザーガイド」の「管理ポリシーとインラインポリシーのいずれかを選択する」を参照してください。

AWS CodeConnections アクセス許可リファレンス

次の表に、各 AWS CodeConnections API オペレーション、アクセス許可を付与できる対応するアクション、およびアクセス許可を付与するために使用するリソース ARN の形式を示します。 AWS CodeConnections APIsは、その API で許可されるアクションの範囲に基づいてテーブルにグループ化されます。IAM アイデンティティ (アイデンティティベースのポリシー) にアタッチできるアクセス許可ポリシーを作成する際、参照してください。

アクセス許可ポリシーを作成するときに、ポリシーの Action フィールドでアクションを指定します。ポリシーの Resource フィールドで、ワイルドカード文字 (*) を使用して、または使用せずに、ARN としてリソース値を指定します。

接続ポリシーで条件を示すには、ここで説明され、条件キー に一覧表示されている条件キーを使用します。 AWS全体の条件キーを使用することもできます。 AWS全体のキーの完全なリストについては、IAM ユーザーガイドの「使用可能なキー」を参照してください。

アクションを指定するには、API オペレーション名 (例えば、codeconnections や codeconnections:ListConnections) の前に codeconnections:CreateConnection プレフィックスを使用します。

ワイルドカードの使用

複数のアクションまたはリソースを指定するには、ARN でワイルドカード文字 (*) を使用します。たとえば、 codeconnections:*は all AWS CodeConnections アクションを指定し、 という単語で始まる all AWS CodeConnections アクションcodeconnections:Get*を指定しますGet。次の例では、MyConnection で始まる名前のすべてのリソースへのアクセスを許可します。

arn:aws:codeconnections:us-west-2:account-ID:connection/*

次のテーブルに示されている 接続リソースでのみワイルドカードを使用できます。ワイルドカードを region または account-id リソースで使用することはできません。ワイルドカードの詳細については、IAM ユーザーガイドの IAM ID を参照してください。

接続を管理するアクセス許可

AWS CLI または SDK を使用して接続を表示、作成、または削除するように指定されたロールまたはユーザーには、以下に制限されたアクセス許可が必要です。

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections

スクロールバーを使用して、テーブルの残りの部分を確認します。

これらのオペレーションでは、次の条件キーがサポートされます。

ホストを管理するためのアクセス許可

AWS CLI または SDK を使用してホストを表示、作成、または削除するように指定されたロールまたはユーザーには、以下に制限されたアクセス許可が必要です。

codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts

スクロールバーを使用して、テーブルの残りの部分を確認します。

これらのオペレーションでは、次の条件キーがサポートされます。

VpcId 条件キーを使用するポリシーの例については、「」を参照してください例: VpcId コンテキストキーを使用してホスト VPC アクセス許可を制限する 。

接続を完了するためのアクセス許可

コンソールで接続を管理するように指定されたロールまたはユーザーは、コンソールで接続を完了し、インストールを作成するために必要なアクセス許可を持っている必要があります。これには、プロバイダーへのハンドシェイクの許可と、使用する接続用のインストールの作成が含まれます。上記のアクセス許可に加えて、次のアクセス許可を使用します。

ブラウザベースのハンドシェイクを実行する際に、コンソールは、次の IAM オペレーションを使用します。ListInstallationTargets、GetInstallationUrl、StartOAuthHandshake、UpdateConnectionInstallation、GetIndividualAccessToken は IAM ポリシーアクセス許可です。API アクションではありません。

codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation

これに基づいて、コンソールで接続を使用、作成、更新、または削除するには、次のアクセス許可が必要です。

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken

スクロールバーを使用して、テーブルの残りの部分を確認します。

これらのオペレーションでは、次の条件キーがサポートされます。

ホスト設定のアクセス許可

コンソールで接続を管理するように指定されたロールまたはユーザーは、コンソールでホストをセットアップするために必要なアクセス許可が必要です。これには、プロバイダーへのハンドシェイクの許可とホストアプリのインストールが含まれます。上記のホストのアクセス許可に加えて、次のアクセス許可を使用します。

ブラウザベースのホスト登録を実行するときに、次の IAM オペレーションがコンソールで使用されます。RegisterAppCode および StartAppRegistrationHandshake は IAM ポリシーのアクセス許可です。API アクションではありません。

codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

これに基づき、以下のアクセス許可を使用して、コンソールでホストを必要とする接続 (インストール済プロバイダータイプなど) を使用、作成、更新、または削除します。

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

スクロールバーを使用して、テーブルの残りの部分を確認します。

これらのオペレーションでは、次の条件キーがサポートされます。

サービスに接続を渡す

サービスに接続を渡す際 (例えば、パイプラインを作成または更新するためにパイプライン定義で接続 ARN が提供されるなど)、ユーザーには codeconnections:PassConnection のアクセス許可が必要です。

