As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de identidade e acesso para AWS CodeStar notificações e AWS CodeConnections

AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser autenticado (conectado) e autorizado (tem permissões) a usar AWS CodeStar notificações e AWS CodeConnections recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

Público

A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:

Autenticação com identidades

A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS

Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como AWS IAM Identity Center (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte How to sign in to your Conta da AWS no Guia do usuário do Início de Sessão da AWS .

Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte AWS Signature Version 4 para solicitações de API no Guia do usuário do IAM.

Usuário raiz da conta da AWS

Ao criar um Conta da AWS, você começa com uma identidade de login chamada usuário Conta da AWS raiz que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz para tarefas diárias. Para ver as tarefas que exigem credenciais de usuário-raiz, consulte Tarefas que exigem credenciais de usuário-raiz no Guia do usuário do IAM.

Usuários e grupos do IAM

Usuário do IAM é uma identidade com permissões específicas a uma única pessoa ou aplicação. Recomendamos usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias no Guia do usuário do IAM.

Um grupo do IAM especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte Casos de uso de usuários do IAM no Guia do usuário do IAM.

Perfis do IAM

Perfil do IAM é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função mudando de um usuário para uma função do IAM (console) ou chamando uma operação de AWS API AWS CLI ou. Para obter mais informações, consulte Métodos para assumir um perfil no Manual do usuário do IAM.

As funções do IAM são úteis para acesso de usuários federados, permissões temporárias de usuários do IAM, acesso entre contas, acesso entre serviços e aplicativos executados na Amazon. EC2 Consulte mais informações em Acesso a recursos entre contas no IAM no Guia do usuário do IAM.

Gerenciar o acesso usando políticas

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte Visão geral das políticas de JSON no Guia do usuário do IAM.

Por meio de políticas, os administradores especificam quem tem acesso ao quê, definindo qual entidade principal pode realizar ações em quais recursos e sob quais condições.

Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões independentemente do método usado para executar a operação.

Políticas baseadas em identidade

Políticas baseadas em identidade são documentos de política de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente no Guia do Usuário do IAM.

As políticas baseadas em identidade podem ser políticas em linha (incorporadas diretamente em uma única identidade) ou políticas gerenciadas (políticas independentes anexadas a várias identidades). Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte Escolher entre políticas gerenciadas e políticas em linha no Guia do usuário do IAM.

AWS CodeConnections referência de permissões

As tabelas a seguir listam cada operação de AWS CodeConnections API, as ações correspondentes para as quais você pode conceder permissões e o formato do ARN do recurso a ser usado para conceder permissões. Eles AWS CodeConnections APIs são agrupados em tabelas com base no escopo das ações permitidas por essa API. Consulte-o ao escrever políticas de permissões que você pode anexar a uma identidade do IAM (políticas baseadas em identidade).

Quando você cria uma política de permissões, você especifica as ações no campo Action da política. Você especifica o valor do recurso no campo Resource da política como um ARN, com ou sem um caractere curinga (*).

Para expressar condições nas suas políticas de conexão, use as chaves de condição descritas aqui e listadas em Chaves de condição. Você também pode usar teclas de condição AWS-wide. Para obter uma lista completa AWS de chaves gerais, consulte Chaves disponíveis no Guia do usuário do IAM.

Para especificar uma ação, use o codeconnections prefixo seguido do nome da operação da API (por exemplo, codeconnections:ListConnections ou codeconnections:CreateConnection).

Uso de curingas

Para especificar várias ações ou recursos, use um caractere curinga (*) no seu ARN. Por exemplo, codeconnections:* especifica todas as AWS CodeConnections ações e codeconnections:Get* especifica todas as AWS CodeConnections ações que começam com a palavra. Get O exemplo a seguir concede acesso a todos os repositórios com nomes que começam com MyConnection.

arn:aws:codeconnections:us-west-2:account-ID:connection/*

Você pode usar curingas somente com os connection recursos listados na tabela a seguir. Você não pode usar curingas com region ou account-id recursos. Para obter mais informações sobre curingas, consulte Identificadores do IAM, no Manual do usuário do IAM.

Permissões para gerenciar conexões

Uma função ou usuário designado para usar o SDK AWS CLI ou para visualizar, criar ou excluir conexões deve ter permissões limitadas ao seguinte.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections

Use as barras de rolagem para ver o restante da tabela.

Estas operações oferecem suporte às seguintes chaves de condição:

Permissões para gerenciamento de hosts

Uma função ou usuário designado para usar o SDK AWS CLI ou para visualizar, criar ou excluir hosts deve ter permissões limitadas ao seguinte.

codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts

Use as barras de rolagem para ver o restante da tabela.

Estas operações oferecem suporte às seguintes chaves de condição:

Para ver um exemplo de política que usa a chave de VpcIdcondição, consulteExemplo: limite as permissões de VPC do host usando a VpcIdchave de contexto .

Permissões para concluir conexões

Uma função ou um usuário designado para gerenciar conexões no console deve ter as permissões necessárias para concluir uma conexão no console e criar uma instalação, o que inclui autorizar o handshake para o provedor e criar instalações para conexões a serem usadas. Use as permissões a seguir além das permissões acima.

As seguintes operações do IAM são usadas pelo console ao executar um handshake baseado em navegador. ListInstallationTargets, GetInstallationUrl, StartOAuthHandshake, UpdateConnectionInstallation e GetIndividualAccessToken são permissões de políticas do IAM. Elas não são ações de API.

codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation

Com base nisso, as permissões a seguir são necessárias para usar, criar, atualizar ou excluir uma conexão no console.

