Amazon n' CodeCatalyst est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [Comment effectuer une migration depuis CodeCatalyst](migration.md).

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Sécurité sur Amazon CodeCatalyst
<a name="security"></a>

La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des espaces les plus sensibles en matière de sécurité.

La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à CodeCatalyst, voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par les AWS services que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre entreprise et la législation et la réglementation applicables. 

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'Amazon CodeCatalyst. Il vous explique comment procéder à la configuration CodeCatalyst pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos CodeCatalyst ressources.

**Topics**
+ [Confidentialité des données](data-privacy.md)
+ [Protection des données](data-protection.md)
+ [CodeCatalyst et Identity and Access Management](security-iam.md)
+ [Validation de conformité](compliance-validation.md)
+ [Résilience](disaster-recovery-resiliency.md)
+ [Sécurité de l’infrastructure](infrastructure-security.md)
+ [Analyse de la configuration et des vulnérabilités](vulnerability-analysis-and-management.md)
+ [Vos données et votre confidentialité sur Amazon CodeCatalyst](your-data-privacy.md)
+ [Bonnes pratiques pour les actions de flux de travail](security-best-practices-for-actions.md)
+ [Comprendre le modèle de CodeCatalyst confiance](trust-model.md)

# Confidentialité des données sur Amazon CodeCatalyst
<a name="data-privacy"></a>

CodeCatalyst collecte des informations agrégées dans IAM Identity Center. CodeCatalyst utilise ces données agrégées pour donner accès aux espaces et aux projets dans CodeCatalyst. Les informations agrégées suivantes sont collectées :
+ Nom complet de l'utilisateur
+ Adresse e-mail de l'utilisateur
+ Nom d'utilisateur de l'utilisateur

CodeCatalyst les données sont automatiquement cryptées au repos. Aucune action du client n'est requise. Lorsqu'un utilisateur, un centre d'identité ou un espace est supprimé, les données du CodeCatalyst client sont supprimées dans les 24 heures.

CodeCatalyst utilise des AWS KMS clés AWS détenues par -owned. CodeCatalyst ne prend pas en charge le chiffrement au repos à l'aide de clés KMS gérées par le client pour les attributs d'identité extraits d'IAM Identity Center.

Pour plus d'informations sur AWS KMS les clés, consultez la documentation utilisateur sur [AWS KMS Keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html).

# Protection des données sur Amazon CodeCatalyst
<a name="data-protection"></a>

La sécurité et la conformité sont une responsabilité partagée entre Amazon CodeCatalyst et le client, tout comme le AWS [modèle](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à votre utilisation des AWS ressources utilisées dans un flux de travail. Comme décrit dans ce modèle, CodeCatalyst est responsable de la protection de l'infrastructure globale du service. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Ce modèle de responsabilité partagée s'applique à la protection des données dans CodeCatalyst.

Pour des raisons de protection des données, nous vous recommandons de protéger les informations d'identification de votre compte et de configurer l'authentification multifactorielle lors de la connexion. Pour de plus amples informations, veuillez consulter [Configurez votre AWS Builder ID pour vous connecter à l'aide de l'authentification multifactorielle (MFA)](mfa.md). 

**Ne saisissez pas d'informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou dans des champs de forme libre tels que le champ Nom.** Cela inclut les noms des ressources et tous les autres identifiants que vous entrez CodeCatalyst en plus de ceux qui sont connectés Comptes AWS. Par exemple, ne saisissez pas d'informations confidentielles ou sensibles dans les noms des espaces, des projets ou des flottes de déploiement. Toutes les données que vous entrez dans les balises, les noms ou les champs de forme libre utilisés pour les noms peuvent être utilisées pour les journaux de facturation ou de diagnostic ou peuvent être incluses dans les chemins d'URL. Cela s'applique à l'utilisation de la console, de l'API AWS CLI, de l' CodeCatalyst Action Development Kit ou de tout autre AWS SDKs. 

Si vous fournissez une URL vers un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification de sécurité dans l'URL pour valider votre demande auprès de ce serveur.

CodeCatalyst les référentiels sources sont automatiquement chiffrés au repos. Aucune action du client n'est requise. CodeCatalyst chiffre également les données du référentiel en transit à l'aide du protocole HTTPS. 

CodeCatalyst ne prend pas en charge le chiffrement au repos à l'aide de clés KMS gérées par le client pour les attributs d'identité extraits d'IAM Identity Center.

CodeCatalyst prend en charge le MFA. Pour de plus amples informations, veuillez consulter [Configurez votre AWS Builder ID pour vous connecter à l'aide de l'authentification multifactorielle (MFA)](mfa.md).

## Chiffrement des données
<a name="data-encryption"></a>

CodeCatalyst stocke et transfère les données en toute sécurité au sein du service. Toutes les données sont cryptées en transit et au repos. Toutes les données créées ou stockées par le service, y compris les métadonnées du service, sont stockées nativement dans le service et cryptées.

**Note**  
Bien que les informations relatives aux problèmes soient stockées en toute sécurité au sein du service, les informations relatives aux problèmes en suspens sont également stockées dans le cache local du navigateur où vous avez consulté les forums de discussion, les arriérés et les problèmes individuels. Pour une sécurité optimale, veillez à vider le cache de votre navigateur pour supprimer ces informations. 

Si vous utilisez des ressources liées à CodeCatalyst, par exemple une connexion à un compte Compte AWS ou un référentiel lié GitHub, les données en transit depuis CodeCatalyst cette ressource liée sont cryptées, mais le traitement des données dans cette ressource liée est géré par ce service lié. Pour plus d'informations, consultez la documentation du service lié et[Bonnes pratiques pour les actions de flux de travail sur Amazon CodeCatalyst](security-best-practices-for-actions.md).

### Gestion des clés
<a name="key-management"></a>

CodeCatalystutilise des clés KMS AWS détenues par lui. Cela signifie que les clés sont gérées par le client AWS et qu'il n'a pas besoin de les créer ou de les gérer directement. Cela simplifie la gestion des clés pour les scénarios de chiffrement courants AWS. 

## Confidentialité du trafic inter-réseaux
<a name="inter-network-traffic-privacy"></a>

Lorsque vous créez un espace dans CodeCatalyst, vous choisissez l' Région AWS endroit où les données et les ressources seront stockées pour cet espace. Les données et métadonnées du projet n'en restent jamais là Région AWS. Toutefois, pour faciliter la navigation au sein de la partition CodeCatalyst, un ensemble limité de métadonnées relatives à l'espace, au projet et à l'utilisateur est répliqué sur l'ensemble Régions AWS de la [partition](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/partitions.html). Il ne sera pas répliqué en Régions AWS dehors de cette partition. Par exemple, si vous choisissez **USA West (Oregon)** pour créer votre espace, vos données ne seront pas répliquées dans les régions de Chine ou AWS GovCloud (US). Région AWS Pour plus d'informations, consultez [la section Gestion Régions AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html), [infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure) et [points de terminaison AWS de service](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes).

Les données répliquées à Régions AWS l'intérieur d'une partition incluent :
+ Une valeur de hachage cryptée qui représente le nom de l'espace afin de garantir l'unicité des noms d'espace. Cette valeur n'est pas lisible par l'homme et n'expose pas les noms réels des espaces
+ L'identifiant unique de l'espace
+ Métadonnées pour l'espace qui facilitent la navigation dans les espaces
+ L' Région AWS endroit où se trouve l'espace
+ L'unique IDs de tous les projets de l'espace
+ L'ID de rôle qui indique le rôle d'un utilisateur dans un espace ou un projet
+ Lors de l'inscription CodeCatalyst, les données et métadonnées relatives au processus d'inscription, notamment :
  + L'identifiant unique du ID de constructeur AWS
  + Le nom d'affichage de l'utilisateur dans son ID de constructeur AWS
  + L'alias de l'utilisateur dans son ID de constructeur AWS
  + L'adresse e-mail utilisée lorsque l'utilisateur s'est inscrit à son ID de constructeur AWS
  + L'état d'avancement du processus d'inscription
  + Si vous créez un espace dans le cadre du processus d'inscription, l' Compte AWS identifiant utilisé comme compte de facturation pour l'espace

Les noms d'espaces sont uniques d'un bout à l'autre CodeCatalyst. Veillez à ne pas inclure de données sensibles dans le nom de l'espace.

Lorsque vous travaillez avec des ressources liées et des comptes connectés tels qu'une connexion à un référentiel Compte AWS ou à un GitHub référentiel, nous vous recommandons de configurer vos emplacements source et de destination avec le niveau de sécurité le plus élevé que chacun d'entre eux prend en charge. CodeCatalyst sécurise la connexion entre Comptes AWS Régions AWS, et les zones de disponibilité en utilisant le protocole TLS (Transport Layer Security) 1.2.



# Identity and Access Management et Amazon CodeCatalyst
<a name="security-iam"></a>

Dans Amazon CodeCatalyst, vous créez et utilisez un AWS Builder ID pour vous connecter et accéder à vos espaces et projets. Un AWS Builder ID n'est pas une identité dans Gestion des identités et des accès AWS (IAM) et n'existe pas dans un Compte AWS. Cependant, il CodeCatalyst s'intègre à IAM lors de la vérification d'un espace à des fins de facturation et lorsqu'il est connecté Compte AWS à un espace pour y créer et utiliser des Compte AWS ressources.

Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Des administrateurs IAM contrôlent les personnes qui *s'authentifient* (sont connectées) et *sont autorisées* (disposent d'autorisations) à utiliser des ressources . IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.

Lorsque vous créez un espace sur Amazon CodeCatalyst, vous devez en connecter un Compte AWS comme compte de facturation pour votre espace. Vous devez disposer des autorisations d'administrateur Compte AWS pour vérifier l' CodeCatalyst espace, ou vous devez avoir l'autorisation. Vous avez également la possibilité d'ajouter un rôle IAM à votre espace, qui CodeCatalyst peut être utilisé pour créer et accéder aux ressources de l'espace connecté Compte AWS. C'est ce qu'on appelle un [rôle de service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Vous pouvez choisir de créer des connexions avec plusieurs comptes Compte AWS et de créer des rôles de service pour CodeCatalyst chacun de ces comptes. 

