Amazon non CodeCatalyst è più aperta a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [Come migrare da CodeCatalyst](migration.md).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon CodeCatalyst
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti degli spazi più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo modello come sicurezza del cloud e sicurezza nel cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per maggiori informazioni sui programmi di conformità applicabili CodeCatalyst, consulta la sezione [AWS Servizi rientranti nell'ambito del programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dai AWS servizi che utilizzi. Sei anche responsabile di altri fattori, tra cui la riservatezza dei dati, i tuoi requisiti aziendali e le leggi e le normative applicabili
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Amazon CodeCatalyst. Ti mostra come configurare per CodeCatalyst soddisfare i tuoi obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere CodeCatalyst le tue risorse.
**Topics**
+ [Privacy dei dati](data-privacy.md)
+ [Protezione dei dati](data-protection.md)
+ [CodeCatalyst e Identity and Access Management](security-iam.md)
+ [Convalida della conformità](compliance-validation.md)
+ [Resilienza](disaster-recovery-resiliency.md)
+ [Sicurezza dell’infrastruttura](infrastructure-security.md)
+ [Analisi della configurazione e delle vulnerabilità](vulnerability-analysis-and-management.md)
+ [I tuoi dati e la tua privacy in Amazon CodeCatalyst](your-data-privacy.md)
+ [Le migliori pratiche per le azioni del flusso di lavoro](security-best-practices-for-actions.md)
+ [Comprendere il modello CodeCatalyst di fiducia](trust-model.md)
# Privacy dei dati in Amazon CodeCatalyst
CodeCatalyst raccoglie informazioni aggregate in IAM Identity Center. CodeCatalyst utilizza questi dati aggregati per fornire l'accesso a spazi e progetti in. CodeCatalyst Vengono raccolte le seguenti informazioni aggregate:
+ Nome completo dell'utente
+ Email dell'utente
+ Nome utente dell'utente
CodeCatalyst i dati vengono crittografati automaticamente quando sono inattivi. Non è richiesta alcuna azione da parte del cliente. Quando un utente, un centro di identità o uno spazio viene eliminato, CodeCatalyst elimina i dati del cliente entro 24 ore.
CodeCatalyst utilizza chiavi AWS di proprietà AWS KMS . CodeCatalyst non supporta la crittografia a riposo utilizzando chiavi KMS gestite dal cliente per gli attributi di identità recuperati da IAM Identity Center.
[Per ulteriori informazioni sulle AWS KMS chiavi, consulta la documentazione per l'utente all'indirizzo AWS KMS keys.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)
# Protezione dei dati in Amazon CodeCatalyst
Sicurezza e conformità sono una responsabilità condivisa tra Amazon CodeCatalyst e il cliente, così come il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica all'uso delle AWS risorse utilizzate in un flusso di lavoro. Come descritto in questo modello, CodeCatalyst è responsabile della protezione dell'infrastruttura globale del servizio. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. Questo modello di responsabilità condivisa si applica alla protezione dei dati in CodeCatalyst.
Ai fini della protezione dei dati, ti consigliamo di proteggere le credenziali del tuo account e di configurare l'autenticazione a più fattori al momento dell'accesso. Per ulteriori informazioni, consulta [Configura il tuo AWS Builder ID per accedere con l'autenticazione a più fattori (MFA)](mfa.md).
**Non inserire informazioni riservate o sensibili, come gli indirizzi e-mail dei clienti, nei tag o nei campi in formato libero come il campo Nome.** Ciò include i nomi delle risorse e qualsiasi altro identificatore inserito oltre a quelli connessi. CodeCatalyst Account AWS Ad esempio, non inserire informazioni riservate o sensibili come parte dei nomi di spazi, progetti o flotte di distribuzione. Tutti i dati immessi nei tag, nei nomi o nei campi in formato libero utilizzati per i nomi potrebbero essere utilizzati per i registri di fatturazione o diagnostica o potrebbero essere inclusi nei percorsi URL. Questo vale per l'utilizzo della console, dell'API AWS CLI, dell' CodeCatalyst Action Development Kit o altro. AWS SDKs
Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere alcuna informazione sulle credenziali di sicurezza nell'URL per convalidare la tua richiesta a quel server.
CodeCatalyst gli archivi di origine vengono crittografati automaticamente quando sono inattivi. Non è richiesta alcuna azione da parte del cliente. CodeCatalyst crittografa anche i dati del repository in transito utilizzando il protocollo HTTPS.
CodeCatalyst non supporta la crittografia a riposo utilizzando chiavi KMS gestite dal cliente per gli attributi di identità recuperati da IAM Identity Center.
CodeCatalyst supporta MFA. Per ulteriori informazioni, consulta [Configura il tuo AWS Builder ID per accedere con l'autenticazione a più fattori (MFA)](mfa.md).
## Crittografia dei dati
CodeCatalyst archivia e trasferisce in modo sicuro i dati all'interno del servizio. Tutti i dati sono crittografati in transito e a riposo. Tutti i dati creati o archiviati dal servizio, inclusi i metadati del servizio, vengono archiviati nativamente nel servizio e crittografati.
**Nota**
Sebbene le informazioni sui problemi vengano archiviate in modo sicuro all'interno del servizio, le informazioni sui problemi aperti vengono archiviate anche nella cache locale del browser in cui sono stati visualizzati i problemi, i backlog e i singoli problemi. Per una sicurezza ottimale, assicurati di cancellare la cache del browser per rimuovere queste informazioni.
Se utilizzi risorse collegate a CodeCatalyst, ad esempio la connessione di un account a un repository collegato Account AWS o a un repository collegato in GitHub, i dati in transito CodeCatalyst da quella risorsa collegata vengono crittografati, ma la gestione dei dati in quella risorsa collegata è gestita dal servizio collegato. Per ulteriori informazioni, consulta la documentazione relativa al servizio collegato e[Le migliori pratiche per le azioni del flusso di lavoro in Amazon CodeCatalyst](security-best-practices-for-actions.md).
### Gestione delle chiavi
CodeCatalystutilizza chiavi KMS AWS di proprietà dell'utente. Ciò significa che le chiavi sono gestite da AWS e il cliente non deve crearle o gestirle direttamente. Ciò semplifica la gestione delle chiavi per gli scenari di crittografia più comuni all'interno AWS.
## Riservatezza del traffico inter-rete
Quando crei uno spazio in CodeCatalyst, scegli Regione AWS dove verranno archiviati i dati e le risorse per quello spazio. I dati e i metadati del progetto non lo abbandonano Regione AWS mai. [Tuttavia, per supportare la navigazione all'interno CodeCatalyst, un insieme limitato di spazio, progetto e metadati utente viene replicato Regioni AWS in tutta la partizione.](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/partitions.html) Non verrà replicato Regioni AWS all'esterno di quella partizione. Ad esempio, se scegli **Stati Uniti occidentali (Oregon)** come Regione AWS quando crei il tuo spazio, i tuoi dati non verranno replicati nelle regioni delle regioni della Cina o. AWS GovCloud (US) Per ulteriori informazioni, consulta [Gestione Regioni AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html), [infrastruttura AWS globale](https://aws.amazon.com/about-aws/global-infrastructure) e endpoint di [AWS servizio](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes).
I dati replicati Regioni AWS all'interno di una partizione includono:
+ Un valore hash crittografato che rappresenta il nome dello spazio per garantire l'unicità dei nomi degli spazi. Questo valore non è leggibile dall'uomo e non mostra i nomi effettivi degli spazi
+ L'ID univoco dello spazio
+ Metadati per lo spazio che facilita la navigazione tra gli spazi
+ La posizione Regione AWS in cui si trova lo spazio
+ L'unicità IDs di tutti i progetti nello spazio
+ L'ID del ruolo che indica il ruolo di un utente in uno spazio o in un progetto
+ Al momento dell'iscrizione CodeCatalyst, dati e metadati relativi alla procedura di registrazione, tra cui:
+ L'ID univoco di ID Builder AWS
+ Il nome visualizzato per l'utente nella loro ID Builder AWS
+ L'alias dell'utente nel loro ID Builder AWS
+ L'indirizzo e-mail utilizzato quando l'utente si è registrato al ID Builder AWS
+ Lo stato di avanzamento della procedura di registrazione
+ Se si crea uno spazio come parte della procedura di registrazione, l' Account AWS ID utilizzato come account di fatturazione per lo spazio
I nomi degli spazi sono univoci in tutto CodeCatalyst. Assicurati di non includere dati sensibili nel nome dello spazio.