スクロールバーを使用して、テーブルの残りの部分を確認します。

このオペレーションでは、次の条件キーもサポートされます。

接続の使用

CodePipeline のようなサービスが接続を使用する場合、サービスロールは特定の接続に対する codeconnections:UseConnection のアクセス許可を持っている必要があります。

コンソールで接続を管理するには、ユーザーポリシーに codeconnections:UseConnection アクセス許可が必要です。

スクロールバーを使用して、テーブルの残りの部分を確認します。

このオペレーションでは、次の条件キーもサポートされます。

一部の機能に必要な条件キーは、時間の経過とともに変化する可能性があります。アクセスコントロールの要件で、異なるアクセス許可が必要でない限り、codeconnections:UseConnection を使用して接続へのアクセスを制御することをお勧めします。

ProviderAction でサポートされるアクセスタイプ

AWS サービスで接続を使用すると、ソースコードプロバイダーに対して API コールが行われます。例えば、https://api.bitbucket.org/2.0/repositories/username API をコールすることによって、サービスは、Bitbucket 接続のリポジトリを一覧表示できます。

ProviderAction 条件キーを使用すると、プロバイダのどの API をコールすることができるかを制限できます。API パスは動的に生成される場合があり、パスはプロバイダーによって異なるため、ProviderAction 値は API の URL ではなく抽象アクション名にマッピングされます。これにより、接続のプロバイダーの種類に関係なく、同じ効果を持つポリシーを書くことができます。

サポートされている各 ProviderAction 値に対して許可されるアクセスタイプは次のとおりです。以下は IAM ポリシーアクセス許可です。API アクションではありません。

スクロールバーを使用して、テーブルの残りの部分を確認します。

接続リソースにタグ付けするためにサポートされているアクセス許可

次の IAM オペレーションは、接続リソースをタグ付けするときに使用されます。

codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource

スクロールバーを使用して、テーブルの残りの部分を確認します。

リポジトリリンクに接続を渡す

同期設定でリポジトリリンクを提供する場合、ユーザーにはリポジトリリンク ARN/リソースに対する codeconnections:PassRepository アクセス許可が必要です。

スクロールバーを使用して、テーブルの残りの部分を確認します。

このオペレーションでは、次の条件キーもサポートされます。

リポジトリリンクでサポートされる条件キー

リポジトリリンクと同期設定リソースの操作は、以下の条件キーでサポートされています。

接続共有でサポートされているアクセス許可

接続を共有するときは、次の IAM オペレーションが使用されます。

codeconnections:GetResourcePolicy

スクロールバーを使用して、テーブルの残りの部分を確認します。

接続共有の詳細については、「」を参照してくださいと接続を共有する AWS アカウント。

コンソールでの通知と接続の使用

この通知エクスペリエンスは、CodeBuild、CodeCommit、CodeDeploy、CodePipeline の各コンソールの他、[設定] ナビゲーションバー自体のデベロッパーツールコンソールにも組み込まれています。コンソールで通知にアクセスするには、それらのサービスにいずれかの管理ポリシーを適用するか、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 AWS アカウントの AWS CodeStar Notifications および AWS CodeConnections リソースの詳細を一覧表示および表示できます。最小限必要な許可よりも厳しく制限されたアイデンティティベースポリシーを作成すると、そのポリシーを添付したエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。これらのコンソールへのアクセスの許可 AWS CodeBuild AWS CodeCommit AWS CodeDeploy、およびそれらのコンソールへのアクセスの許可の詳細については AWS CodePipeline、以下のトピックを参照してください。

AWS CodeStar Notifications には AWS 管理ポリシーはありません。通知機能へのアクセスを提供するには、上記のいずれかのサービスに対する管理ポリシーの 1 つを適用するか、ユーザーまたはエンティティに付与するアクセス許可のレベルでポリシーを作成してから、これらのアクセス許可が必要なユーザー、グループ、またはロールにそれらのポリシーをアタッチする必要があります。詳細については、次の例を参照してください。

AWS CodeConnections には AWS 管理ポリシーはありません。接続を完了するためのアクセス許可 で詳しく説明している許可など、アクセスの許可や許可の組み合わせを使用します。

詳細については次を参照してください:

AWS CLI または AWS API のみを呼び出すユーザーにコンソールのアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。

ユーザーが自分の許可を表示できるようにする

この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}