**Note**  
La facturation CodeCatalyst a lieu sur le compte Compte AWS désigné comme étant le compte de facturation. Toutefois, si vous créez un rôle de CodeCatalyst service dans ce rôle Compte AWS ou dans tout autre service connecté Compte AWS, les ressources créées et utilisées par le rôle de CodeCatalyst service seront facturées dans ce rôle connecté Compte AWS. Pour plus d'informations, consultez [la section Gestion de la facturation](https://docs.aws.amazon.com/codecatalyst/latest/adminguide/managing-billing.html) dans le manuel Amazon CodeCatalyst Administrator Guide.

**Topics**
+ [Politiques basées sur l'identité dans IAM](#id-based-policies)
+ [Actions politiques dans IAM](#id-based-policies-actions)
+ [Ressources relatives aux politiques dans IAM](#id-based-policies-resources)
+ [Clés de conditions de politique dans IAM](#id-based-policies-conditionkeys)
+ [Exemples de politiques basées sur l'identité pour les connexions CodeCatalyst](#id-based-policy-examples)
+ [Utilisation de balises pour contrôler l'accès aux ressources de connexion au compte](id-based-policy-examples-tags.md)
+ [CodeCatalyst référence aux autorisations](#permissions-reference)
+ [Utilisation de rôles liés à un service pour CodeCatalyst](using-service-linked-roles.md)
+ [AWS politiques gérées pour Amazon CodeCatalyst](security-iam-awsmanpol.md)
+ [Accorder l'accès aux AWS ressources du projet avec des rôles IAM](ipa-iam-roles.md)

## Politiques basées sur l'identité dans IAM
<a name="id-based-policies"></a>

Les politiques basées sur l'identité sont des documents de politique d'autorisation JSON que vous pouvez joindre à une identité. Cette identité peut être un utilisateur, un groupe d'utilisateurs ou un rôle. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.

Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Vous ne pouvez pas spécifier le principal dans une politique basée sur une identité, car celle-ci s’applique à l’utilisateur ou au rôle auquel elle est attachée. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.

### Exemples de politiques basées sur l'identité pour CodeCatalyst
<a name="id-based-policies-examples"></a>



Pour consulter des exemples de politiques CodeCatalyst basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour les connexions CodeCatalyst](#id-based-policy-examples)

## Actions politiques dans IAM
<a name="id-based-policies-actions"></a>

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C'est-à-dire quel **principal** peut effectuer quelles **actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Les actions de stratégie portent généralement le même nom que l'opération AWS d'API associée. Il existe quelques exceptions, telles que les *actions avec autorisations uniquement* qui n’ont pas d’opération API correspondante. Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées *actions dépendantes*.

Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.

```
"Action": [
      "prefix:action1",
      "prefix:action2"
         ]
```

## Ressources relatives aux politiques dans IAM
<a name="id-based-policies-resources"></a>

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C'est-à-dire quel **principal** peut effectuer quelles **actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Les instructions doivent inclure un élément `Resource` ou `NotResource`. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination *autorisations de niveau ressource*.

Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.

```
"Resource": "*"
```

## Clés de conditions de politique dans IAM
<a name="id-based-policies-conditionkeys"></a>

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C'est-à-dire quel **principal** peut effectuer quelles **actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Condition` (ou le *bloc* `Condition`) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément `Condition` est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. 

Si vous spécifiez plusieurs éléments `Condition` dans une instruction, ou plusieurs clés dans un seul élément `Condition`, AWS les évalue à l’aide d’une opération `AND` logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l’aide d’une opération `OR` logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.

 Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Pour plus d’informations, consultez [Éléments d’une politique IAM : variables et identifications](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dans le *Guide de l’utilisateur IAM*. 

AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour afficher toutes les clés de condition globales AWS , consultez [Clés de contexte de condition globales AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *Guide de l’utilisateur IAM*.

## Exemples de politiques basées sur l'identité pour les connexions CodeCatalyst
<a name="id-based-policy-examples"></a>

Dans CodeCatalyst, Comptes AWS sont nécessaires pour gérer la facturation d'un espace et pour accéder aux ressources dans les flux de travail du projet. Une connexion au compte est utilisée pour autoriser l'ajout Comptes AWS à un espace. Des politiques basées sur l'identité sont utilisées dans le connecté. Comptes AWS

Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources CodeCatalyst. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l'API AWS Management Console, AWS Command Line Interface (AWS CLI) ou de AWS l'API. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des actions sur les ressources dont ils ont besoin. L'administrateur doit ensuite attacher ces stratégies aux utilisateurs qui en ont besoin.

Les exemples de politiques IAM suivants accordent des autorisations pour les actions liées aux connexions aux comptes. Utilisez-les pour limiter l'accès à des comptes connectés à CodeCatalyst.

### Exemple 1 : Autoriser un utilisateur à accepter des demandes de connexion en une seule fois Région AWS
<a name="id-based-policy-examples-accept-only"></a>

La politique d'autorisation suivante permet uniquement aux utilisateurs de consulter et d'accepter les demandes de connexion entre CodeCatalyst et Comptes AWS. En outre, la politique utilise une condition pour autoriser uniquement les actions dans la région us-west-2 et non depuis une autre région. Régions AWS Pour consulter et approuver la demande, l'utilisateur se connecte AWS Management Console avec le même compte que celui spécifié dans la demande. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:GetPendingConnection"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": "us-west-2"
        }
      }
    }
  ]
}
```

------

### Exemple 2 : Autoriser la gestion des connexions dans la console pour un Région AWS
<a name="id-based-policy-examples-allow"></a>

La politique d'autorisation suivante permet aux utilisateurs de gérer les connexions entre CodeCatalyst et Comptes AWS dans une même région. La politique utilise une condition pour autoriser uniquement les actions dans la région us-west-2 et non depuis une autre région. Régions AWS Après avoir créé une connexion, vous pouvez créer le **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle en choisissant l'option dans le AWS Management Console. Dans l'exemple de politique, la condition de l'`iam:PassRole`action inclut les principes de service pour CodeCatalyst. Seuls les rôles dotés de cet accès seront créés dans le AWS Management Console.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codecatalyst:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": "us-west-2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "codecatalyst.amazonaws.com",
                        "codecatalyst-runner.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### Exemple 3 : Refuser la gestion des connexions
<a name="id-based-policy-examples-deny"></a>

La politique d'autorisation suivante refuse aux utilisateurs toute possibilité de gérer les connexions entre CodeCatalyst et Comptes AWS.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "codecatalyst:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Utilisation de balises pour contrôler l'accès aux ressources de connexion au compte
<a name="id-based-policy-examples-tags"></a>

Les balises peuvent être attachées à la ressource ou transmises dans la demande aux services qui prennent en charge le balisage. Les ressources des politiques peuvent comporter des balises, et certaines actions des politiques peuvent inclure des balises. Les clés de condition de balisage incluent les clés `aws:RequestTag` de `aws:ResourceTag` condition et. Lorsque vous créez une stratégie IAM, vous pouvez utiliser des clés de condition de balise pour contrôler les éléments suivants :
+ Quels utilisateurs peuvent effectuer des actions sur une ressource de connexion, en fonction des balises qu'elle possède déjà.
+ quelles balises peuvent être transmises dans une demande d’action ;
+ si des clés de balise spécifiques peuvent être utilisées dans une demande.

Les exemples suivants montrent comment spécifier des conditions de balise dans les politiques relatives aux connexions de CodeCatalyst compte pour les utilisateurs. Pour plus d’informations sur les clés de condition, consultez [Clés de conditions de politique dans IAM](security-iam.md#id-based-policies-conditionkeys).

## Exemple 1 : Autoriser les actions en fonction des balises contenues dans la demande
<a name="id-based-policy-examples-tags-request"></a>

La politique suivante autorise les utilisateurs à approuver les connexions aux comptes.

Pour ce faire, elle autorise les actions `AcceptConnection` et `TagResource` si la demande spécifie une balise nommée `Project` avec la valeur `ProjectA`. (La clé de condition `aws:RequestTag` est utilisée pour contrôler les balises qui peuvent être transmises dans une demande IAM.) La condition `aws:TagKeys` garantit que la clé de balise est sensible à la casse.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Project": "ProjectA"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["Project"]
        }
      }
    }
  ]
}
```

------

## Exemple 2 : Autoriser les actions en fonction des balises de ressources
<a name="id-based-policy-examples-tags-resource"></a>

La politique suivante autorise les utilisateurs à effectuer des actions sur les ressources de connexion au compte et à obtenir des informations sur celles-ci.

Pour ce faire, il autorise des actions spécifiques si la connexion possède une balise nommée `Project` avec la valeur`ProjectA`. (La clé de condition `aws:ResourceTag` est utilisée pour contrôler les balises qui peuvent être transmises dans une demande IAM.)