Quando lavori con risorse collegate e account connessi, ad esempio una connessione a un Account AWS o a un GitHub repository, ti consigliamo di configurare le posizioni di origine e di destinazione con il massimo livello di sicurezza supportato da ciascuna di esse. CodeCatalyst protegge la connessione tra Account AWS e le zone di disponibilità utilizzando Transport Layer Security (TLS) 1.2. Regioni AWS
# Identity and Access Management e Amazon CodeCatalyst
In Amazon CodeCatalyst, crei e utilizzi un AWS Builder ID per accedere ai tuoi spazi e ai tuoi progetti. Un AWS Builder ID non è un'identità in AWS Identity and Access Management (IAM) e non esiste in un. Account AWS Tuttavia, CodeCatalyst si integra con IAM durante la verifica di uno spazio a fini di fatturazione e quando è connesso a un per Account AWS creare e utilizzare le relative risorse. Account AWS
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (chi ha effettuato l'accesso) e *autorizzato* (chi dispone di autorizzazioni) a utilizzare le risorse. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
Quando crei uno spazio in Amazon CodeCatalyst, devi collegarne uno Account AWS come account di fatturazione per il tuo spazio. Per verificare lo CodeCatalyst spazio devi disporre delle autorizzazioni Account AWS di amministratore o disporre dell'autorizzazione. Hai anche la possibilità di aggiungere un ruolo IAM per il tuo spazio da CodeCatalyst utilizzare per creare e accedere alle risorse in quello connesso Account AWS. Questo è chiamato [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Puoi scegliere di creare connessioni a più di un account Account AWS e creare ruoli di servizio per CodeCatalyst ciascuno di questi account.
**Nota**
La fatturazione CodeCatalyst avviene nell'account Account AWS designato come fatturazione. Tuttavia, se crei un ruolo di CodeCatalyst servizio in questo ruolo Account AWS o in qualsiasi altro ruolo connesso Account AWS, le risorse create e utilizzate dal ruolo di CodeCatalyst servizio verranno fatturate in quel ruolo connesso. Account AWS Per ulteriori informazioni, consulta [Managing billing](https://docs.aws.amazon.com/codecatalyst/latest/adminguide/managing-billing.html) nella Amazon CodeCatalyst Administrator Guide.
**Topics**
+ [Politiche basate sull'identità in IAM](#id-based-policies)
+ [Azioni politiche in IAM](#id-based-policies-actions)
+ [Risorse politiche in IAM](#id-based-policies-resources)
+ [Chiavi relative alle condizioni delle politiche in IAM](#id-based-policies-conditionkeys)
+ [Esempi di politiche basate sull'identità per le connessioni CodeCatalyst](#id-based-policy-examples)
+ [Utilizzo dei tag per controllare l'accesso alle risorse di connessione dell'account](id-based-policy-examples-tags.md)
+ [CodeCatalyst riferimento alle autorizzazioni](#permissions-reference)
+ [Utilizzo di ruoli collegati ai servizi per CodeCatalyst](using-service-linked-roles.md)
+ [AWS politiche gestite per Amazon CodeCatalyst](security-iam-awsmanpol.md)
+ [Concedi l'accesso alle AWS risorse del progetto con i ruoli IAM](ipa-iam-roles.md)
## Politiche basate sull'identità in IAM
Le politiche basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità. Tale identità potrebbe essere un utente, un gruppo di utenti o un ruolo. Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l'utente IAM*.
Con le policy basate su identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Non è possibile specificare l’entità principale in una policy basata sull’identità perché si applica all’utente o al ruolo a cui è associato. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente di IAM*.
### Esempi di policy basate sull'identità per CodeCatalyst
Per visualizzare esempi di politiche basate sull' CodeCatalyst identità, vedere. [Esempi di politiche basate sull'identità per le connessioni CodeCatalyst](#id-based-policy-examples)
## Azioni politiche in IAM
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. **Cioè, quale **preside** può eseguire quali **azioni** su quali **risorse** e in quali condizioni.**
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Le azioni politiche di solito hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le *operazioni di sola autorizzazione* che non hanno un’operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate *operazioni dipendenti*.
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"prefix:action1",
"prefix:action2"
]
```
## Risorse politiche in IAM
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. **Cioè, quale **preside** può eseguire quali **azioni** su quali **risorse** e in quali condizioni.**
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Le istruzioni devono includere un elemento `Resource` o un elemento `NotResource`. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come *autorizzazioni a livello di risorsa*.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
## Chiavi relative alle condizioni delle politiche in IAM
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. **Cioè, quale **preside** può eseguire quali **azioni** su quali **risorse** e in quali condizioni.**
L’elemento `Condition` (o *blocco* `Condition`) consente di specificare le condizioni in cui un’istruzione è in vigore. L’elemento `Condition` è facoltativo. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi `Condition` in un'istruzione o più chiavi in un singolo elemento `Condition`, questi vengono valutati da AWS utilizzando un'operazione `AND` logica. Se specifichi più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione `OR` logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell’istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Per ulteriori informazioni, consulta [Elementi delle policy IAM: variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'utente IAM*.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione globali di AWS , consulta [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
## Esempi di politiche basate sull'identità per le connessioni CodeCatalyst
Nel CodeCatalyst, Account AWS sono necessari per gestire la fatturazione di uno spazio e accedere alle risorse nei flussi di lavoro del progetto. Una connessione all'account viene utilizzata per autorizzare l'aggiunta Account AWS a uno spazio. Le politiche basate sull'identità vengono utilizzate nelle connessioni. Account AWS
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse CodeCatalyst. Inoltre, non possono eseguire attività utilizzando Console di gestione AWS, AWS Command Line Interface (AWS CLI) o l'API. AWS Un amministratore IAM deve creare policy IAM che concedano a utenti e ruoli l'autorizzazione per eseguire operazioni sulle risorse di cui hanno bisogno. L'amministratore deve quindi collegare queste policy agli utenti che ne hanno bisogno.
Il seguente esempio di policy IAM concede le autorizzazioni per le azioni relative alle connessioni degli account. Usali per limitare l'accesso a cui connettere gli CodeCatalyst account.
### Esempio 1: consenti a un utente di accettare richieste di connessione in un'unica soluzione Regione AWS
La seguente politica di autorizzazione consente solo agli utenti di visualizzare e accettare richieste di connessione tra CodeCatalyst e Account AWS. Inoltre, la politica utilizza una condizione per consentire solo le azioni nella regione us-west-2 e non da altre. Regioni AWS Per visualizzare e approvare la richiesta, l'utente accede Console di gestione AWS con lo stesso account specificato nella richiesta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:GetPendingConnection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
}
]
}
```
------
### Esempio 2: consentire la gestione delle connessioni nella console per una singola unità Regione AWS
La seguente politica di autorizzazione consente agli utenti di gestire le connessioni tra CodeCatalyst e Account AWS in una singola regione. La politica utilizza una condizione per consentire solo le azioni nella regione us-west-2 e non da altre. Regioni AWS Dopo aver creato una connessione, è possibile creare il **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo scegliendo l'opzione in. Console di gestione AWS Nella politica di esempio, la condizione per l'`iam:PassRole`azione include i principali del servizio per CodeCatalyst. Solo i ruoli con tale accesso verranno creati in. Console di gestione AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-west-2"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
### Esempio 3: Negare la gestione delle connessioni
La seguente politica di autorizzazione nega agli utenti la possibilità di gestire le connessioni tra e. CodeCatalyst Account AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"codecatalyst:*"
],
"Resource": "*"
}
]
}
```
------
# Utilizzo dei tag per controllare l'accesso alle risorse di connessione dell'account
I tag possono essere allegati alla risorsa o passati nella richiesta ai servizi che supportano il tagging. Le risorse nelle politiche possono avere tag e alcune azioni nelle politiche possono includere tag. Le chiavi di condizione per l'etichettatura includono le chiavi di `aws:ResourceTag` condizione `aws:RequestTag` e. Quando si crea una policy IAM, è possibile utilizzare le chiavi di condizione di tag per controllare:
+ Quali utenti possono eseguire azioni su una risorsa di connessione, in base ai tag già presenti.
+ Quali tag possono essere passati in una richiesta di operazione.
+ Se delle chiavi di tag specifiche possono essere utilizzate in una richiesta.
Gli esempi seguenti mostrano come specificare le condizioni dei tag nelle politiche per gli utenti che utilizzano le connessioni degli CodeCatalyst account. Per ulteriori informazioni su queste chiavi di condizione, consulta [Chiavi relative alle condizioni delle politiche in IAM](security-iam.md#id-based-policies-conditionkeys).
## Esempio 1: consenti azioni basate sui tag nella richiesta
La seguente politica concede agli utenti l'autorizzazione ad approvare le connessioni all'account.
A questo scopo, consente le operazioni `AcceptConnection`e `TagResource` se la richiesta specifica un tag denominato `Project` con il valore `ProjectA`. La chiave di condizione `aws:RequestTag` viene utilizzata per controllare quali tag possono essere passati in una richiesta IAM. La condizione `aws:TagKeys` garantisce che la chiave tag rileva la distinzione tra maiuscole e minuscole.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:AcceptConnection",
"codecatalyst:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "ProjectA"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": ["Project"]
}
}
}
]
}
```
------
## Esempio 2: consenti azioni basate sui tag delle risorse
La seguente politica concede agli utenti il permesso di eseguire azioni sulle risorse di connessione all'account e ottenere informazioni sulle stesse.
