亚马逊 CodeCatalyst 不再向新买家开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [如何从中迁移 CodeCatalyst](migration.md)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为关联账户配置 IAM 角色
您可以在 AWS Identity and Access Management (IAM) 中为要添加的账户创建角色 CodeCatalyst。如果添加的是计费账户,则无需创建角色。
在您的中 AWS 账户,您必须拥有为要添加到空间中的角色创建角色的权限。 AWS 账户 有关 IAM 角色和策略的更多信息,包括 IAM 参考和策略示例,请参阅 [Identity and Access Management 和亚马逊 CodeCatalyst](security-iam.md)。有关中使用的信任策略和服务主体的更多信息 CodeCatalyst,请参阅[了解 CodeCatalyst 信任模型](trust-model.md)。
在中 CodeCatalyst,您必须使用空间管理员角色登录才能完成向空间添加帐户(以及角色,如果适用)的步骤。
您可以使用以下方法之一为账户连接添加角色。
+ 要创建包含 **CodeCatalystWorkflowDevelopmentRole-*spaceName*** 角色的权限策略和信任策略的服务角色,请参阅 [**CodeCatalystWorkflowDevelopmentRole-*spaceName*** 角色](#spaces-manage-roles-createrole)。
+ 有关创建角色并添加策略以根据蓝图创建项目的示例,请参阅[创建 IAM 角色并使用 CodeCatalyst 信任策略](#ipa-connect-account-createrole)。
+ 有关创建 IAM 角色时要使用的示例角色策略列表,请参阅[使用 IAM 角色授予对项目 AWS 资源的访问权限](ipa-iam-roles.md)。
+ 有关为工作流操作创建角色的详细步骤,请参阅该操作的工作流教程,如下所示:
+ [教程:将构件上传到 Amazon S3](build-deploy.md)
+ [教程:部署无服务器应用程序](deploy-tut-lambda.md)
+ [教程:将应用程序部署到 Amazon ECS](deploy-tut-ecs.md)
+ [教程:使用动作的 Lint 代码 GitHub](integrations-github-action-tutorial.md)
**Topics**
+ [**CodeCatalystWorkflowDevelopmentRole-*spaceName*** 角色](#spaces-manage-roles-createrole)
+ [**AWSRoleForCodeCatalystSupport** 角色](#w2aac25c29c18c17)
+ [创建 IAM 角色并使用 CodeCatalyst 信任策略](#ipa-connect-account-createrole)
## **CodeCatalystWorkflowDevelopmentRole-*spaceName*** 角色
您只需在 IAM 中点击一下,即可创建开发人员角色。您必须在要添加账户的空间中拥有**空间管理员**或**高级用户**角色。您还必须对要添加的 AWS 账户 具有管理权限。
在开始以下步骤之前,您必须 AWS 管理控制台 使用要添加到 CodeCatalyst 空间的相同帐户登录。否则,控制台将返回未知账户错误。
**要创建并添加 CodeCatalyst **CodeCatalystWorkflowDevelopmentRole-*spaceName*****
1. 在开始进入 CodeCatalyst 控制台之前,请先打开 AWS 管理控制台,然后确保您的空间使用相同 AWS 账户 的方式登录。
1. 打开 CodeCatalyst 控制台,[网址为 https://codecatalyst.aws/](https://codecatalyst.aws/)。
1. 导航到您的 CodeCatalyst 空间。选择**设置**,然后选择 **AWS 账户**。
1. 选择要创建角色的 AWS 账户 位置的链接。此时将显示 **AWS 账户 详细信息**页面。
1. **从中选择 “管理角色**” AWS 管理控制台。
“**将 IAM 角色添加到 Amazon CodeCatalyst 空间**” 页面将在中打开 AWS 管理控制台。这是 **Amazon CodeCatalyst 空间**页面。您可能需要登录才能访问该页面。
1. 选择**在 IAM 中创建 CodeCatalyst 开发管理员角色**。此选项将创建一个服务角色,其中包含开发角色的权限策略和信任策略。该角色的名称为 `CodeCatalystWorkflowDevelopmentRole-spaceName`。有关角色和角色策略的更多信息,请参阅[了解 **CodeCatalystWorkflowDevelopmentRole-*spaceName*** 服务角色](ipa-iam-roles.md#ipa-iam-roles-service-role)。