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:GetConnection",
        "codecatalyst:DeleteConnection",
        "codecatalyst:AssociateIamRoleToConnection",
        "codecatalyst:DisassociateIamRoleFromConnection",
        "codecatalyst:ListIamRolesForConnection",
        "codecatalyst:PutBillingAuthorization"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "ProjectA"
        }
      }
    }
  ]
}
```

------

## CodeCatalyst référence aux autorisations
<a name="permissions-reference"></a>

Cette section fournit une référence d'autorisations pour les actions utilisées avec la ressource de connexion au compte à Comptes AWS laquelle vous êtes connecté CodeCatalyst. La section suivante décrit les actions relatives aux autorisations uniquement liées à la connexion de comptes.

### Autorisations requises pour les connexions aux comptes
<a name="permissions-reference-connections"></a>

 Les autorisations suivantes sont requises pour utiliser les connexions aux comptes.


****  

| CodeCatalyst autorisations pour les connexions aux comptes | Autorisations requises | Ressources | 
| --- | --- | --- | 
| AcceptConnection | Nécessaire pour accepter une demande de connexion de ce compte à un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. |  Prend en charge uniquement un caractère générique (\$1) dans l'élément `Resource` de stratégie.  | 
| AssociateIamRoleToConnection | Nécessaire pour associer un rôle IAM à une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| DeleteConnection | Nécessaire pour supprimer une connexion au compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| DisassociateIamRoleFromConnection | Nécessaire pour dissocier un rôle IAM d'une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| GetBillingAuthorization | Obligatoire pour décrire l'autorisation de facturation pour une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| GetConnection | Nécessaire pour établir une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| GetPendingConnection | Nécessaire pour obtenir une demande en attente pour connecter ce compte à un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. |  Prend en charge uniquement un caractère générique (\$1) dans l'élément `Resource` de stratégie.  | 
| ListConnections | Obligatoire pour répertorier les connexions aux comptes qui ne sont pas en attente. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. |  Prend en charge uniquement un caractère générique (\$1) dans l'élément `Resource` de stratégie.  | 
| ListIamRolesForConnection | Obligatoire pour répertorier les rôles IAM associés à une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| ListTagsForResource | Obligatoire pour répertorier les tags associés à une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| PutBillingAuthorization | Nécessaire pour créer ou mettre à jour l'autorisation de facturation pour une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| RejectConnection | Nécessaire pour rejeter une demande de connexion de ce compte à un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. |  Prend en charge uniquement un caractère générique (\$1) dans l'élément `Resource` de stratégie.  | 
| TagResource | Nécessaire pour créer ou modifier des balises associées à une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 
| UntagResource | Nécessaire pour supprimer les tags associés à une connexion à un compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID | 

### Autorisations requises pour les applications IAM Identity Center
<a name="permissions-reference-applications"></a>

 Les autorisations suivantes sont requises pour utiliser les applications IAM Identity Center.


****  

| CodeCatalyst autorisations pour les applications IAM Identity Center | Autorisations requises | Ressources | 
| --- | --- | --- | 
| AssociateIdentityCenterApplicationToSpace | Nécessaire pour associer une application IAM Identity Center à un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| AssociateIdentityToIdentityCenterApplication | Nécessaire pour associer une identité à une application IAM Identity Center pour un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| BatchAssociateIdentitiesToIdentityCenterApplication | Nécessaire pour associer plusieurs identités à une application IAM Identity Center pour un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| BatchDisassociateIdentitiesFromIdentityCenterApplication | Nécessaire pour dissocier plusieurs identités d'une application IAM Identity Center pour un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| CreateIdentityCenterApplication | Nécessaire pour créer une application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| CreateSpaceAdminRoleAssignment | Nécessaire pour créer une attribution de rôle d'administrateur pour un CodeCatalyst espace donné et une application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| DeleteIdentityCenterApplication | Nécessaire pour supprimer une application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| DisassociateIdentityCenterApplicationFromSpace | Nécessaire pour dissocier une application IAM Identity Center d'un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| DisassociateIdentityFromIdentityCenterApplication | Nécessaire pour dissocier une identité d'une application IAM Identity Center pour un CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| GetIdentityCenterApplication | Nécessaire pour obtenir des informations sur une application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| ListIdentityCenterApplications | Nécessaire pour consulter la liste de toutes les applications IAM Identity Center du compte. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. |  Prend en charge uniquement un caractère générique (\$1) dans l'élément `Resource` de stratégie.  | 
| ListIdentityCenterApplicationsForSpace | Nécessaire pour afficher la liste des applications IAM Identity Center par CodeCatalyst espace. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| ListSpacesForIdentityCenterApplication | Nécessaire pour afficher la liste des CodeCatalyst espaces par application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| SynchronizeIdentityCenterApplication | Nécessaire pour synchroniser une application IAM Identity Center avec le magasin d'identités sous-jacent. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 
| UpdateIdentityCenterApplication | Nécessaire pour mettre à jour une application IAM Identity Center. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID | 

# Utilisation de rôles liés à un service pour CodeCatalyst
<a name="using-service-linked-roles"></a>

Amazon CodeCatalyst utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. CodeCatalyst Les rôles liés au service sont prédéfinis par CodeCatalyst et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. 

Un rôle lié à un service facilite la configuration CodeCatalyst car vous n'avez pas à ajouter manuellement les autorisations nécessaires. CodeCatalyst définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul CodeCatalyst peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos CodeCatalyst ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.

## Autorisations de rôle liées à un service pour CodeCatalyst
<a name="slr-permissions"></a>

CodeCatalyst utilise le rôle lié au service nommé **AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**— Autorise Amazon à accéder en CodeCatalyst lecture seule aux profils d'instance d'application et aux utilisateurs et groupes de l'annuaire associés en votre nom.

Le rôle lié à un service AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization approuve les services suivants pour endosser le rôle :
+ `codecatalyst.amazonaws.com`

La politique d'autorisations de rôle nommée AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy CodeCatalyst permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `View application instance profiles and associated directory users and groups` pour `CodeCatalyst spaces that support identity federation and SSO users and groups`

Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.

## Création d'un rôle lié à un service pour CodeCatalyst
<a name="create-slr"></a>

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un espace dans le AWS Management Console, le ou l' AWS API AWS CLI, vous CodeCatalyst créez le rôle lié au service pour vous. 

**Important**  
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. De plus, si vous utilisiez le CodeCatalyst service avant le 17 novembre 2023, date à laquelle il a commencé à prendre en charge les rôles liés au service, vous avez CodeCatalyst créé le AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization rôle dans votre compte. Pour en savoir plus, voir [Un nouveau rôle est apparu dans mon Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un espace, il CodeCatalyst crée à nouveau le rôle lié au service pour vous. 

Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le cas d'utilisation des **profils d'instance d'application View et des utilisateurs et groupes d'annuaires associés**. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `codecatalyst.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.

## Modification d'un rôle lié à un service pour CodeCatalyst
<a name="edit-slr"></a>

CodeCatalyst ne vous permet pas de modifier le rôle AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Supprimer un rôle lié à un service pour CodeCatalyst
<a name="delete-slr"></a>

Vous n’avez pas besoin de supprimer manuellement le rôle AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization. Lorsque vous supprimez un espace dans l'API AWS Management Console, le AWS CLI ou l' AWS API, les ressources CodeCatalyst sont nettoyées et le rôle lié au service est supprimé pour vous.

Vous pouvez également utiliser la console IAM AWS CLI ou l' AWS API pour supprimer manuellement le rôle lié à un service. Pour ce faire, vous devez commencer par nettoyer les ressources de votre rôle lié à un service. Vous pouvez ensuite supprimer ce rôle manuellement.

**Note**  
Si le CodeCatalyst service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

**Pour supprimer CodeCatalyst les ressources utilisées par AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**
+ [Supprimez l'espace](https://docs.aws.amazon.com/codecatalyst/latest/userguide/spaces-delete.htm).

**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Régions prises en charge pour les rôles CodeCatalyst liés à un service
<a name="slr-regions"></a>

CodeCatalyst prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html).

CodeCatalyst ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le rôle AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization dans les régions suivantes :


****  

| Nom de la région | Identité de la région | Support dans CodeCatalyst | 
| --- | --- | --- | 
| USA Est (Virginie du Nord) | us-east-1 | Non | 
| USA Est (Ohio) | us-east-2 | Non | 
| USA Ouest (Californie du Nord) | us-west-1 | Non | 
| USA Ouest (Oregon) | us-west-2 | Oui | 
| Afrique (Le Cap) | af-south-1 | Non | 
| Asie-Pacifique (Hong Kong) | ap-east-1 | Non | 
| Asie-Pacifique (Jakarta) | ap-southeast-3 | Non | 
| Asie-Pacifique (Mumbai) | ap-south-1 | Non | 
| Asie-Pacifique (Osaka) | ap-northeast-3 | Non | 
| Asie-Pacifique (Séoul) | ap-northeast-2 | Non | 
| Asie-Pacifique (Singapour) | ap-southeast-1 | Non | 
| Asie-Pacifique (Sydney) | ap-southeast-2 | Non | 
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Non | 
| Canada (Centre) | ca-central-1 | Non | 
| Europe (Francfort) | eu-central-1 | Non | 
| Europe (Irlande) | eu-west-1 | Oui | 
| Europe (Londres) | eu-west-2 | Non | 
| Europe (Milan) | eu-south-1 | Non | 
| Europe (Paris) | eu-west-3 | Non | 
| Europe (Stockholm) | eu-north-1 | Non | 
| Moyen-Orient (Bahreïn) | me-south-1 | Non | 
| Moyen-Orient (EAU) | me-central-1 | Non | 
| Amérique du Sud (São Paulo) | sa-east-1 | Non | 
| AWS GovCloud (USA Est) | us-gov-east-1 | Non | 
| AWS GovCloud (US-Ouest) | us-gov-west-1 | Non | 

# AWS politiques gérées pour Amazon CodeCatalyst
<a name="security-iam-awsmanpol"></a>





Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.













## AWS politique gérée : AmazonCodeCatalystSupportAccess
<a name="security-iam-awsmanpol-AmazonCodeCatalystSupportAccess"></a>





Il s'agit d'une politique qui autorise tous les administrateurs de l'espace et les membres de l'espace à utiliser le plan de support Premium Business ou Enterprise associé au compte de facturation de l'espace. Ces autorisations permettent aux administrateurs de l'espace et aux membres d'utiliser le plan d'assistance premium pour les ressources auxquelles ils sont autorisés dans le cadre des politiques d' CodeCatalyst autorisation.



**Détails de l’autorisation**

Cette politique inclut les autorisations suivantes.




+ `support`— Accorde des autorisations permettant aux utilisateurs de rechercher, de créer et de résoudre des demandes de AWS support. Accorde également des autorisations pour décrire les communications, les niveaux de gravité, les pièces jointes et les détails du dossier d'assistance associés.



------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "support:DescribeAttachment",
        "support:DescribeCaseAttributes",
        "support:DescribeCases",
        "support:DescribeCommunications",
        "support:DescribeIssueTypes",
        "support:DescribeServices",
        "support:DescribeSeverityLevels",
        "support:DescribeSupportLevel",
        "support:SearchForCases",
        "support:AddAttachmentsToSet",
        "support:AddCommunicationToCase",
        "support:CreateCase",
        "support:InitiateCallForCase",
        "support:InitiateChatForCase",
        "support:PutCaseAttributes",
        "support:RateCaseCommunication",
        "support:ResolveCase"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## AWS politique gérée : AmazonCodeCatalystFullAccess
<a name="security-iam-awsmanpol-AmazonCodeCatalystFullAccess"></a>





Il s'agit d'une politique qui accorde des autorisations pour gérer votre CodeCatalyst espace et les comptes connectés sur la page Amazon CodeCatalyst Spaces du AWS Management Console. Cette application est utilisée pour configurer Comptes AWS ceux qui sont connectés à votre espace dans CodeCatalyst.



**Détails de l’autorisation**

Cette politique inclut les autorisations suivantes.




+ `codecatalyst`— Accorde des autorisations complètes à la page Amazon CodeCatalyst Spaces dans le AWS Management Console.



------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CodeCatalystResourceAccess",
            "Effect": "Allow",
            "Action": [
                "codecatalyst:*",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CodeCatalystAssociateIAMRole",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "codecatalyst.amazonaws.com",
                        "codecatalyst-runner.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

## AWS politique gérée : AmazonCodeCatalystReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonCodeCatalystReadOnlyAccess"></a>





Il s'agit d'une politique qui accorde l'autorisation de consulter et de répertorier les informations relatives aux espaces et aux comptes connectés sur la page Amazon CodeCatalyst Spaces du AWS Management Console. Cette application est utilisée pour configurer Comptes AWS ceux qui sont connectés à votre espace dans CodeCatalyst.



**Détails de l’autorisation**

Cette politique inclut les autorisations suivantes.




+ `codecatalyst`— Accorde des autorisations en lecture seule à la page Amazon CodeCatalyst Spaces dans le. AWS Management Console



------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codecatalyst:Get*",
                "codecatalyst:List*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## AWS politique gérée : AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy
<a name="security-iam-awsmanpol-AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy"></a>



Vous ne pouvez pas attacher AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy ; à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet d' CodeCatalyst effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour CodeCatalyst](using-service-linked-roles.md).



Cette politique permet aux clients de consulter les profils des instances d'application ainsi que les utilisateurs et groupes de répertoires associés lors de la gestion des espaces dans CodeCatalyst. Les clients consulteront ces ressources lorsqu'ils géreront des espaces prenant en charge la fédération d'identités et les utilisateurs et groupes SSO.



**Détails de l’autorisation**

Cette politique inclut les autorisations suivantes.




+ `sso`— Accorde des autorisations permettant aux utilisateurs de consulter les profils d'instances d'applications gérés dans IAM Identity Center pour les espaces associés dans CodeCatalyst.



------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy",
			"Effect": "Allow",
			"Action": [
				"sso:ListInstances",
				"sso:ListApplications",
				"sso:ListApplicationAssignments",
				"sso:DescribeInstance",
				"sso:DescribeApplication"
			],
			"Resource": "*"
		}
	]
}
```