A tal fine, consente azioni specifiche se la connessione ha un tag denominato `Project` con lo stesso valore`ProjectA`. La chiave di condizione `aws:ResourceTag` viene utilizzata per controllare quali tag possono essere passati in una richiesta IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:GetConnection",
"codecatalyst:DeleteConnection",
"codecatalyst:AssociateIamRoleToConnection",
"codecatalyst:DisassociateIamRoleFromConnection",
"codecatalyst:ListIamRolesForConnection",
"codecatalyst:PutBillingAuthorization"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "ProjectA"
}
}
}
]
}
```
------
## CodeCatalyst riferimento alle autorizzazioni
Questa sezione fornisce un riferimento alle autorizzazioni per le azioni utilizzate con la risorsa di connessione dell'account a Account AWS cui si è connessi. CodeCatalyst La sezione seguente descrive le azioni basate solo sulle autorizzazioni correlate alla connessione degli account.
### Autorizzazioni richieste per le connessioni agli account
Le seguenti autorizzazioni sono necessarie per utilizzare le connessioni degli account.
****
| CodeCatalyst autorizzazioni per le connessioni degli account | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| AcceptConnection | Necessario per accettare una richiesta di connessione di questo account a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | Supporta solo un carattere jolly (\$1) nell'elemento `Resource` della policy. |
| AssociateIamRoleToConnection | Necessario per associare un ruolo IAM a una connessione di account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DeleteConnection | Necessario per eliminare una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| DisassociateIamRoleFromConnection | Necessario per dissociare un ruolo IAM da una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetBillingAuthorization | Necessario per descrivere l'autorizzazione di fatturazione per una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetConnection | Necessario per stabilire una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| GetPendingConnection | Necessario per ricevere una richiesta in sospeso per connettere questo account a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | Supporta solo un carattere jolly (\$1) nell'elemento `Resource` della policy. |
| ListConnections | Necessario per elencare le connessioni tra account che non sono in sospeso. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | Supporta solo un carattere jolly (\$1) nell'elemento `Resource` della policy. |
| ListIamRolesForConnection | Necessario per elencare i ruoli IAM associati a una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| ListTagsForResource | Necessario per elencare i tag associati a una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| PutBillingAuthorization | Necessario per creare o aggiornare l'autorizzazione di fatturazione per la connessione di un account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| RejectConnection | Necessario per rifiutare una richiesta di connessione di questo account a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | Supporta solo un carattere jolly (\$1) nell'elemento `Resource` della policy. |
| TagResource | Necessario per creare o modificare i tag associati alla connessione di un account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
| UntagResource | Necessario per rimuovere i tag associati a una connessione all'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/connections/connection\$1ID |
### Autorizzazioni richieste per le applicazioni IAM Identity Center
Le seguenti autorizzazioni sono necessarie per lavorare con le applicazioni IAM Identity Center.
****
| CodeCatalyst autorizzazioni per le applicazioni IAM Identity Center | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| AssociateIdentityCenterApplicationToSpace | Necessario per associare un'applicazione IAM Identity Center a uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| AssociateIdentityToIdentityCenterApplication | Necessario per associare un'identità a un'applicazione IAM Identity Center per uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchAssociateIdentitiesToIdentityCenterApplication | Necessario per associare più identità a un'applicazione IAM Identity Center per uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| BatchDisassociateIdentitiesFromIdentityCenterApplication | Necessario per dissociare più identità da un'applicazione IAM Identity Center per uno spazio. CodeCatalyst Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateIdentityCenterApplication | Necessario per creare un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| CreateSpaceAdminRoleAssignment | Necessario per creare un'assegnazione di ruolo di amministratore per un determinato CodeCatalyst spazio e un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DeleteIdentityCenterApplication | Necessario per eliminare un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityCenterApplicationFromSpace | Necessario per dissociare un'applicazione IAM Identity Center da uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| DisassociateIdentityFromIdentityCenterApplication | Necessario per dissociare un'identità da un'applicazione IAM Identity Center per uno CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| GetIdentityCenterApplication | Necessario per ottenere informazioni su un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListIdentityCenterApplications | Necessario per visualizzare un elenco di tutte le applicazioni IAM Identity Center presenti nell'account. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | Supporta solo un carattere jolly (\$1) nell'elemento `Resource` della policy. |
| ListIdentityCenterApplicationsForSpace | Necessario per visualizzare un elenco di applicazioni IAM Identity Center per CodeCatalyst spazio. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| ListSpacesForIdentityCenterApplication | Necessario per visualizzare un elenco di CodeCatalyst spazi in base all'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| SynchronizeIdentityCenterApplication | Necessario per sincronizzare un'applicazione IAM Identity Center con l'archivio di identità di supporto. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
| UpdateIdentityCenterApplication | Necessario per aggiornare un'applicazione IAM Identity Center. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codecatalyst:region:account\$1ID:/identity-center-applications/identity-center-application\$1ID |
# Utilizzo di ruoli collegati ai servizi per CodeCatalyst
Amazon CodeCatalyst utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. CodeCatalyst I ruoli collegati ai servizi sono predefiniti CodeCatalyst e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione CodeCatalyst perché non è necessario aggiungere manualmente le autorizzazioni necessarie. CodeCatalyst definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. CodeCatalyst Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi CodeCatalyst le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per CodeCatalyst
CodeCatalyst utilizza il ruolo collegato al servizio denominato **AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**: consente ad Amazon l'accesso in CodeCatalyst sola lettura ai profili delle istanze dell'applicazione e agli utenti e ai gruppi di directory associati per tuo conto.
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization considera attendibili i seguenti servizi:
+ `codecatalyst.amazonaws.com`
La politica di autorizzazione dei ruoli denominata AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy consente di CodeCatalyst completare le seguenti azioni sulle risorse specificate:
+ Azione: `View application instance profiles and associated directory users and groups` per `CodeCatalyst spaces that support identity federation and SSO users and groups`
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per CodeCatalyst
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei uno spazio nella Console di gestione AWS, o nell' AWS API AWS CLI, CodeCatalyst crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il CodeCatalyst servizio prima del 17 novembre 2023, quando ha iniziato a supportare i ruoli collegati al servizio, hai CodeCatalyst creato il AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization ruolo nel tuo account. Per ulteriori informazioni, vedi [A new role appeared in my](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Account AWS
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei uno spazio, CodeCatalyst crea nuovamente il ruolo collegato al servizio per te.
Puoi anche utilizzare la console IAM per creare un ruolo collegato ai servizi con lo use case **View application instance profiles e gli utenti e i gruppi di directory associati**. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `codecatalyst.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato al servizio per CodeCatalyst
CodeCatalyst non consente di modificare il ruolo collegato al AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per CodeCatalyst
Non è necessario eliminare manualmente il ruolo AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization. Quando elimini uno spazio nell'API Console di gestione AWS, l'o l' AWS API AWS CLI, CodeCatalyst pulisce le risorse ed elimina automaticamente il ruolo collegato al servizio.
Puoi anche utilizzare la console IAM, the AWS CLI o l' AWS API per eliminare manualmente il ruolo collegato al servizio. Per farlo, sarà necessario prima eseguire manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi eliminarlo manualmente.
**Nota**
Se il CodeCatalyst servizio utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare CodeCatalyst le risorse utilizzate da AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization**
+ [Eliminare lo spazio](https://docs.aws.amazon.com/codecatalyst/latest/userguide/spaces-delete.htm).
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi CodeCatalyst
CodeCatalyst supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per maggiori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
CodeCatalyst non supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Il ruolo AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization può essere utilizzato nelle regioni seguenti.