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken

Use as barras de rolagem para ver o restante da tabela.

Estas operações oferecem suporte às chaves de condição a seguir.

Permissões para configurar hosts

Uma função ou um usuário designado para gerenciar conexões no console deve ter as permissões necessárias para concluir uma conexão no console, o que inclui autorizar o handshake para o provedor e instalar a aplicação host. Use as permissões a seguir além das permissões para hosts acima.

As seguintes operações do IAM são usadas pelo console ao executar um registro de host baseado em navegador. RegisterAppCode e StartAppRegistrationHandshake são permissões de políticas do IAM. Elas não são ações de API.

codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Com base nisso, as permissões a seguir são necessárias para usar, criar, atualizar ou excluir uma conexão no console que requer um host (como os tipos de provedor instalados).

codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake

Use as barras de rolagem para ver o restante da tabela.

Estas operações oferecem suporte às chaves de condição a seguir.

Transmitir uma conexão para um serviço

Quando uma conexão é passada para um serviço (por exemplo, quando um ARN de conexão é fornecido em uma definição de pipeline para criar ou atualizar um pipeline), o usuário deve ter a codeconnections:PassConnection permissão.

Use as barras de rolagem para ver o restante da tabela.

Esta operação também é compatível com a seguinte chave de condição:

Usar uma conexão

Quando um serviço como CodePipeline usa uma conexão, a função de serviço deve ter a codeconnections:UseConnection permissão para uma determinada conexão.

Para gerenciar conexões no console, a política do usuário deve ter a permissão codeconnections:UseConnection.

Use as barras de rolagem para ver o restante da tabela.

Esta operação também é compatível com as seguintes chaves de condição:

As chaves de condição necessárias para algumas funcionalidades podem mudar ao longo do tempo. Recomendamos que você use codeconnections:UseConnection para controlar o acesso a uma conexão, a menos que seus requisitos de controle de acesso exijam permissões diferentes.

Tipos de acesso suportados para ProviderAction

Quando uma conexão é usada por um AWS serviço, isso resulta em chamadas de API feitas para seu provedor de código-fonte. Por exemplo, um serviço pode listar repositórios para uma conexão Bitbucket chamando a https://api.bitbucket.org/2.0/repositories/username API.

A chave de ProviderAction condição permite que você restrinja qual APIs provedor pode ser chamado. Como o caminho da API pode ser gerado dinamicamente e o caminho varia de provedor para provedor, o valor ProviderAction é mapeado em um nome de ação abstrata em vez do URL da API. Isso permite que você escreva políticas que têm o mesmo efeito, independentemente do tipo de provedor para a conexão.

A seguir estão os tipos de acesso concedidos para cada um dos valores ProviderAction compatíveis: A seguir são mostradas permissões de políticas do IAM. Elas não são ações de API.

Use as barras de rolagem para ver o restante da tabela.

Permissões compatíveis para marcar recursos de conexão

As operações do IAM a seguir são usadas na marcação de recursos de conexão.

codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource

Use as barras de rolagem para ver o restante da tabela.

Transmitir uma conexão a um link de repositório

Quando um link de repositório é fornecido em uma configuração de sincronização, o usuário deve ter a permissão codeconnections:PassRepository para o ARN/recurso do link de repositório.

Use as barras de rolagem para ver o restante da tabela.

Esta operação também é compatível com a seguinte chave de condição:

Chave de condição compatível para links de repositório

As operações para links de repositório e recursos de configuração de sincronização são compatíveis com a seguinte chave de condição:

Permissões suportadas para compartilhamento de conexão

As seguintes operações do IAM são usadas ao compartilhar conexões.

codeconnections:GetResourcePolicy

Use as barras de rolagem para ver o restante da tabela.

Para obter mais informações sobre compartilhamento de conexão, consulteCompartilhe conexões com Contas da AWS.

Uso de notificações e conexões no console

A experiência de notificações é incorporada aos CodePipeline consoles CodeBuild CodeCommit, CodeDeploy,, e, bem como no console de Ferramentas do Desenvolvedor, na própria barra de navegação de Configurações. Para acessar notificações nos consoles, é necessário ter uma das políticas gerenciadas para esses serviços aplicada ou um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre as AWS CodeStar notificações e AWS CodeConnections os recursos em sua AWS conta. Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis do IAM) com essa política. Para obter mais informações sobre como conceder acesso a AWS CodeBuild, AWS CodeCommit, e AWS CodeDeploy AWS CodePipeline, incluindo acesso a esses consoles, consulte os tópicos a seguir:

AWS CodeStar As notificações não têm nenhuma política AWS gerenciada. Para fornecer acesso à funcionalidade de notificação, é necessário aplicar uma das políticas gerenciadas a um dos serviços listados anteriormente ou criar políticas com o nível de permissão que deseja conceder a usuários ou entidades e anexar essas políticas aos usuários, aos grupos ou às funções que exigem essas permissões. Para obter mais informações e exemplo, consulte o seguinte:

AWS CodeConnections não tem nenhuma política AWS gerenciada. Você usa as permissões e combinações de permissões para acesso, como as permissões detalhadas em Permissões para concluir conexões.

Para obter mais informações, consulte:

Você não precisa permitir permissões de console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente às ações que correspondem à operação da API que você está tentando executar.

Permitir que os usuários visualizem suas próprias permissões

Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}