------

## CodeCatalyst mises à jour des politiques AWS gérées
<a name="security-iam-awsmanpol-updates"></a>



Consultez les détails des mises à jour des politiques AWS gérées CodeCatalyst depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page [Historique du CodeCatalyst document](doc-history.md).




| Modifier | Description | Date | 
| --- | --- | --- | 
|  [AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy](#security-iam-awsmanpol-AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy) : nouvelle politique  |  CodeCatalyst a ajouté la politique. Accorde des autorisations permettant aux CodeCatalyst utilisateurs de consulter les profils des instances d'applications ainsi que les utilisateurs et groupes d'annuaires associés.  | 17 novembre 2023 | 
|  [AmazonCodeCatalystSupportAccess](#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess) : nouvelle politique  |  CodeCatalyst a ajouté la politique. Accorde des autorisations permettant aux CodeCatalyst utilisateurs de rechercher, de créer et de résoudre des demandes d'assistance, ainsi que de consulter les communications et les détails connexes.  | 20 avril 2023 | 
|  [AmazonCodeCatalystFullAccess](#security-iam-awsmanpol-AmazonCodeCatalystFullAccess) : nouvelle politique  |  CodeCatalyst a ajouté la politique. Accorde un accès complet à CodeCatalyst.  | 20 avril 2023 | 
|  [AmazonCodeCatalystReadOnlyAccess](#security-iam-awsmanpol-AmazonCodeCatalystReadOnlyAccess) : nouvelle politique  |  CodeCatalyst a ajouté la politique. Accorde un accès en lecture seule à. CodeCatalyst  | 20 avril 2023 | 
|  CodeCatalyst a commencé à suivre les modifications  |  CodeCatalyst a commencé à suivre les modifications apportées AWS à ses politiques gérées.  | 20 avril 2023 | 



# Accorder l'accès aux AWS ressources du projet avec des rôles IAM
<a name="ipa-iam-roles"></a>

CodeCatalyst pouvez accéder aux AWS ressources en vous connectant Compte AWS à un CodeCatalyst espace. Vous pouvez ensuite créer les rôles de service suivants et les associer lorsque vous connectez votre compte.

Pour plus d'informations sur les éléments que vous utilisez dans une politique JSON, consultez la [référence des éléments de stratégie JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le guide de l'*utilisateur IAM*.
+ Pour accéder aux ressources dans et Compte AWS pour vos CodeCatalyst projets et flux de travail, vous devez d'abord autoriser l'accès CodeCatalyst à ces ressources en votre nom. Pour ce faire, vous devez créer un rôle de service dans un connecté Compte AWS qui CodeCatalyst peut assumer la responsabilité des utilisateurs et des projets de l'espace. Vous pouvez soit choisir de créer et d'utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service, soit créer des rôles de service personnalisés et configurer ces politiques et rôles IAM manuellement. Il est recommandé d'attribuer à ces rôles le moins d'autorisations nécessaires.
**Note**  
Pour les rôles de service personnalisés, le principal CodeCatalyst de service est requis. Pour plus d'informations sur le principal CodeCatalyst de service et le modèle de confiance, consultez[Comprendre le modèle de CodeCatalyst confiance](trust-model.md).
+ Pour gérer le support d'un espace via le connected Compte AWS, vous pouvez choisir de créer et d'utiliser le rôle de **AWSRoleForCodeCatalystSupport**service qui permet aux CodeCatalyst utilisateurs d'accéder au support. Pour plus d'informations sur la prise en charge d'un CodeCatalyst espace, consultez[Support pour Amazon CodeCatalyst](support.md).



## Comprendre le rôle **CodeCatalystWorkflowDevelopmentRole-*spaceName***du service
<a name="ipa-iam-roles-service-role"></a>

Vous pouvez ajouter un rôle IAM à votre espace qui CodeCatalyst peut être utilisé pour créer des ressources et y accéder dans un espace connecté Compte AWS. C'est ce qu'on appelle un [rôle de service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Le moyen le plus simple de créer un rôle de service consiste à en ajouter un lorsque vous créez l'espace et à choisir l'**CodeCatalystWorkflowDevelopmentRole-*spaceName***option correspondant à ce rôle. Cela crée non seulement le rôle de service avec les `AdministratorAccess` éléments attachés, mais également la politique de confiance qui permet CodeCatalyst d'assumer le rôle au nom des utilisateurs dans les projets de l'espace. Le rôle de service est limité à l'espace, et non à des projets individuels. Pour créer ce rôle, consultez [Création du **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle pour votre compte et votre espace](#ipa-iam-roles-service-create). Vous ne pouvez créer qu'un seul rôle pour chaque espace de chaque compte.

**Note**  
Ce rôle est uniquement recommandé pour les comptes de développement et utilise la politique `AdministratorAccess` AWS gérée, ce qui lui donne un accès complet pour créer de nouvelles politiques et ressources dans ce cadre Compte AWS.

La politique associée au **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle est conçue pour fonctionner avec des projets créés avec des plans dans l'espace. Il permet aux utilisateurs de ces projets de développer, de créer, de tester et de déployer du code en utilisant les ressources du Connected Compte AWS. Pour plus d'informations, consultez [la section Création d'un rôle pour un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).

La politique attachée au **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle est la stratégie `AdministratorAccess` gérée dans AWS. Il s'agit d'une politique qui accorde un accès complet à toutes les AWS actions et ressources. Pour consulter le document de politique JSON dans la console IAM, consultez [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess).

La politique de confiance suivante permet CodeCatalyst d'assumer le **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle. Pour plus d'informations sur le modèle de CodeCatalyst confiance, consultez[Comprendre le modèle de CodeCatalyst confiance](trust-model.md).

```
"Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
             "Principal": { 
                "Service": [ 
                    "codecatalyst-runner.amazonaws.com",
                    "codecatalyst.amazonaws.com" 
                ] 
            }, 
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
                }
            }
        }
    ]
```

## Création du **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle pour votre compte et votre espace
<a name="ipa-iam-roles-service-create"></a>

Suivez ces étapes pour créer le `CodeCatalystWorkflowDevelopmentRole-spaceName` rôle qui sera utilisé pour les flux de travail de votre espace. Pour chaque compte pour lequel vous souhaitez attribuer des rôles IAM à utiliser dans des projets, vous devez ajouter à votre espace un rôle tel que le rôle de développeur. 

Avant de commencer, vous devez disposer de privilèges administratifs pour votre administrateur Compte AWS ou être en mesure de travailler avec celui-ci. Pour plus d'informations sur la manière dont Comptes AWS les rôles IAM et IAM sont utilisés dans CodeCatalyst, consultez[Permettre l'accès aux AWS ressources avec Connected Comptes AWS](ipa-connect-account.md).

**Pour créer et ajouter CodeCatalyst **CodeCatalystWorkflowDevelopmentRole-*spaceName*****

1. Avant de commencer dans la CodeCatalyst console, ouvrez le AWS Management Console, puis assurez-vous que vous êtes connecté avec le même identifiant Compte AWS pour votre espace.

1. Ouvrez la CodeCatalyst console à l'[adresse https://codecatalyst.aws/](https://codecatalyst.aws/).

1. Accédez à votre CodeCatalyst espace. Choisissez **Settings (Paramètres)**, puis **Comptes AWS**.

1. Choisissez le lien correspondant à l' Compte AWS endroit où vous souhaitez créer le rôle. La page **Compte AWS de détails** s'affiche.

1. Choisissez **Gérer les rôles à partir de AWS Management Console**. 

   La page **Ajouter un rôle IAM à Amazon CodeCatalyst Space** s'ouvre dans le AWS Management Console. Voici la page **Amazon CodeCatalyst Spaces**. Il se peut que vous deviez vous connecter pour accéder à la page.

1. Choisissez **Créer un rôle d'administrateur de CodeCatalyst développement dans IAM**. Cette option crée un rôle de service qui contient la politique d'autorisation et la politique de confiance pour le rôle de développement. Le rôle aura un nom`CodeCatalystWorkflowDevelopmentRole-spaceName`. Pour plus d'informations sur le rôle et la politique de rôle, consultez[Comprendre le rôle **CodeCatalystWorkflowDevelopmentRole-*spaceName***du service](#ipa-iam-roles-service-role).
**Note**  
Ce rôle est uniquement recommandé pour les comptes de développeur et utilise la politique `AdministratorAccess` AWS gérée, ce qui lui donne un accès complet pour créer de nouvelles politiques et ressources dans ce cadre Compte AWS.