****
| Nome della Regione | Identità della Regione | Support in CodeCatalyst |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | No |
| Stati Uniti orientali (Ohio) | us-east-2 | No |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | No |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Africa (Città del Capo) | af-south-1 | No |
| Asia Pacific (Hong Kong) | ap-east-1 | No |
| Asia Pacifico (Giacarta) | ap-southeast-3 | No |
| Asia Pacifico (Mumbai) | ap-south-1 | No |
| Asia Pacifico (Osaka-Locale) | ap-northeast-3 | No |
| Asia Pacific (Seoul) | ap-northeast-2 | No |
| Asia Pacifico (Singapore) | ap-southeast-1 | No |
| Asia Pacifico (Sydney) | ap-southeast-2 | No |
| Asia Pacifico (Tokyo) | ap-northeast-1 | No |
| Canada (Centrale) | ca-central-1 | No |
| Europa (Francoforte) | eu-central-1 | No |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europa (Londra) | eu-west-2 | No |
| Europe (Milan) | eu-south-1 | No |
| Europa (Parigi) | eu-west-3 | No |
| Europa (Stoccolma) | eu-north-1 | No |
| Medio Oriente (Bahrein) | me-south-1 | No |
| Medio Oriente (Emirati Arabi Uniti) | me-central-1 | No |
| Sud America (San Paolo) | sa-east-1 | No |
| AWS GovCloud (Stati Uniti orientali) | us-gov-east-1 | No |
| AWS GovCloud (Stati Uniti occidentali) | us-gov-west-1 | No |
# AWS politiche gestite per Amazon CodeCatalyst
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AmazonCodeCatalystSupportAccess
Si tratta di una politica che concede a tutti gli amministratori e i membri dello spazio le autorizzazioni per utilizzare il piano di supporto premium Business o Enterprise associato all'account di fatturazione dello spazio. Queste autorizzazioni consentono agli amministratori dello spazio e ai membri di utilizzare il piano di supporto premium per le risorse a cui dispongono delle autorizzazioni nell'ambito delle politiche di autorizzazione. CodeCatalyst
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `support`— Concede le autorizzazioni per consentire agli utenti di cercare, creare e risolvere casi di AWS Supporto. Concede inoltre le autorizzazioni per descrivere le comunicazioni, i livelli di gravità, gli allegati e i dettagli dei relativi casi di supporto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeAttachment",
"support:DescribeCaseAttributes",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeIssueTypes",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:DescribeSupportLevel",
"support:SearchForCases",
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:InitiateCallForCase",
"support:InitiateChatForCase",
"support:PutCaseAttributes",
"support:RateCaseCommunication",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonCodeCatalystFullAccess
Si tratta di una politica che concede le autorizzazioni per gestire il tuo CodeCatalyst spazio e gli account connessi nella pagina Amazon CodeCatalyst Spaces del. Console di gestione AWS Questa applicazione viene utilizzata per configurare Account AWS la connessione al tuo spazio in. CodeCatalyst
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `codecatalyst`— Concede le autorizzazioni complete per la pagina Amazon CodeCatalyst Spaces nel. Console di gestione AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CodeCatalystResourceAccess",
"Effect": "Allow",
"Action": [
"codecatalyst:*",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "CodeCatalystAssociateIAMRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politica gestita: AmazonCodeCatalystReadOnlyAccess
Si tratta di una politica che concede le autorizzazioni per visualizzare ed elencare le informazioni per gli spazi e gli account connessi nella pagina Amazon CodeCatalyst Spaces del. Console di gestione AWS Questa applicazione viene utilizzata per configurare Account AWS la connessione al tuo spazio in. CodeCatalyst
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `codecatalyst`— Concede autorizzazioni di sola lettura per la pagina Amazon CodeCatalyst Spaces in. Console di gestione AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecatalyst:Get*",
"codecatalyst:List*"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy
Non puoi allegareAmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy; alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di CodeCatalyst eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per CodeCatalyst](using-service-linked-roles.md).
Questa policy consente ai clienti di visualizzare i profili delle istanze dell'applicazione e gli utenti e i gruppi delle directory associate durante la gestione degli spazi in. CodeCatalyst I clienti visualizzeranno queste risorse durante la gestione di spazi che supportano la federazione delle identità e gli utenti e i gruppi SSO.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `sso`— Concede le autorizzazioni per consentire agli utenti di visualizzare i profili delle istanze dell'applicazione gestiti in IAM Identity Center per gli spazi associati in. CodeCatalyst
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy",
"Effect": "Allow",
"Action": [
"sso:ListInstances",
"sso:ListApplications",
"sso:ListApplicationAssignments",
"sso:DescribeInstance",
"sso:DescribeApplication"
],
"Resource": "*"
}
]
}
```
------
## CodeCatalyst aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite CodeCatalyst da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei CodeCatalyst documenti](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy](#security-iam-awsmanpol-AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy): nuova policy | CodeCatalyst ha aggiunto la politica. Concede le autorizzazioni per consentire agli CodeCatalyst utenti di visualizzare i profili delle istanze dell'applicazione e gli utenti e i gruppi delle directory associate. | 17 novembre 2023 |
| [AmazonCodeCatalystSupportAccess](#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess): nuova policy | CodeCatalyst ha aggiunto la politica. Concede le autorizzazioni per consentire agli CodeCatalyst utenti di cercare, creare e risolvere casi di supporto, nonché di visualizzare le comunicazioni e i dettagli correlati. | 20 aprile 2023 |
| [AmazonCodeCatalystFullAccess](#security-iam-awsmanpol-AmazonCodeCatalystFullAccess): nuova policy | CodeCatalyst ha aggiunto la politica. Garantisce l'accesso completo a. CodeCatalyst | 20 aprile 2023 |
| [AmazonCodeCatalystReadOnlyAccess](#security-iam-awsmanpol-AmazonCodeCatalystReadOnlyAccess): nuova policy | CodeCatalyst ha aggiunto la politica. Concede l'accesso in sola lettura a. CodeCatalyst | 20 aprile 2023 |
| CodeCatalyst ha iniziato a tenere traccia delle modifiche | CodeCatalyst ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 20 aprile 2023 |
# Concedi l'accesso alle AWS risorse del progetto con i ruoli IAM
CodeCatalyst puoi accedere alle AWS risorse collegando il tuo Account AWS a uno CodeCatalyst spazio. È quindi possibile creare i seguenti ruoli di servizio e associarli quando si collega l'account.
Per ulteriori informazioni sugli elementi utilizzati in una policy JSON, consulta [IAM JSON Policy Elements Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *IAM User* Guide.
+ Per accedere alle risorse nei tuoi CodeCatalyst progetti e flussi di lavoro, devi prima concedere l'autorizzazione CodeCatalyst ad accedere a tali risorse per tuo conto. Account AWS A tale scopo, è necessario creare un ruolo di servizio in un ambiente connesso Account AWS che CodeCatalyst possa assumere per conto degli utenti e dei progetti dello spazio. Puoi scegliere di creare e utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio oppure puoi creare ruoli di servizio personalizzati e configurare queste politiche e ruoli IAM manualmente. Come best practice, assegna a questi ruoli il numero minimo di autorizzazioni necessarie.
**Nota**
Per i ruoli di servizio personalizzati, è necessario il responsabile del CodeCatalyst servizio. Per ulteriori informazioni sul CodeCatalyst service principal e sul modello di fiducia, vedere[Comprendere il modello CodeCatalyst di fiducia](trust-model.md).
+ Per gestire il supporto per uno spazio tramite Connected Account AWS, puoi scegliere di creare e utilizzare il ruolo di **AWSRoleForCodeCatalystSupport**servizio che consente CodeCatalyst agli utenti di accedere al supporto. Per ulteriori informazioni sul supporto per uno CodeCatalyst spazio, consulta[Supporto per Amazon CodeCatalyst](support.md).
## Comprensione del ruolo **CodeCatalystWorkflowDevelopmentRole-*spaceName***del servizio
Puoi aggiungere un ruolo IAM per il tuo spazio da CodeCatalyst utilizzare per creare e accedere a risorse in un ambiente connesso Account AWS. Questo è chiamato [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role). Il modo più semplice per creare un ruolo di servizio è aggiungerne uno quando si crea lo spazio e scegliere l'**CodeCatalystWorkflowDevelopmentRole-*spaceName***opzione per quel ruolo. Questo non solo crea il ruolo di servizio con lo spazio `AdministratorAccess` allegato, ma crea anche la politica di fiducia che CodeCatalyst consente di assumere il ruolo per conto degli utenti nei progetti nello spazio. Il ruolo di servizio è limitato allo spazio, non ai singoli progetti. Per creare questo ruolo, consulta [Creazione del **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo per il tuo account e il tuo spazio](#ipa-iam-roles-service-create). Puoi creare un solo ruolo per ogni spazio in ogni account.
**Nota**
Questo ruolo è consigliato solo per gli account di sviluppo e utilizza la politica `AdministratorAccess` AWS gestita, che gli consente l'accesso completo alla creazione di nuove politiche e risorse Account AWS.
La politica allegata al **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo è progettata per funzionare con progetti creati con progetti esistenti nello spazio. Consente agli utenti di tali progetti di sviluppare, creare, testare e distribuire codice utilizzando le risorse disponibili nella rete. Account AWS Per ulteriori informazioni, vedere [Creazione di un ruolo per un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
La politica associata al **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo è la politica `AdministratorAccess` gestita in AWS. Si tratta di una politica che garantisce l'accesso completo a tutte le AWS azioni e le risorse. Per visualizzare il documento sulla policy JSON nella console IAM, consulta. [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
La seguente politica di fiducia consente di CodeCatalyst assumere il **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo. Per ulteriori informazioni sul modello CodeCatalyst di fiducia, vedere[Comprendere il modello CodeCatalyst di fiducia](trust-model.md).
```
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst-runner.amazonaws.com",
"codecatalyst.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
}
}
}
]
```
## Creazione del **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo per il tuo account e il tuo spazio
Segui questi passaggi per creare il `CodeCatalystWorkflowDevelopmentRole-spaceName` ruolo che verrà utilizzato per i flussi di lavoro nel tuo spazio. Per ogni account a cui desideri assegnare ruoli IAM da utilizzare nei progetti, nel tuo spazio, devi aggiungere un ruolo come il ruolo di sviluppatore.
Prima di iniziare, devi disporre dei privilegi di amministratore Account AWS o essere in grado di lavorare con il tuo amministratore. Per ulteriori informazioni su come Account AWS vengono utilizzati i ruoli IAM CodeCatalyst, consulta[Consentire l'accesso alle AWS risorse con connessione Account AWS](ipa-connect-account.md).