**注意**
此角色仅建议与开发者账户一起使用,并且使用`AdministratorAccess` AWS 托管策略,授予其在其中创建新策略和资源的完全访问权限 AWS 账户。
1. 选择**创建开发角色**。
1. 在连接页面的**可用的 IAM 角色**下 CodeCatalyst,查看添加到您的账户的 IAM 角色列表中的角色。`CodeCatalystWorkflowDevelopmentRole-spaceName`
1. 要返回您的空间,请选择 **Go to Amazon CodeCatalyst**。
## **AWSRoleForCodeCatalystSupport** 角色
您只需在 IAM 中点击一下,即可创建支持角色。您必须在要添加账户的空间中拥有**空间管理员**或**高级用户**角色。您还必须对要添加的 AWS 账户 具有管理权限。
在开始以下步骤之前,您必须 AWS 管理控制台 使用要添加到 CodeCatalyst 空间的相同帐户登录。否则,控制台将返回未知账户错误。
**要创建并添加 CodeCatalyst **AWSRoleForCodeCatalystSupport****
1. 在开始进入 CodeCatalyst 控制台之前,请先打开 AWS 管理控制台,然后确保您的空间使用相同 AWS 账户 的方式登录。
1. 导航到您的 CodeCatalyst 空间。选择**设置**,然后选择 **AWS 账户**。
1. 选择要创建角色的 AWS 账户 位置的链接。此时将显示 **AWS 账户 详细信息**页面。
1. **从中选择 “管理角色**” AWS 管理控制台。
“**将 IAM 角色添加到 Amazon CodeCatalyst 空间**” 页面将在中打开 AWS 管理控制台。这是 **Amazon CodeCatalyst Spaces** 页面。您可能需要登录才能访问该页面。
1. 在**CodeCatalyst 空间详情**下,选择**添加 Su CodeCatalyst pport 角色**。此选项将创建一个服务角色,其中包含预览开发角色的权限策略和信任策略。该角色的名称为 **AWSRoleForCodeCatalystSupport**,并且将附加唯一标识符。有关角色和角色策略的更多信息,请参阅[了解 **AWSRoleForCodeCatalystSupport** 服务角色](ipa-iam-roles.md#ipa-iam-roles-support-role)。
1. 在 “为 Su ** CodeCatalyst pport 添加角色**” 页面上,将默认角色保留为选中状态,然后选择**创建角色**。
1. 在 “**可用的 IAM 角色**” `CodeCatalystWorkflowDevelopmentRole-spaceName` 下 CodeCatalyst,查看添加到您的账户的 IAM 角色列表中的角色。
1. 要返回您的空间,请选择 **Go to Amazon CodeCatalyst**。
## 创建 IAM 角色并使用 CodeCatalyst 信任策略
在 AWS 账户 连接中 CodeCatalyst 使用的 IAM 角色必须配置为使用此处提供的信任策略。使用这些步骤创建 IAM 角色并附加允许您根据蓝图创建项目的策略。 CodeCatalyst
作为替代方法,您可以创建一个服务角色,其中包含 `CodeCatalystWorkflowDevelopmentRole-spaceName` 角色的权限策略和信任策略。有关更多信息,请参阅 [将 IAM 角色添加到账户连接](ipa-connect-account-addroles.md)。
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 选择 **角色**,然后选择 **创建角色**。
1. 选择**自定义信任策略**。
1. 在**自定义信任策略**表单下,粘贴以下信任策略。
```
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst-runner.amazonaws.com",
"codecatalyst.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
}
}
}
]
```
1. 选择**下一步**。
1. 在**添加权限**下,搜索并选择您已在 IAM 中创建的自定义策略。
1. 选择**下一步**。
1. 对于**角色名称**,输入角色的名称,例如:`codecatalyst-project-role`
1. 选择**创建角色**。
1. 复制角色的 Amazon 资源名称(ARN)。在将该角色添加到您的账户关联或环境中时,您需要提供该信息。