1. Choisissez **Créer un rôle de développement**.

1. Sur la page des connexions, sous **Rôles IAM disponibles pour CodeCatalyst**, consultez le `CodeCatalystWorkflowDevelopmentRole-spaceName` rôle dans la liste des rôles IAM ajoutés à votre compte.

1. Pour retourner dans votre espace, choisissez **Go to Amazon CodeCatalyst**.

## Comprendre le rôle **AWSRoleForCodeCatalystSupport**du service
<a name="ipa-iam-roles-support-role"></a>

Vous pouvez ajouter un rôle IAM à votre espace que CodeCatalyst les utilisateurs d'un espace peuvent utiliser pour créer des dossiers d'assistance et y accéder. C'est ce qu'on appelle un [rôle de service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) pour le support. Le moyen le plus simple de créer un rôle de service pour le support est d'en ajouter un lorsque vous créez l'espace et de choisir l'`AWSRoleForCodeCatalystSupport`option pour ce rôle. Cela crée non seulement la politique et le rôle, mais également la politique de confiance qui permet d' CodeCatalyst assumer le rôle au nom des utilisateurs dans les projets de l'espace. Le rôle de service est limité à l'espace, et non à des projets individuels. Pour créer ce rôle, consultez [Création du **AWSRoleForCodeCatalystSupport**rôle pour votre compte et votre espace](#ipa-iam-roles-support-create).

La politique attachée au `AWSRoleForCodeCatalystSupport` rôle est une politique gérée qui donne accès aux autorisations de support. Pour de plus amples informations, veuillez consulter [AWS politique gérée : AmazonCodeCatalystSupportAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess).

Le rôle de confiance de la politique permet CodeCatalyst d'assumer le rôle. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "codecatalyst.amazonaws.com",
                    "codecatalyst-runner.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

## Création du **AWSRoleForCodeCatalystSupport**rôle pour votre compte et votre espace
<a name="ipa-iam-roles-support-create"></a>

Suivez ces étapes pour créer le `AWSRoleForCodeCatalystSupport` rôle qui sera utilisé pour les demandes d'assistance dans votre espace. Le rôle doit être ajouté au compte de facturation désigné pour l'espace.

Avant de commencer, vous devez disposer de privilèges administratifs pour votre administrateur Compte AWS ou être en mesure de travailler avec celui-ci. Pour plus d'informations sur la manière dont Comptes AWS les rôles IAM et IAM sont utilisés dans CodeCatalyst, consultez[Permettre l'accès aux AWS ressources avec Connected Comptes AWS](ipa-connect-account.md).

**Pour créer et ajouter CodeCatalyst **AWSRoleForCodeCatalystSupport****

1. Avant de commencer dans la CodeCatalyst console, ouvrez le AWS Management Console, puis assurez-vous que vous êtes connecté avec le même identifiant Compte AWS pour votre espace.

1. Accédez à votre CodeCatalyst espace. Choisissez **Settings (Paramètres)**, puis **Comptes AWS**.

1. Choisissez le lien correspondant à l' Compte AWS endroit où vous souhaitez créer le rôle. La page **Compte AWS de détails** s'affiche.

1. Choisissez **Gérer les rôles à partir de AWS Management Console**. 

   La page **Ajouter un rôle IAM à Amazon CodeCatalyst Space** s'ouvre dans le AWS Management Console. Voici la page **Amazon CodeCatalyst Spaces**. Il se peut que vous deviez vous connecter pour accéder à la page.

1. Sous **Détails de CodeCatalyst l'espace**, choisissez **Ajouter un rôle de CodeCatalyst support**. Cette option crée un rôle de service qui contient la politique d'autorisation et la politique de confiance pour le rôle de développement préliminaire. Le rôle portera un nom **AWSRoleForCodeCatalystSupport**avec un identifiant unique ajouté. Pour plus d'informations sur le rôle et la politique de rôle, consultez[Comprendre le rôle **AWSRoleForCodeCatalystSupport**du service](#ipa-iam-roles-support-role).

1. Sur la page **Ajouter un rôle pour le CodeCatalyst support**, laissez la valeur par défaut sélectionnée, puis choisissez **Créer un rôle**.

1. Sous **Rôles IAM disponibles pour CodeCatalyst**, consultez le `CodeCatalystWorkflowDevelopmentRole-spaceName` rôle dans la liste des rôles IAM ajoutés à votre compte.

1. Pour retourner dans votre espace, choisissez **Go to Amazon CodeCatalyst**.

## Configuration des rôles IAM pour les actions de flux de travail dans CodeCatalyst
<a name="ipa-iam-roles-policies"></a>

Cette section décrit les rôles et les politiques IAM que vous pouvez créer pour les utiliser avec votre CodeCatalyst compte. Pour obtenir des instructions sur la création d'exemples de rôles, consultez[Création manuelle de rôles pour les actions de flux de travail](#ipa-iam-roles-actions). Après avoir créé votre rôle IAM, copiez l'ARN du rôle pour ajouter le rôle IAM à la connexion de votre compte et associez-le à l'environnement de votre projet. Pour en savoir plus, veuillez consulter la section [Ajout de rôles IAM à des connexions de compte](ipa-connect-account-addroles.md).

### CodeCatalyst rôle de construction pour l'accès à Amazon S3
<a name="ipa-iam-rolepolicy-BuildRoleS3"></a>

Pour les actions de création de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM nommé **CodeCatalystBuildRoleforS3Access**. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les CloudFormation ressources de votre Compte AWS.

Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Écrivez dans des compartiments Amazon S3.
+ Support à la création de ressources avec CloudFormation. Cela nécessite un accès à Amazon S3.

Ce rôle utilise la politique suivante :

**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

```
"Resource": "*"
```

### CodeCatalyst créer un rôle pour CloudFormation
<a name="ipa-iam-rolepolicy-BuildRoleCloudFormation"></a>

Pour les actions de création de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les CloudFormation ressources de votre Compte AWS.

Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Support à la création de ressources avec CloudFormation. Cela est requis, de même que le rôle de CodeCatalyst création pour l'accès à Amazon S3 et le rôle de CodeCatalyst déploiement pour CloudFormation.

Les politiques AWS gérées suivantes doivent être associées à ce rôle :
+ **AWSCloudFormationFullAccess**
+ **IAMFullAccès**
+ **Amazon S3 FullAccess**
+ **APIGatewayAdministrateur Amazon**
+ **AWSLambdaFullAccess**

### CodeCatalyst rôle de construction pour CDK
<a name="ipa-iam-rolepolicy-BuildRoleCDK"></a>

Pour les CodeCatalyst flux de travail qui exécutent des actions de génération du CDK, tels que les applications Web modernes à trois niveaux, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit démarrer et exécuter les commandes de génération du CDK pour les CloudFormation ressources de votre. Compte AWS

Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Écrivez dans des compartiments Amazon S3.
+ Support à la création de structures CDK et de piles de CloudFormation ressources. Cela nécessite l'accès à Amazon S3 pour le stockage des artefacts, à Amazon ECR pour le support des référentiels d'images et à SSM pour la gouvernance et la surveillance du système pour les instances virtuelles.

Ce rôle utilise la politique suivante :

**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

```
"Resource": "*"
```

### CodeCatalyst rôle de déploiement pour CloudFormation
<a name="ipa-iam-rolepolicy-DeployCloudFormation"></a>

Pour les actions de déploiement de CodeCatalyst flux de travail qui utilisent CloudFormation, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou vous pouvez utiliser une politique avec des autorisations étendues qui CodeCatalyst doit exécuter des tâches sur les CloudFormation ressources de votre Compte AWS.

Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Permet CodeCatalyst d'invoquer une fonction λ pour effectuer blue/green le déploiement CloudFormation.
+ Permet de CodeCatalyst créer et de mettre à jour des piles et des ensembles de modifications dans. CloudFormation

Ce rôle utilise la politique suivante :

```
{"Action": [
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:Describe*",
        "cloudformation:UpdateStack",
        "cloudformation:CreateChangeSet",
        "cloudformation:DeleteChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:SetStackPolicy",
        "cloudformation:ValidateTemplate",
        "cloudformation:List*",
        "iam:PassRole"
    ],
    "Resource": "resource_ARN",
    "Effect": "Allow"
}
```

**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

```
"Resource": "*"
```

### CodeCatalyst rôle de déploiement pour Amazon EC2
<a name="ipa-iam-rolepolicy-DeployEC2"></a>

CodeCatalyst les actions de déploiement du flux de travail utilisent un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon EC2 de votre. Compte AWS La politique par défaut pour le **CodeCatalystWorkflowDevelopmentRole-*spaceName***rôle n'inclut pas les autorisations pour Amazon EC2 ou Amazon EC2 Auto Scaling.

Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Créez des déploiements Amazon EC2.
+ Lisez les balises d'une instance ou identifiez une instance Amazon EC2 à l'aide des noms de groupes Auto Scaling. 
+ Lisez, créez, mettez à jour et supprimez les groupes Amazon EC2 Auto Scaling, les hooks de cycle de vie et les politiques de dimensionnement.
+ Publiez des informations dans les rubriques Amazon SNS.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Lisez et mettez à jour Elastic Load Balancing.

Ce rôle utilise la politique suivante :

**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

```
"Resource": "*"
```

### CodeCatalyst rôle de déploiement pour Amazon ECS
<a name="ipa-iam-rolepolicy-DeployECS"></a>

Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM pour les actions de déploiement à utiliser pour les CodeCatalyst déploiements Lambda. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon ECS de votre Compte AWS.

Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lancez le déploiement progressif d'Amazon ECS pour le compte d'un CodeCatalyst utilisateur, sur un compte spécifié dans la CodeCatalyst connexion.
+ Lisez, mettez à jour et supprimez des ensembles de tâches Amazon ECS.
+ Mettez à jour les groupes cibles, les auditeurs et les règles d'Elastic Load Balancing.
+ Appelez les fonctions Lambda.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Publiez des informations dans les rubriques Amazon SNS.