**Per creare e aggiungere il CodeCatalyst **CodeCatalystWorkflowDevelopmentRole-*spaceName*****
1. Prima di iniziare a utilizzare la CodeCatalyst console, apri il Console di gestione AWS, quindi assicurati di aver effettuato l'accesso con lo stesso Account AWS nome del tuo spazio.
1. Apri la CodeCatalyst console all'indirizzo [https://codecatalyst.aws/](https://codecatalyst.aws/).
1. Accedi al tuo CodeCatalyst spazio. Selezionare **Settings (Impostazioni)**, quindi scegliere **Account AWS**.
1. Scegli il link relativo alla Account AWS posizione in cui desideri creare il ruolo. Viene visualizzata la pagina dei **Account AWS dettagli**.
1. Scegli **Gestisci ruoli da Console di gestione AWS**.
La pagina **Aggiungi ruolo IAM CodeCatalyst allo spazio Amazon** si apre in Console di gestione AWS. Questa è la pagina **Amazon CodeCatalyst Spaces**. Potrebbe essere necessario effettuare il login per accedere alla pagina.
1. Scegli **Crea il ruolo di amministratore CodeCatalyst dello sviluppo in IAM**. Questa opzione crea un ruolo di servizio che contiene la politica di autorizzazioni e la politica di fiducia per il ruolo di sviluppo. Il ruolo avrà un nome`CodeCatalystWorkflowDevelopmentRole-spaceName`. Per ulteriori informazioni sul ruolo e sulla politica relativa ai ruoli, vedere[Comprensione del ruolo **CodeCatalystWorkflowDevelopmentRole-*spaceName***del servizio](#ipa-iam-roles-service-role).
**Nota**
Questo ruolo è consigliato solo per gli account sviluppatore e utilizza la politica `AdministratorAccess` AWS gestita, che gli consente l'accesso completo alla creazione di nuove politiche e risorse Account AWS.
1. Scegli **Crea ruolo di sviluppo**.
1. Nella pagina delle connessioni, in **Ruoli IAM disponibili per CodeCatalyst**, visualizza il `CodeCatalystWorkflowDevelopmentRole-spaceName` ruolo nell'elenco dei ruoli IAM aggiunti al tuo account.
1. Per tornare al tuo spazio, scegli **Vai su Amazon CodeCatalyst**.
## Comprendere il ruolo **AWSRoleForCodeCatalystSupport**del servizio
Puoi aggiungere un ruolo IAM per il tuo spazio che CodeCatalyst gli utenti di uno spazio possono utilizzare per creare e accedere a casi di supporto. Questo è chiamato [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per il supporto. Il modo più semplice per creare un ruolo di servizio per l'assistenza è aggiungerne uno quando si crea lo spazio e scegliere l'`AWSRoleForCodeCatalystSupport`opzione per quel ruolo. Questo non solo crea la politica e il ruolo, ma crea anche la politica di fiducia che consente di CodeCatalyst assumere il ruolo per conto degli utenti nei progetti dello spazio. Il ruolo di servizio è limitato allo spazio, non ai singoli progetti. Per creare questo ruolo, consulta [Creazione del **AWSRoleForCodeCatalystSupport**ruolo per il tuo account e il tuo spazio](#ipa-iam-roles-support-create).
La politica allegata al `AWSRoleForCodeCatalystSupport` ruolo è una politica gestita che fornisce l'accesso alle autorizzazioni di supporto. Per ulteriori informazioni, consulta [AWS politica gestita: AmazonCodeCatalystSupportAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonCodeCatalystSupportAccess).
Il ruolo di fiducia per la politica consente di CodeCatalyst assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst.amazonaws.com",
"codecatalyst-runner.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Creazione del **AWSRoleForCodeCatalystSupport**ruolo per il tuo account e il tuo spazio
Segui questi passaggi per creare il `AWSRoleForCodeCatalystSupport` ruolo che verrà utilizzato per i casi di assistenza nel tuo spazio. Il ruolo deve essere aggiunto all'account di fatturazione designato per lo spazio.
Prima di iniziare, devi disporre dei privilegi amministrativi Account AWS o essere in grado di lavorare con il tuo amministratore. Per ulteriori informazioni su come Account AWS vengono utilizzati i ruoli IAM CodeCatalyst, consulta[Consentire l'accesso alle AWS risorse con connessione Account AWS](ipa-connect-account.md).
**Per creare e aggiungere il CodeCatalyst **AWSRoleForCodeCatalystSupport****
1. Prima di iniziare a utilizzare la CodeCatalyst console, apri il Console di gestione AWS, quindi assicurati di aver effettuato l'accesso con lo stesso Account AWS nome del tuo spazio.
1. Accedi al tuo CodeCatalyst spazio. Selezionare **Settings (Impostazioni)**, quindi scegliere **Account AWS**.
1. Scegli il link relativo alla Account AWS posizione in cui desideri creare il ruolo. Viene visualizzata la pagina dei **Account AWS dettagli**.
1. Scegli **Gestisci ruoli da Console di gestione AWS**.
La pagina **Aggiungi ruolo IAM CodeCatalyst allo spazio Amazon** si apre in Console di gestione AWS. Questa è la pagina **Amazon CodeCatalyst Spaces**. Potrebbe essere necessario effettuare il login per accedere alla pagina.
1. In **Dettagli CodeCatalyst dello spazio**, scegli **Aggiungi ruolo CodeCatalyst Support**. Questa opzione crea un ruolo di servizio che contiene la politica di autorizzazioni e la politica di attendibilità per il ruolo di sviluppo in anteprima. Il ruolo avrà un nome **AWSRoleForCodeCatalystSupport**con un identificatore univoco aggiunto. Per ulteriori informazioni sul ruolo e sulla politica relativa ai ruoli, vedere. [Comprendere il ruolo **AWSRoleForCodeCatalystSupport**del servizio](#ipa-iam-roles-support-role)
1. Nella pagina **Aggiungi ruolo per CodeCatalyst Support**, lascia selezionata l'impostazione predefinita, quindi scegli **Crea ruolo**.
1. In **Ruoli IAM disponibili per CodeCatalyst**, visualizza il `CodeCatalystWorkflowDevelopmentRole-spaceName` ruolo nell'elenco dei ruoli IAM aggiunti al tuo account.
1. Per tornare al tuo spazio, scegli **Vai su Amazon CodeCatalyst**.
## Configurazione dei ruoli IAM per le azioni del flusso di lavoro in CodeCatalyst
Questa sezione descrive in dettaglio i ruoli e le policy IAM che puoi creare da utilizzare con il tuo CodeCatalyst account. Per istruzioni su come creare ruoli di esempio, consulta[Creazione manuale di ruoli per le azioni del flusso di lavoro](#ipa-iam-roles-actions). Dopo aver creato il ruolo IAM, copia l'ARN del ruolo per aggiungere il ruolo IAM alla connessione dell'account e associarlo all'ambiente del progetto. Per ulteriori informazioni, consulta [Aggiunta di ruoli IAM alle connessioni degli account](ipa-connect-account-addroles.md).
### CodeCatalyst creare un ruolo per l'accesso ad Amazon S3
Per le azioni CodeCatalyst di creazione del flusso di lavoro, puoi utilizzare il ruolo **CodeCatalystWorkflowDevelopmentRole-*spaceName***di servizio predefinito oppure puoi creare un ruolo IAM denominato **CodeCatalystBuildRoleforS3Access**. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Scrivi su bucket Amazon S3.
+ Supporta la creazione di risorse con CloudFormation. Ciò richiede l'accesso ad Amazon S3.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst crea un ruolo per CloudFormation
Per le azioni CodeCatalyst di creazione del flusso di lavoro, puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Supporta la creazione di risorse con CloudFormation. Questo è necessario insieme al ruolo di CodeCatalyst costruzione per l'accesso ad Amazon S3 e al ruolo di CodeCatalyst distribuzione per. CloudFormation
A questo ruolo devono essere associate le seguenti politiche AWS gestite:
+ **AWSCloudFormationFullAccess**
+ **IAMFullAccesso**
+ **Amazon S3 FullAccess**
+ **APIGatewayAmministratore Amazon**
+ **AWSLambdaFullAccess**
### CodeCatalyst crea un ruolo per CDK
Per CodeCatalyst i flussi di lavoro che eseguono azioni di compilazione CDK, come l'applicazione Web moderna a tre livelli, puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'avvio e l'esecuzione dei comandi di compilazione CDK per le risorse del tuo. CloudFormation Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Scrivi su bucket Amazon S3.
+ Supporta la creazione di costrutti CDK e stack di CloudFormation risorse. Ciò richiede l'accesso ad Amazon S3 per lo storage degli artefatti, Amazon ECR per il supporto degli archivi di immagini e SSM per la governance e il monitoraggio del sistema per le istanze virtuali.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst distribuisci ruolo per CloudFormation
Per le azioni CodeCatalyst di distribuzione del flusso di lavoro che utilizzano CloudFormation, puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure puoi utilizzare una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Consente di CodeCatalyst richiamare una funzione λ tramite la quale eseguire la blue/green distribuzione. CloudFormation
+ Consenti CodeCatalyst di creare e aggiornare stack e changeset in. CloudFormation
Questo ruolo utilizza la seguente politica:
```
{"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:Describe*",
"cloudformation:UpdateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:SetStackPolicy",
"cloudformation:ValidateTemplate",
"cloudformation:List*",
"iam:PassRole"
],
"Resource": "resource_ARN",
"Effect": "Allow"
}
```
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di implementazione per Amazon EC2
CodeCatalyst le azioni di distribuzione del flusso di lavoro utilizzano un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon EC2 del tuo. Account AWS La politica predefinita per il **CodeCatalystWorkflowDevelopmentRole-*spaceName***ruolo non include le autorizzazioni per Amazon EC2 o Amazon EC2 Auto Scaling.
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Crea distribuzioni Amazon EC2.
+ Leggi i tag su un'istanza o identifica un'istanza Amazon EC2 tramite i nomi dei gruppi di Auto Scaling.
+ Leggi, crea, aggiorna ed elimina i gruppi, gli hook del ciclo di vita e le politiche di scalabilità di Amazon EC2 Auto Scaling.
+ Pubblica informazioni su argomenti di Amazon SNS.
+ Recupera informazioni sugli CloudWatch allarmi.
+ Leggi e aggiorna Elastic Load Balancing.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di implementazione per Amazon ECS
Per le azioni relative al CodeCatalyst flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure puoi creare un ruolo IAM per le azioni di distribuzione da utilizzare per le CodeCatalyst distribuzioni Lambda. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon ECS del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Avvia la distribuzione continua di Amazon ECS per conto di un CodeCatalyst utente, in un account specificato nella CodeCatalyst connessione.
+ Leggi, aggiorna ed elimina i set di attività di Amazon ECS.
+ Aggiorna i gruppi target, gli ascoltatori e le regole di Elastic Load Balancing.
+ Richiama le funzioni Lambda.
+ Accedi ai file di revisione nei bucket Amazon S3.
+ Recupera informazioni sugli allarmi. CloudWatch
+ Pubblica informazioni su argomenti di Amazon SNS.
Questo ruolo utilizza la seguente politica:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action":[
"ecs:DescribeServices",
"ecs:CreateTaskSet",
"ecs:DeleteTaskSet",
"ecs:ListClusters",
"ecs:RegisterTaskDefinition",
"ecs:UpdateServicePrimaryTaskSet",
"ecs:UpdateService",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:ModifyRule",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"cloudwatch:DescribeAlarms",
"sns:Publish",
"sns:ListTopics",
"s3:GetObject",
"s3:GetObjectVersion",
"codedeploy:CreateApplication",
"codedeploy:CreateDeployment",
"codedeploy:CreateDeploymentGroup",
"codedeploy:GetApplication",
"codedeploy:GetDeployment",
"codedeploy:GetDeploymentGroup",
"codedeploy:ListApplications",
"codedeploy:ListDeploymentGroups",
"codedeploy:ListDeployments",
"codedeploy:StopDeployment",
"codedeploy:GetDeploymentTarget",
"codedeploy:ListDeploymentTargets",
"codedeploy:GetDeploymentConfig",
"codedeploy:GetApplicationRevision",
"codedeploy:RegisterApplicationRevision",
"codedeploy:BatchGetApplicationRevisions",
"codedeploy:BatchGetDeploymentGroups",
"codedeploy:BatchGetDeployments",
"codedeploy:BatchGetApplications",
"codedeploy:ListApplicationRevisions",
"codedeploy:ListDeploymentConfigs",
"codedeploy:ContinueDeployment"
],
"Resource":"*",
"Effect":"Allow"
},{"Action":[
"iam:PassRole"
],
"Effect":"Allow",
"Resource":"*",
"Condition":{"StringLike":{"iam:PassedToService":[
"ecs-tasks.amazonaws.com",
"codedeploy.amazonaws.com"
]
}
}
}]
}
```
------
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di implementazione per Lambda
Per le azioni relative al CodeCatalyst flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure creare un ruolo IAM per le azioni di distribuzione da utilizzare per le CodeCatalyst distribuzioni Lambda. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Lambda del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Leggi, aggiorna e richiama funzioni e alias Lambda.
+ Accedi ai file di revisione nei bucket Amazon S3.
+ Recupera informazioni sugli allarmi Events. CloudWatch
+ Pubblica informazioni su argomenti di Amazon SNS.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di implementazione per Lambda
Per le azioni del CodeCatalyst flusso di lavoro, puoi utilizzare il ruolo **CodeCatalystWorkflowDevelopmentRole-*spaceName***di servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Lambda del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Leggi, aggiorna e richiama funzioni e alias Lambda.
+ Accedi ai file di revisione nei bucket Amazon S3.
+ Recupera informazioni sugli allarmi. CloudWatch
+ Pubblica informazioni su argomenti di Amazon SNS.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst distribuisci ruolo per AWS SAM
Per le azioni del CodeCatalyst flusso di lavoro, puoi utilizzare il ruolo di **CodeCatalystWorkflowDevelopmentRole-*spaceName***servizio predefinito oppure puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività AWS SAM e CloudFormation risorse del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Consenti CodeCatalyst di richiamare una funzione Lambda per eseguire la distribuzione di applicazioni serverless AWS SAM e CLI.
+ Consenti di CodeCatalyst creare e aggiornare stack e changeset in. CloudFormation
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di sola lettura per Amazon EC2
Per le azioni CodeCatalyst del flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon EC2 del tuo. Account AWS Il ruolo **CodeCatalystWorkflowDevelopmentRole-*spaceName***di servizio non include le autorizzazioni per Amazon EC2 o le azioni descritte per Amazon. CloudWatch
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Ottieni lo stato delle istanze Amazon EC2.
+ Ottieni i CloudWatch parametri per le istanze Amazon EC2.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di sola lettura per Amazon ECS
Per le azioni CodeCatalyst del flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Amazon ECS del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per eseguire le seguenti operazioni:
+ Leggi i set di attività di Amazon ECS.
+ Recupera informazioni sugli CloudWatch allarmi.
Questo ruolo utilizza la seguente politica:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
### CodeCatalyst ruolo di sola lettura per Lambda
Per le azioni CodeCatalyst del flusso di lavoro, puoi creare un ruolo IAM con le autorizzazioni necessarie. Questo ruolo utilizza una policy con autorizzazioni mirate che CodeCatalyst richiede l'esecuzione di attività sulle risorse Lambda del tuo. Account AWS
Questo ruolo fornisce le autorizzazioni per quanto segue:
+ Leggi le funzioni e gli alias Lambda.
+ Accedi ai file di revisione nei bucket Amazon S3.
+ Recupera informazioni sugli allarmi. CloudWatch
Questo ruolo utilizza la policy seguente .
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni sul flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
## Creazione manuale di ruoli per le azioni del flusso di lavoro
CodeCatalyst le azioni del flusso di lavoro utilizzano i ruoli IAM creati dall'utente, denominati **build role**, **deploy role** e **stack** role.
Segui questi passaggi per creare questi ruoli in IAM.
**Per creare un ruolo di distribuzione**
1. Crea una politica per il ruolo, come segue:
1. Accedi a AWS.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Scegliere la scheda **JSON**.
1. Eliminare il codice esistente.
1. Incolla il codice seguente:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. In **Nome**, inserisci:
```
codecatalyst-deploy-policy
```
1. Scegli **Crea policy**.
Ora hai creato una politica di autorizzazioni.
1. Crea il ruolo di distribuzione, come segue:
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Scegli una **politica di fiducia personalizzata**.
1. Elimina la politica di fiducia personalizzata esistente.
1. Aggiungi la seguente politica di fiducia personalizzata:
1. Scegli **Next (Successivo)**.
1. Nelle **politiche di autorizzazione**, cerca `codecatalyst-deploy-policy` e seleziona la relativa casella di controllo.
1. Scegli **Next (Successivo)**.
1. Per **Nome del ruolo**, inserisci:
```
codecatalyst-deploy-role
```
1. Per la **descrizione del ruolo**, inserisci:
```
CodeCatalyst deploy role
```
1. Scegli **Crea ruolo**.
Ora hai creato un ruolo di distribuzione con una politica di fiducia e una politica di autorizzazioni.
1. Ottenere l'ARN del ruolo di distribuzione, come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato ()`codecatalyst-deploy-role`.
1. Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di **riepilogo** del ruolo.
1. In alto, copia il valore **ARN.**
Ora hai creato il ruolo di distribuzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
**Per creare un ruolo di costruzione**
1. Crea una politica per il ruolo, come segue:
1. Accedi a AWS.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Scegliere la scheda **JSON**.
1. Eliminare il codice esistente.
1. Incolla il codice seguente:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. In **Nome**, inserisci:
```
codecatalyst-build-policy
```
1. Scegli **Crea policy**.
Ora hai creato una politica di autorizzazioni.
1. Crea il ruolo di costruzione, come segue:
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Scegli una **politica di fiducia personalizzata**.