Ce rôle utilise la politique suivante :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
    "Action":[
      "ecs:DescribeServices",
      "ecs:CreateTaskSet",
      "ecs:DeleteTaskSet",
      "ecs:ListClusters",
      "ecs:RegisterTaskDefinition",
      "ecs:UpdateServicePrimaryTaskSet",
      "ecs:UpdateService",
      "elasticloadbalancing:DescribeTargetGroups",
      "elasticloadbalancing:DescribeListeners",
      "elasticloadbalancing:ModifyListener",
      "elasticloadbalancing:DescribeRules",
      "elasticloadbalancing:ModifyRule",
      "lambda:InvokeFunction",
      "lambda:ListFunctions",
      "cloudwatch:DescribeAlarms",
      "sns:Publish",
      "sns:ListTopics", 
      "s3:GetObject",
      "s3:GetObjectVersion",
      "codedeploy:CreateApplication", 
      "codedeploy:CreateDeployment", 
      "codedeploy:CreateDeploymentGroup", 
      "codedeploy:GetApplication", 
      "codedeploy:GetDeployment", 
      "codedeploy:GetDeploymentGroup", 
      "codedeploy:ListApplications", 
      "codedeploy:ListDeploymentGroups", 
      "codedeploy:ListDeployments", 
      "codedeploy:StopDeployment", 
      "codedeploy:GetDeploymentTarget", 
      "codedeploy:ListDeploymentTargets", 
      "codedeploy:GetDeploymentConfig", 
      "codedeploy:GetApplicationRevision", 
      "codedeploy:RegisterApplicationRevision", 
      "codedeploy:BatchGetApplicationRevisions", 
      "codedeploy:BatchGetDeploymentGroups", 
      "codedeploy:BatchGetDeployments", 
      "codedeploy:BatchGetApplications", 
      "codedeploy:ListApplicationRevisions", 
      "codedeploy:ListDeploymentConfigs", 
      "codedeploy:ContinueDeployment"           
   ],
   "Resource":"*",
   "Effect":"Allow"
},{"Action":[
      "iam:PassRole"
   ],
   "Effect":"Allow",
   "Resource":"*",
   "Condition":{"StringLike":{"iam:PassedToService":[
            "ecs-tasks.amazonaws.com",
            "codedeploy.amazonaws.com"
         ]
      }
   }
}]
}
```

------

**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

```
"Resource": "*"
```

### CodeCatalyst rôle de déploiement pour Lambda
<a name="ipa-iam-rolepolicy-DeployLambda"></a>

 Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM pour les actions de déploiement à utiliser pour les CodeCatalyst déploiements Lambda. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS

Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lisez, mettez à jour et invoquez des fonctions et des alias Lambda.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les alarmes liées CloudWatch aux événements.
+ Publiez des informations dans les rubriques Amazon SNS.

Ce rôle utilise la politique suivante :

**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

```
"Resource": "*"
```

### CodeCatalyst rôle de déploiement pour Lambda
<a name="ipa-iam-rolepolicy-DeployLambda"></a>

Pour les actions de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS

Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lisez, mettez à jour et invoquez des fonctions et des alias Lambda.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.
+ Publiez des informations dans les rubriques Amazon SNS.

Ce rôle utilise la politique suivante :

**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

```
"Resource": "*"
```

### CodeCatalyst rôle de déploiement pour AWS SAM
<a name="ipa-iam-rolepolicy-DeploySAM"></a>

Pour les actions de CodeCatalyst flux de travail, vous pouvez utiliser le rôle de **CodeCatalystWorkflowDevelopmentRole-*spaceName***service par défaut ou créer un rôle IAM avec les autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches AWS SAM et CloudFormation des ressources sur votre Compte AWS.

Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Permet CodeCatalyst d'invoquer une fonction Lambda pour effectuer le déploiement d'applications sans serveur et d'applications CLI AWS SAM .
+ Permet de CodeCatalyst créer et de mettre à jour des piles et des ensembles de modifications dans. CloudFormation

Ce rôle utilise la politique suivante :

**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

```
"Resource": "*"
```

### CodeCatalyst rôle en lecture seule pour Amazon EC2
<a name="ipa-iam-rolepolicy-ReadOnlyEC2"></a>

Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon EC2 de votre. Compte AWS Le rôle **CodeCatalystWorkflowDevelopmentRole-*spaceName***de service n'inclut pas les autorisations pour Amazon EC2 ni les actions décrites pour Amazon. CloudWatch

Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Obtenez le statut des instances Amazon EC2.
+ Obtenez CloudWatch des statistiques pour les instances Amazon EC2.

Ce rôle utilise la politique suivante :

**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

```
"Resource": "*"
```

### CodeCatalyst rôle en lecture seule pour Amazon ECS
<a name="ipa-iam-rolepolicy-ReadOnlyECS"></a>

Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Amazon ECS de votre Compte AWS.

Ce rôle autorise les utilisateurs à effectuer les opérations suivantes :
+ Lisez les ensembles de tâches Amazon ECS. 
+ Récupérez des informations sur les CloudWatch alarmes.

Ce rôle utilise la politique suivante :

**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

```
"Resource": "*"
```

### CodeCatalyst rôle en lecture seule pour Lambda
<a name="ipa-iam-rolepolicy-ReadOnlyLambda"></a>

Pour les actions CodeCatalyst de flux de travail, vous pouvez créer un rôle IAM doté des autorisations nécessaires. Ce rôle utilise une politique avec des autorisations délimitées qui CodeCatalyst doit exécuter des tâches sur les ressources Lambda de votre. Compte AWS

Ce rôle donne des autorisations pour ce qui suit :
+  Lisez les fonctions Lambda et les alias.
+ Accédez aux fichiers de révision dans les compartiments Amazon S3.
+ Récupérez des informations sur les CloudWatch alarmes.

Le rôle utilise la stratégie suivante.

**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

```
"Resource": "*"
```

## Création manuelle de rôles pour les actions de flux de travail
<a name="ipa-iam-roles-actions"></a>

CodeCatalyst les actions de flux de travail utilisent les rôles IAM que vous créez, appelés **rôle de construction**, **rôle de déploiement** et **rôle de pile**.

Suivez ces étapes pour créer ces rôles dans IAM.

**Pour créer un rôle de déploiement**

1. Créez une politique pour le rôle, comme suit :

   1. Connectez-vous à AWS.

   1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Dans le panneau de navigation, choisissez **Politiques**.

   1. Choisissez **Create Policy** (Créer une politique).

   1. Choisissez l'onglet **JSON**.

   1. Supprimez le code existant.

   1. Collez le code suivant :
**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

      ```
      "Resource": "*"
      ```

   1. Choisissez **Suivant : Balises**.

   1. Choisissez **Suivant : Vérification**.

   1. Dans **Nom**, entrez :

      ```
      codecatalyst-deploy-policy
      ```

   1. Choisissez **Create Policy** (Créer une politique).

      Vous venez de créer une politique d'autorisation.

1. Créez le rôle de déploiement comme suit :

   1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.

   1. Choisissez **Politique de confiance personnalisée**.

   1. Supprimez la politique de confiance personnalisée existante.

   1. Ajoutez la politique de confiance personnalisée suivante :

   1. Choisissez **Suivant**.

   1. Dans **Politiques d'autorisations**, recherchez `codecatalyst-deploy-policy` et cochez la case correspondante.

   1. Choisissez **Suivant**.

   1. Dans **Nom du rôle**, entrez :

      ```
      codecatalyst-deploy-role
      ```

   1. Pour la **description du rôle**, entrez :

      ```
      CodeCatalyst deploy role
      ```

   1. Choisissez **Créer un rôle**.

   Vous venez de créer un rôle de déploiement avec une politique de confiance et une politique d'autorisations.

1. Obtenez l'ARN du rôle de déploiement, comme suit :

   1. Dans le panneau de navigation, choisissez **Rôles**.

   1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-deploy-role`).

   1. Choisissez le rôle dans la liste.

      La page **Résumé** du rôle apparaît.

   1. En haut, copiez la valeur de l'**ARN**.

   Vous avez maintenant créé le rôle de déploiement avec les autorisations appropriées et obtenu son ARN.

**Pour créer un rôle de build**

1. Créez une politique pour le rôle, comme suit :

   1. Connectez-vous à AWS.

   1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Dans le panneau de navigation, choisissez **Politiques**.

   1. Choisissez **Create Policy** (Créer une politique).

   1. Choisissez l'onglet **JSON**.

   1. Supprimez le code existant.

   1. Collez le code suivant :
**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

      ```
      "Resource": "*"
      ```

   1. Choisissez **Suivant : Balises**.

   1. Choisissez **Suivant : Vérification**.

   1. Dans **Nom**, entrez :

      ```
      codecatalyst-build-policy
      ```

   1. Choisissez **Create Policy** (Créer une politique).

      Vous venez de créer une politique d'autorisation.

1. Créez le rôle de build, comme suit :

   1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.

   1. Choisissez **Politique de confiance personnalisée**.

   1. Supprimez la politique de confiance personnalisée existante.

   1. Ajoutez la politique de confiance personnalisée suivante :

   1. Choisissez **Suivant**.

   1. Dans **Politiques d'autorisations**, recherchez `codecatalyst-build-policy` et cochez la case correspondante.

   1. Choisissez **Suivant**.

   1. Dans **Nom du rôle**, entrez :

      ```
      codecatalyst-build-role
      ```

   1. Pour la **description du rôle**, entrez :

      ```
      CodeCatalyst build role
      ```

   1. Choisissez **Créer un rôle**.

   Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.

1. Obtenez l'ARN du rôle de build, comme suit :

   1. Dans le panneau de navigation, choisissez **Rôles**.

   1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-build-role`).

   1. Choisissez le rôle dans la liste.

      La page **Résumé** du rôle apparaît.

   1. En haut, copiez la valeur de l'**ARN**.

   Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.

**Pour créer un rôle de pile**
**Note**  
Il n'est pas nécessaire de créer un rôle de pile, bien que cela soit recommandé pour des raisons de sécurité. Si vous ne créez pas le rôle de pile, vous devrez ajouter les politiques d'autorisation décrites plus loin dans cette procédure au rôle de déploiement.

1. Connectez-vous à AWS l'aide du compte sur lequel vous souhaitez déployer votre stack.

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le volet de navigation, sélectionnez **Rôles**, puis sélectionnez **Créer un rôle**.

1. En haut de la page, sélectionnez le **AWS service**.

1. Dans la liste des services, sélectionnez **CloudFormation**.

1. Choisissez **Suivant : Autorisations**.

1. Dans le champ de recherche, ajoutez les politiques nécessaires pour accéder aux ressources de votre pile. Par exemple, si votre pile inclut une AWS Lambda fonction, vous devez ajouter une politique qui accorde l'accès à Lambda.
**Astuce**  
Si vous ne savez pas quelles politiques ajouter, vous pouvez les omettre pour le moment. Lorsque vous testez l'action, si vous ne disposez pas des autorisations appropriées CloudFormation , des erreurs indiquent les autorisations que vous devez ajouter.

1. Choisissez **Suivant : Balises**.

1. Choisissez **Suivant : Vérification**.

1. Dans **Nom du rôle**, entrez :

   ```
   codecatalyst-stack-role
   ```

1. Choisissez **Créer un rôle**.

1. Pour obtenir l'ARN du rôle de pile, procédez comme suit :

   1. Dans le panneau de navigation, choisissez **Rôles**.

   1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-stack-role`).

   1. Choisissez le rôle dans la liste.

   1. Sur la page **Résumé**, copiez la valeur **ARN du rôle**.

## Utilisation AWS CloudFormation pour créer des politiques et des rôles dans IAM
<a name="ipa-iam-roles-cfn"></a>

Vous pouvez choisir de créer et d'utiliser des AWS CloudFormation modèles pour créer les politiques et les rôles dont vous avez besoin pour accéder aux ressources dans et Compte AWS pour vos CodeCatalyst projets et flux de travail. CloudFormation est un service qui vous aide à modéliser et à configurer vos AWS ressources afin que vous puissiez passer moins de temps à gérer ces ressources et plus de temps à vous concentrer sur les applications qui s'exécutent sur AWS. Si vous avez l'intention de créer plusieurs rôles Comptes AWS, la création d'un modèle peut vous aider à effectuer cette tâche plus rapidement.

L'exemple de modèle suivant crée un rôle et une politique d'action de déploiement.