1. Elimina la politica di fiducia personalizzata esistente.
1. Aggiungi la seguente politica di fiducia personalizzata:
1. Scegli **Next (Successivo)**.
1. Nelle **politiche di autorizzazione**, cerca `codecatalyst-build-policy` e seleziona la relativa casella di controllo.
1. Scegli **Next (Successivo)**.
1. Per **Nome del ruolo**, inserisci:
```
codecatalyst-build-role
```
1. Per la **descrizione del ruolo**, inserisci:
```
CodeCatalyst build role
```
1. Scegli **Crea ruolo**.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
1. Ottieni l'ARN del ruolo di costruzione, come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (`codecatalyst-build-role`).
1. Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di **riepilogo** del ruolo.
1. In alto, copia il valore **ARN.**
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
**Per creare un ruolo stack**
**Nota**
Non è necessario creare un ruolo stack, sebbene sia consigliabile farlo per motivi di sicurezza. Se non crei il ruolo stack, dovrai aggiungere al ruolo di distribuzione le politiche di autorizzazione descritte più avanti in questa procedura.
1. Accedi per AWS utilizzare l'account in cui desideri distribuire il tuo stack.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Ruoli, quindi scegli **Crea** ruolo**.
1. Nella parte superiore, scegli **AWS servizio**.
1. Dall'elenco dei servizi, scegli **CloudFormation**.
1. Scegli **Successivo: autorizzazioni**.
1. Nella casella di ricerca, aggiungi le politiche necessarie per accedere alle risorse del tuo stack. Ad esempio, se lo stack include una AWS Lambda funzione, è necessario aggiungere una policy che garantisca l'accesso a Lambda.
**Suggerimento**
Se non sei sicuro delle politiche da aggiungere, puoi ometterle per ora. Quando provi l'azione, se non disponi delle autorizzazioni corrette, CloudFormation genera errori che mostrano quali autorizzazioni devi aggiungere.
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. Per il **nome del ruolo, inserisci**:
```
codecatalyst-stack-role
```
1. Scegli **Crea ruolo**.
1. Per ottenere l'ARN del ruolo stack, procedi come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato ()`codecatalyst-stack-role`.
1. Scegli il ruolo dall'elenco.
1. Nella pagina **Riepilogo**, copia il valore **Role ARN.**
## Utilizzo AWS CloudFormation per creare politiche e ruoli in IAM
Puoi scegliere di creare e utilizzare AWS CloudFormation modelli per creare le politiche e i ruoli necessari per accedere alle risorse in e Account AWS per i tuoi CodeCatalyst progetti e flussi di lavoro. CloudFormation è un servizio che ti aiuta a modellare e configurare AWS le tue risorse in modo da poter dedicare meno tempo alla gestione di tali risorse e più tempo a concentrarti sulle applicazioni che girano su AWS. Se intendi creare ruoli in più ruoli Account AWS, la creazione di un modello può aiutarti a svolgere questa attività più rapidamente.
Il modello di esempio seguente crea un ruolo e una politica di implementazione.
```
Parameters:
CodeCatalystAccountId:
Type: String
Description: Account ID from the connections page
ExternalId:
Type: String
Description: External ID from the connections page
Resources:
CrossAccountRole:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref CodeCatalystAccountId
Action:
- 'sts:AssumeRole'
Condition:
StringEquals:
sts:ExternalId: !Ref ExternalId
Path: /
Policies:
- PolicyName: CodeCatalyst-CloudFormation-action-policy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- 'cloudformation:CreateStack'
- 'cloudformation:DeleteStack'
- 'cloudformation:Describe*'
- 'cloudformation:UpdateStack'
- 'cloudformation:CreateChangeSet'
- 'cloudformation:DeleteChangeSet'
- 'cloudformation:ExecuteChangeSet'
- 'cloudformation:SetStackPolicy'
- 'cloudformation:ValidateTemplate'
- 'cloudformation:List*'
- 'iam:PassRole'
Resource: '*'
```
## Creazione manuale del ruolo per il blueprint dell'applicazione Web
**Il blueprint dell'applicazione CodeCatalyst Web utilizza i ruoli IAM creati dall'utente, denominati **build role for CDK**, **deploy role e stack role**.**
Segui questi passaggi per creare il ruolo in IAM.
**Per creare un ruolo di costruzione**
1. Crea una politica per il ruolo, come segue:
1. Accedi a AWS.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegliere **Create Policy (Crea policy)**.
1. Scegliere la scheda **JSON**.
1. Eliminare il codice esistente.
1. Incolla il codice seguente:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. In **Nome**, inserisci:
```
codecatalyst-webapp-build-policy
```
1. Scegli **Crea policy**.
Ora hai creato una politica di autorizzazioni.
1. Crea il ruolo di costruzione, come segue:
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Scegli una **politica di fiducia personalizzata**.
1. Elimina la politica di fiducia personalizzata esistente.
1. Aggiungi la seguente politica di fiducia personalizzata:
1. Scegli **Next (Successivo)**.
1. Allega la politica delle autorizzazioni al ruolo di costruzione. Nella pagina **Aggiungi autorizzazioni**, nella sezione **Politiche di autorizzazione**, cerca `codecatalyst-webapp-build-policy` e seleziona la relativa casella di controllo.
1. Scegli **Next (Successivo)**.
1. Per **Nome del ruolo, inserisci**:
```
codecatalyst-webapp-build-role
```
1. Per la **descrizione del ruolo**, inserisci:
```
CodeCatalyst Web app build role
```
1. Scegli **Crea ruolo**.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
1. Allega la politica delle autorizzazioni al ruolo di compilazione, come segue:
1. Nel riquadro di navigazione, scegli **Ruoli**, quindi cerca`codecatalyst-webapp-build-role`. ``
1. Scegli `codecatalyst-webapp-build-role` di visualizzarne i dettagli. ``
1. Nella scheda **Autorizzazioni**, scegli **Aggiungi autorizzazioni**, quindi scegli **Allega** criteri.
1. Cerca`codecatalyst-webapp-build-policy`, seleziona la relativa casella di controllo, quindi scegli **Allega** politiche.
Ora hai allegato la politica delle autorizzazioni al ruolo di costruzione. Il ruolo build ora ha due politiche: una politica di autorizzazioni e una politica di fiducia.
1. Ottieni l'ARN del ruolo di costruzione, come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (`codecatalyst-webapp-build-role`).
1. Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di **riepilogo** del ruolo.
1. In alto, copia il valore **ARN.**
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
## Creazione manuale di ruoli per il blueprint SAM
Il blueprint CodeCatalyst SAM utilizza i ruoli IAM creati dall'utente, denominati **build role for CloudFormation** e **deploy role** for SAM.
Segui questi passaggi per creare i ruoli in IAM.
**Per creare un ruolo di costruzione per CloudFormation**
1. Crea una politica per il ruolo, come segue:
1. Accedi a AWS.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegliere **Create Policy (Crea policy)**.
1. Scegliere la scheda **JSON**.
1. Eliminare il codice esistente.
1. Incolla il codice seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*",
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
------
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. In **Nome**, inserisci:
```
codecatalyst-SAM-build-policy
```
1. Scegli **Crea policy**.
Ora hai creato una politica di autorizzazioni.
1. Crea il ruolo di costruzione, come segue:
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Scegli una **politica di fiducia personalizzata**.
1. Elimina la politica di fiducia personalizzata esistente.
1. Aggiungi la seguente politica di fiducia personalizzata:
1. Scegli **Next (Successivo)**.
1. Allega la politica delle autorizzazioni al ruolo di costruzione. Nella pagina **Aggiungi autorizzazioni**, nella sezione **Politiche di autorizzazione**, cerca `codecatalyst-SAM-build-policy` e seleziona la relativa casella di controllo.
1. Scegli **Next (Successivo)**.
1. Per **Nome del ruolo, inserisci**:
```
codecatalyst-SAM-build-role
```
1. Per la **descrizione del ruolo**, inserisci:
```
CodeCatalyst SAM build role
```
1. Scegli **Crea ruolo**.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
1. Allega la politica delle autorizzazioni al ruolo di compilazione, come segue:
1. Nel riquadro di navigazione, scegli **Ruoli**, quindi cerca`codecatalyst-SAM-build-role`. ``
1. Scegli `codecatalyst-SAM-build-role` di visualizzarne i dettagli. ``
1. Nella scheda **Autorizzazioni**, scegli **Aggiungi autorizzazioni**, quindi scegli **Allega** criteri.
1. Cerca`codecatalyst-SAM-build-policy`, seleziona la relativa casella di controllo, quindi scegli **Allega** politiche.
Ora hai allegato la politica delle autorizzazioni al ruolo di costruzione. Il ruolo build ora ha due politiche: una politica di autorizzazioni e una politica di fiducia.
1. Ottieni l'ARN del ruolo di costruzione, come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (`codecatalyst-SAM-build-role`).
1. Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di **riepilogo** del ruolo.