```
Parameters:
  CodeCatalystAccountId:
    Type: String
    Description: Account ID from the connections page
  ExternalId:
    Type: String
    Description: External ID from the connections page
Resources:
  CrossAccountRole:
    Type: 'AWS::IAM::Role'
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref CodeCatalystAccountId
            Action:
              - 'sts:AssumeRole'
            Condition:
              StringEquals:
                sts:ExternalId: !Ref ExternalId
      Path: /
      Policies:
        - PolicyName: CodeCatalyst-CloudFormation-action-policy
          PolicyDocument:
            Version: "2012-10-17"		 	 	 
            Statement:
              - Effect: Allow
                Action:
                  - 'cloudformation:CreateStack'
                  - 'cloudformation:DeleteStack'
                  - 'cloudformation:Describe*'
                  - 'cloudformation:UpdateStack'
                  - 'cloudformation:CreateChangeSet'
                  - 'cloudformation:DeleteChangeSet'
                  - 'cloudformation:ExecuteChangeSet'
                  - 'cloudformation:SetStackPolicy'
                  - 'cloudformation:ValidateTemplate'
                  - 'cloudformation:List*'
                  - 'iam:PassRole'
                Resource: '*'
```

## Création manuelle du rôle pour le plan de l'application Web
<a name="ipa-iam-roles-webapp-blueprint"></a>

**Le plan d'application CodeCatalyst Web utilise les rôles IAM que vous créez, appelés **rôle de construction pour CDK**, rôle de **déploiement et rôle** de pile.**

Procédez comme suit pour créer le rôle dans IAM.

**Pour créer un rôle de build**

1. Créez une politique pour le rôle, comme suit :

   1. Connectez-vous à AWS.

   1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Dans le panneau de navigation, choisissez **Politiques**.

   1. Choisissez **Create Policy** (Créer une politique).

   1. Choisissez l'onglet **JSON**.

   1. Supprimez le code existant.

   1. Collez le code suivant :
**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

      ```
      "Resource": "*"
      ```

   1. Choisissez **Suivant : Balises**.

   1. Choisissez **Suivant : Vérification**.

   1. Dans **Nom**, entrez :

      ```
      codecatalyst-webapp-build-policy
      ```

   1. Choisissez **Create Policy** (Créer une politique).

      Vous venez de créer une politique d'autorisation.

1. Créez le rôle de build, comme suit :

   1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.

   1. Choisissez **Politique de confiance personnalisée**.

   1. Supprimez la politique de confiance personnalisée existante.

   1. Ajoutez la politique de confiance personnalisée suivante :

   1. Choisissez **Suivant**.

   1. Associez la politique d'autorisations au rôle de build. Sur la page **Ajouter des autorisations**, dans la section **Politiques d'autorisations**, recherchez `codecatalyst-webapp-build-policy` et cochez la case correspondante.

   1. Choisissez **Suivant**.

   1. Dans **Nom du rôle**, entrez :

      ```
      codecatalyst-webapp-build-role
      ```

   1. Pour la **description du rôle**, entrez :

      ```
      CodeCatalyst Web app build role
      ```

   1. Choisissez **Créer un rôle**.

   Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.

1. Associez la politique d'autorisations au rôle de build, comme suit :

   1. Dans le volet de navigation, choisissez **Rôles**, puis recherchez`codecatalyst-webapp-build-role`. ``

   1. Choisissez `codecatalyst-webapp-build-role` d'en afficher les détails. ``

   1. Dans l'onglet **Autorisations**, choisissez **Ajouter des autorisations**, puis choisissez **Joindre des politiques**.

   1. Recherchez`codecatalyst-webapp-build-policy`, cochez sa case, puis choisissez **Joindre des politiques**.

      Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.

1. Obtenez l'ARN du rôle de build, comme suit :

   1. Dans le panneau de navigation, choisissez **Rôles**.

   1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-webapp-build-role`).

   1. Choisissez le rôle dans la liste.

      La page **Résumé** du rôle apparaît.

   1. En haut, copiez la valeur de l'**ARN**.

   Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.

## Création manuelle de rôles pour le plan SAM
<a name="ipa-iam-roles-SAM-blueprint"></a>

Le plan CodeCatalyst SAM utilise les rôles IAM que vous créez, appelés rôle de création CloudFormation et **rôle** de **déploiement pour** SAM.

Suivez ces étapes pour créer les rôles dans IAM.

**Pour créer un rôle de build pour CloudFormation**

1. Créez une politique pour le rôle, comme suit :

   1. Connectez-vous à AWS.

   1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Dans le panneau de navigation, choisissez **Politiques**.

   1. Choisissez **Create Policy** (Créer une politique).

   1. Choisissez l'onglet **JSON**.

   1. Supprimez le code existant.

   1. Collez le code suivant :

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "s3:*",
                      "cloudformation:*"
                  ],
                  "Resource": "*"
              }
          ]
      }
      ```

------
**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

      ```
      "Resource": "*"
      ```

   1. Choisissez **Suivant : Balises**.

   1. Choisissez **Suivant : Vérification**.

   1. Dans **Nom**, entrez :

      ```
      codecatalyst-SAM-build-policy
      ```

   1. Choisissez **Create Policy** (Créer une politique).

      Vous venez de créer une politique d'autorisation.

1. Créez le rôle de build, comme suit :

   1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.

   1. Choisissez **Politique de confiance personnalisée**.

   1. Supprimez la politique de confiance personnalisée existante.

   1. Ajoutez la politique de confiance personnalisée suivante :

   1. Choisissez **Suivant**.

   1. Associez la politique d'autorisations au rôle de build. Sur la page **Ajouter des autorisations**, dans la section **Politiques d'autorisations**, recherchez `codecatalyst-SAM-build-policy` et cochez la case correspondante.

   1. Choisissez **Suivant**.

   1. Dans **Nom du rôle**, entrez :

      ```
      codecatalyst-SAM-build-role
      ```

   1. Pour la **description du rôle**, entrez :

      ```
      CodeCatalyst SAM build role
      ```

   1. Choisissez **Créer un rôle**.

   Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.

1. Associez la politique d'autorisations au rôle de build, comme suit :

   1. Dans le volet de navigation, choisissez **Rôles**, puis recherchez`codecatalyst-SAM-build-role`. ``

   1. Choisissez `codecatalyst-SAM-build-role` d'en afficher les détails. ``

   1. Dans l'onglet **Autorisations**, choisissez **Ajouter des autorisations**, puis choisissez **Joindre des politiques**.

   1. Recherchez`codecatalyst-SAM-build-policy`, cochez sa case, puis choisissez **Joindre des politiques**.

      Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.

1. Obtenez l'ARN du rôle de build, comme suit :

   1. Dans le panneau de navigation, choisissez **Rôles**.

   1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-SAM-build-role`).

   1. Choisissez le rôle dans la liste.

      La page **Résumé** du rôle apparaît.

   1. En haut, copiez la valeur de l'**ARN**.

   Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.

**Pour créer un rôle de déploiement pour SAM**

1. Créez une politique pour le rôle, comme suit :

   1. Connectez-vous à AWS.

   1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Dans le panneau de navigation, choisissez **Politiques**.

   1. Choisissez **Create Policy** (Créer une politique).

   1. Choisissez l'onglet **JSON**.

   1. Supprimez le code existant.

   1. Collez le code suivant :
**Note**  
La première fois que le rôle est utilisé pour exécuter des actions de flux de travail, utilisez le caractère générique dans la déclaration de politique de ressources, puis définissez la stratégie avec le nom de la ressource une fois celle-ci disponible.  

      ```
      "Resource": "*"
      ```

   1. Choisissez **Suivant : Balises**.

   1. Choisissez **Suivant : Vérification**.

   1. Dans **Nom**, entrez :

      ```
      codecatalyst-SAM-deploy-policy
      ```

   1. Choisissez **Create Policy** (Créer une politique).

      Vous venez de créer une politique d'autorisation.

1. Créez le rôle de build, comme suit :

   1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.

   1. Choisissez **Politique de confiance personnalisée**.

   1. Supprimez la politique de confiance personnalisée existante.

   1. Ajoutez la politique de confiance personnalisée suivante :

   1. Choisissez **Suivant**.

   1. Associez la politique d'autorisations au rôle de build. Sur la page **Ajouter des autorisations**, dans la section **Politiques d'autorisations**, recherchez `codecatalyst-SAM-deploy-policy` et cochez la case correspondante.

   1. Choisissez **Suivant**.

   1. Dans **Nom du rôle**, entrez :

      ```
      codecatalyst-SAM-deploy-role
      ```

   1. Pour la **description du rôle**, entrez :

      ```
      CodeCatalyst SAM deploy role
      ```

   1. Choisissez **Créer un rôle**.

   Vous avez maintenant créé un rôle de build avec une politique de confiance et une politique d'autorisations.

1. Associez la politique d'autorisations au rôle de build, comme suit :

   1. Dans le volet de navigation, choisissez **Rôles**, puis recherchez`codecatalyst-SAM-deploy-role`. ``

   1. Choisissez `codecatalyst-SAM-deploy-role` d'en afficher les détails. ``

   1. Dans l'onglet **Autorisations**, choisissez **Ajouter des autorisations**, puis choisissez **Joindre des politiques**.

   1. Recherchez`codecatalyst-SAM-deploy-policy`, cochez sa case, puis choisissez **Joindre des politiques**.

      Vous avez maintenant associé la politique d'autorisations au rôle de build. Le rôle de création dispose désormais de deux politiques : une politique d'autorisation et une politique de confiance.

1. Obtenez l'ARN du rôle de build, comme suit :

   1. Dans le panneau de navigation, choisissez **Rôles**.

   1. Dans le champ de recherche, entrez le nom du rôle que vous venez de créer (`codecatalyst-SAM-deploy-role`).

   1. Choisissez le rôle dans la liste.

      La page **Résumé** du rôle apparaît.

   1. En haut, copiez la valeur de l'**ARN**.

   Vous avez maintenant créé le rôle de build avec les autorisations appropriées et obtenu son ARN.

# Validation de conformité pour Amazon CodeCatalyst
<a name="compliance-validation"></a>

Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .

Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).

# Résilience chez Amazon CodeCatalyst
<a name="disaster-recovery-resiliency"></a>

L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseau à latence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.

Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/). Pour en savoir plus sur CodeCatalyst les données qui sont répliquées Régions AWS, consultez[Protection des données sur Amazon CodeCatalyst](data-protection.md).

# Sécurité de l'infrastructure sur Amazon CodeCatalyst
<a name="infrastructure-security"></a>

En tant que service géré, Amazon CodeCatalyst est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.

Vous utilisez des appels d'API AWS publiés pour accéder CodeCatalyst via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

# Analyse de configuration et de vulnérabilité sur Amazon CodeCatalyst
<a name="vulnerability-analysis-and-management"></a>

La configuration et les contrôles informatiques sont une responsabilité partagée entre vous AWS et vous, notre client. Pour plus d'informations, consultez le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/).

# Vos données et votre confidentialité sur Amazon CodeCatalyst
<a name="your-data-privacy"></a>

Amazon CodeCatalyst prend le respect de votre vie privée très au sérieux, et la sécurité de vos informations est notre priorité absolue. Vous pouvez en savoir plus sur la manière dont nous traitons vos informations dans la [AWS Politique de confidentialité](https://aws.amazon.com/privacy/). 

Pour demander et consulter vos données, consultez la section [Demande de vos données](https://docs.aws.amazon.com/general/latest/gr/privacy-aws_builder_id.html#request-delete-aws_builder_id) dans le Références générales AWS.

## Supprimer votre profil AWS Builder ID
<a name="id-delete-profile"></a>

La suppression de votre profil est une action permanente irréversible. Le processus de suppression commence immédiatement après que vous avez sélectionné **Supprimer**. Amazon CodeCatalyst commence à supprimer votre profil et toutes les informations personnelles associées. Ce processus peut prendre jusqu'à 90 jours.

Lorsque votre profil est supprimé, vous ne pouvez pas accéder à vos données ou les récupérer sur Amazon CodeCatalyst. Cela inclut les jetons d'accès personnels, les rôles, les adhésions d'utilisateurs et tous CodeCatalyst les espaces Amazon dont vous êtes le seul membre. Vous ne pouvez plus vous connecter à Amazon CodeCatalyst.

Pour plus d'informations sur la façon de supprimer votre profil AWS Builder ID, consultez [Supprimer votre AWS Builder ID](https://docs.aws.amazon.com/general/latest/gr/delete-aws_builder_id.html) dans le Références générales AWS.

# Bonnes pratiques pour les actions de flux de travail sur Amazon CodeCatalyst
<a name="security-best-practices-for-actions"></a>

Il existe un certain nombre de bonnes pratiques de sécurité à prendre en compte lorsque vous développez vos flux de travail dans CodeCatalyst. Les directives suivantes sont générales et ne constituent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.

**Topics**
+ [Informations sensibles](#sensitive-info)
+ [Termes de licence](#licensing-terms)
+ [Code non fiable](#untrusted-code)
+ [GitHub Les actions](#github-actions)

## Informations sensibles
<a name="sensitive-info"></a>

N'intégrez pas d'informations sensibles dans votre fichier YAML. Plutôt que d'intégrer des informations d'identification, des clés ou des jetons dans votre fichier YAML, nous vous recommandons d'utiliser CodeCatalyst des secrets. Les secrets permettent de stocker et de référencer facilement des informations sensibles depuis votre YAML.

## Termes de licence
<a name="licensing-terms"></a>

Assurez-vous de prêter attention aux conditions de licence de l'action que vous choisissez d'utiliser.

## Code non fiable
<a name="untrusted-code"></a>

Les actions sont généralement des modules autonomes à usage unique qui peuvent être partagés au sein d'un projet, d'un espace ou de la communauté au sens large. L'utilisation de code provenant d'autres utilisateurs peut apporter un gain de commodité et d'efficacité considérable, mais elle introduit également un nouveau vecteur de menace. Consultez les sections suivantes pour vous assurer que vous suivez les meilleures pratiques afin de sécuriser vos flux de travail CI/CD.

## GitHub Les actions
<a name="github-actions"></a>

GitHub Les actions sont open source, créées et maintenues par la communauté. Nous suivons le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) et considérons le code source d' GitHub Actions comme des données clients dont vous êtes responsable. GitHub Les actions peuvent être autorisées à accéder aux secrets, aux jetons du référentiel, au code source, aux liens de compte et à votre temps de calcul. Assurez-vous d'avoir confiance en la fiabilité et en la sécurité des GitHub actions que vous comptez exécuter.

Conseils plus spécifiques et meilleures pratiques de sécurité pour les GitHub actions :
+ [Renforcement de la sécurité](https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions)
+ [Empêcher ses propres demandes](https://securitylab.github.com/research/github-actions-preventing-pwn-requests/)
+ [Entrée non fiable](https://securitylab.github.com/research/github-actions-untrusted-input/)
+ [Comment faire confiance à vos éléments de base](https://securitylab.github.com/research/github-actions-building-blocks/)

# Comprendre le modèle de CodeCatalyst confiance
<a name="trust-model"></a>

Le modèle de CodeCatalyst confiance d'Amazon CodeCatalyst permet d'assumer le rôle de service dans le connecté Compte AWS. Le modèle fait le lien entre le rôle IAM, les principaux de CodeCatalyst service et l' CodeCatalyst espace. La politique de confiance utilise la clé de `aws:SourceArn` condition pour accorder des autorisations à l' CodeCatalyst espace spécifié dans la clé de condition. Pour plus d'informations sur cette clé de condition, consultez [aws : SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) dans le *guide de l'utilisateur IAM*.

Une politique de confiance est un document de politique JSON dans lequel vous définissez les mandataires auxquels vous faites confiance pour assumer le rôle. Une politique d’approbation de rôle est une politique basée sur les ressources requise qui est attachée à un rôle dans IAM. Pour plus d'informations, consultez la section [Termes et concepts](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) du *guide de l'utilisateur IAM*. Pour plus de détails sur les principes de service pour CodeCatalyst, voir[Principes de service pour CodeCatalyst](#service-principals).

Dans la politique de confiance suivante, les principaux de service répertoriés dans l'`Principal`élément reçoivent des autorisations issues de la politique basée sur les ressources, et le `Condition` bloc est utilisé pour limiter l'accès à la ressource délimitée.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
             "Principal": { 
                "Service": [ 
                    "codecatalyst-runner.amazonaws.com",
                    "codecatalyst.amazonaws.com" 
                ] 
            }, 
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
                }
            }
        }
    ]
}
```

------

Dans le cadre de la politique de confiance, les responsables du CodeCatalyst service ont accès via la clé de `aws:SourceArn` condition, qui contient le nom de ressource Amazon (ARN) pour l'identifiant de l' CodeCatalyst espace. L'ARN utilise le format suivant :

```
arn:aws:codecatalyst:::space/spaceId/project/*
```

**Important**  
Utilisez l'identifiant de l'espace uniquement dans les clés de condition, telles que`aws:SourceArn`. N'utilisez pas l'ID d'espace dans les déclarations de politique IAM comme ARN de ressource.

Il est recommandé de limiter autant que possible les autorisations dans la politique.
+ Vous pouvez utiliser le caractère générique (\$1) dans la clé de `aws:SourceArn` condition pour spécifier tous les projets dans l'espace avec`project/*`.
+ Vous pouvez spécifier des autorisations au niveau des ressources dans la clé de `aws:SourceArn` condition pour un projet spécifique dans l'espace avec. `project/projectId`

## Principes de service pour CodeCatalyst
<a name="service-principals"></a>

Vous utilisez l'`Principal`élément dans une politique JSON basée sur les ressources pour spécifier le principal auquel l'accès à une ressource est autorisé ou refusé. Les principaux que vous pouvez spécifier dans la politique d'approbation comprennent les utilisateurs, les rôles, les comptes et les services. Vous ne pouvez pas utiliser l'`Principal`élément dans une stratégie basée sur l'identité ; de même, vous ne pouvez pas identifier un groupe d'utilisateurs en tant que principal dans une stratégie (telle qu'une stratégie basée sur les ressources) car les groupes sont liés aux autorisations et non à l'authentification, et les principaux sont des entités IAM authentifiées.

Dans la politique de confiance, vous pouvez spécifier Services AWS dans l'`Principal`élément d'une politique basée sur les ressources ou dans des clés de condition qui prennent en charge les principaux. Les principes du service sont définis par le service. Les principes de service suivants sont définis pour CodeCatalyst :
+ **codecatalyst.amazonaws.com** - Ce principal de service est utilisé pour un rôle qui accordera l'accès à. CodeCatalyst AWS
+ **codecatalyst-runner.amazonaws.com** - Ce principal de service est utilisé pour un rôle qui accordera l'accès aux ressources lors des déploiements pour les flux de travail. CodeCatalyst AWS CodeCatalyst 

Pour plus d'informations, voir [Éléments de politique AWS JSON : Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans le *guide de l'utilisateur IAM*.