1. In alto, copia il valore **ARN.**
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
**Per creare un ruolo di distribuzione per SAM**
1. Crea una politica per il ruolo, come segue:
1. Accedi a AWS.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegliere **Create Policy (Crea policy)**.
1. Scegliere la scheda **JSON**.
1. Eliminare il codice esistente.
1. Incolla il codice seguente:
**Nota**
La prima volta che il ruolo viene utilizzato per eseguire azioni del flusso di lavoro, utilizza il carattere jolly nell'informativa sulla politica delle risorse, quindi definisci la politica inserendo il nome della risorsa dopo che è disponibile.
```
"Resource": "*"
```
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. In **Nome**, inserisci:
```
codecatalyst-SAM-deploy-policy
```
1. Scegli **Crea policy**.
Ora hai creato una politica di autorizzazioni.
1. Crea il ruolo di costruzione, come segue:
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Scegli una **politica di fiducia personalizzata**.
1. Elimina la politica di fiducia personalizzata esistente.
1. Aggiungi la seguente politica di fiducia personalizzata:
1. Scegli **Next (Successivo)**.
1. Allega la politica delle autorizzazioni al ruolo di costruzione. Nella pagina **Aggiungi autorizzazioni**, nella sezione **Politiche di autorizzazione**, cerca `codecatalyst-SAM-deploy-policy` e seleziona la relativa casella di controllo.
1. Scegli **Next (Successivo)**.
1. Per **Nome del ruolo, inserisci**:
```
codecatalyst-SAM-deploy-role
```
1. Per la **descrizione del ruolo**, inserisci:
```
CodeCatalyst SAM deploy role
```
1. Scegli **Crea ruolo**.
Ora hai creato un ruolo di sviluppo con una politica di fiducia e una politica di autorizzazioni.
1. Allega la politica delle autorizzazioni al ruolo di compilazione, come segue:
1. Nel riquadro di navigazione, scegli **Ruoli**, quindi cerca`codecatalyst-SAM-deploy-role`. ``
1. Scegli `codecatalyst-SAM-deploy-role` di visualizzarne i dettagli. ``
1. Nella scheda **Autorizzazioni**, scegli **Aggiungi autorizzazioni**, quindi scegli **Allega** criteri.
1. Cerca`codecatalyst-SAM-deploy-policy`, seleziona la relativa casella di controllo, quindi scegli **Allega** politiche.
Ora hai allegato la politica delle autorizzazioni al ruolo di costruzione. Il ruolo build ora ha due politiche: una politica di autorizzazioni e una politica di fiducia.
1. Ottieni l'ARN del ruolo di costruzione, come segue:
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, inserisci il nome del ruolo che hai appena creato (`codecatalyst-SAM-deploy-role`).
1. Scegli il ruolo dall'elenco.
Viene visualizzata la pagina di **riepilogo** del ruolo.
1. In alto, copia il valore **ARN.**
Ora hai creato il ruolo di costruzione con le autorizzazioni appropriate e ottenuto il relativo ARN.
# Convalida della conformità per Amazon CodeCatalyst
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza in Amazon CodeCatalyst
L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
Per ulteriori informazioni sulle zone Regioni AWS di disponibilità, vedere [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/). Per ulteriori informazioni su quali CodeCatalyst dati vengono replicati Regioni AWS, consulta[Protezione dei dati in Amazon CodeCatalyst](data-protection.md).
# Sicurezza dell'infrastruttura in Amazon CodeCatalyst
In quanto servizio gestito, Amazon CodeCatalyst è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere CodeCatalyst attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# Analisi della configurazione e delle vulnerabilità in Amazon CodeCatalyst
La configurazione e i controlli IT sono una responsabilità condivisa tra te AWS e te, nostro cliente. Per ulteriori informazioni, consulta il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/).
# I tuoi dati e la tua privacy in Amazon CodeCatalyst
Amazon CodeCatalyst prende sul serio la tua privacy e la sicurezza delle tue informazioni è la nostra massima priorità. Puoi leggere ulteriori informazioni su come gestiamo le tue informazioni nell'[AWS Informativa sulla privacy](https://aws.amazon.com/privacy/).
Per richiedere e visualizzare i tuoi dati, consulta [Richiesta dei tuoi dati](https://docs.aws.amazon.com/general/latest/gr/privacy-aws_builder_id.html#request-delete-aws_builder_id) in. Riferimenti generali di AWS
## Eliminazione del profilo AWS Builder ID
L'eliminazione del tuo profilo è un'azione permanente che non può essere annullata. **Il processo di eliminazione inizia immediatamente dopo aver scelto Elimina.** Amazon CodeCatalyst inizia a eliminare il tuo profilo e tutte le informazioni personali associate. Il completamento di questo processo può richiedere fino a 90 giorni.
Quando il tuo profilo viene eliminato, non puoi accedere o recuperare i tuoi dati in Amazon CodeCatalyst. Ciò include i token di accesso personali, i ruoli, le iscrizioni degli utenti e tutti CodeCatalyst gli spazi Amazon di cui sei l'unico membro. Non puoi più accedere ad Amazon CodeCatalyst.
Per informazioni su come eliminare il tuo profilo AWS Builder ID, consulta [Eliminazione del tuo ID AWS Builder](https://docs.aws.amazon.com/general/latest/gr/delete-aws_builder_id.html) in. Riferimenti generali di AWS
# Le migliori pratiche per le azioni del flusso di lavoro in Amazon CodeCatalyst
Esistono diverse best practice di sicurezza da prendere in considerazione durante lo sviluppo dei flussi di lavoro. CodeCatalyst Le seguenti sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.
**Topics**
+ [Informazioni sensibili](#sensitive-info)
+ [Termini di licenza](#licensing-terms)
+ [Codice non affidabile](#untrusted-code)
+ [GitHub Azioni](#github-actions)
## Informazioni sensibili
Non incorporare informazioni sensibili nel tuo YAML. Invece di incorporare credenziali, chiavi o token nel tuo YAML, ti consigliamo di utilizzare dei segreti. CodeCatalyst I segreti offrono un modo semplice per archiviare e fare riferimento a informazioni sensibili all'interno del tuo YAML.
## Termini di licenza
Assicurati di prestare attenzione ai termini di licenza dell'azione che scegli di utilizzare.
## Codice non affidabile
Le azioni sono generalmente moduli autonomi e monouso che possono essere condivisi all'interno di un progetto, di uno spazio o di una comunità più ampia. L'utilizzo di codice altrui può essere un grande vantaggio in termini di praticità ed efficienza, ma introduce anche un nuovo vettore di minacce. Consulta le seguenti sezioni per assicurarti di seguire le migliori pratiche per proteggere i flussi di lavoro CI/CD.
## GitHub Azioni
GitHub Le azioni sono open source, create e gestite dalla comunità. Seguiamo il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) e consideriamo il codice sorgente di GitHub Actions come dati dei clienti di cui sei responsabile. GitHub Actions può avere accesso ai segreti, ai token del repository, al codice sorgente, ai link degli account e al tempo di elaborazione. Assicurati di avere fiducia nell'affidabilità e nella sicurezza delle GitHub azioni che intendi eseguire.
Linee guida più specifiche e migliori pratiche di sicurezza per GitHub Actions:
+ [Rafforzamento della sicurezza](https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions)
+ [Prevenzione delle richieste proprie](https://securitylab.github.com/research/github-actions-preventing-pwn-requests/)
+ [Input non attendibile](https://securitylab.github.com/research/github-actions-untrusted-input/)
+ [Come fidarsi dei propri elementi costitutivi](https://securitylab.github.com/research/github-actions-building-blocks/)
# Comprendere il modello CodeCatalyst di fiducia
Il modello di CodeCatalyst fiducia di Amazon CodeCatalyst consente di assumere il ruolo di servizio nel mondo connesso Account AWS. Il modello collega il ruolo IAM, i responsabili del CodeCatalyst servizio e lo CodeCatalyst spazio. La policy di fiducia utilizza la chiave di `aws:SourceArn` condizione per concedere le autorizzazioni allo CodeCatalyst spazio specificato nella chiave di condizione. Per ulteriori informazioni su questa chiave di condizione, consulta [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) nella *IAM User Guide*.
Una policy di attendibilità documento di policy JSON in cui si definiscono i principali considerati attendibili per assumere il ruolo. Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo in IAM. Per ulteriori informazioni, consulta [Termini e concetti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) nella *Guida per l'utente IAM*. Per dettagli sui principali servizi per CodeCatalyst, consulta[Principali del servizio per CodeCatalyst](#service-principals).
Nella seguente politica di attendibilità, ai principali di servizio elencati nell'`Principal`elemento vengono concesse le autorizzazioni previste dalla politica basata sulle risorse e il `Condition` blocco viene utilizzato per limitare l'accesso alla risorsa limitata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"codecatalyst-runner.amazonaws.com",
"codecatalyst.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:codecatalyst:::space/spaceId/project/*"
}
}
}
]
}
```
------
Nella politica di fiducia, i responsabili del CodeCatalyst servizio hanno accesso tramite la chiave di `aws:SourceArn` condizione, che contiene l'Amazon Resource Name (ARN) per CodeCatalyst l'ID dello spazio. L'ARN utilizza il seguente formato:
```
arn:aws:codecatalyst:::space/spaceId/project/*
```
**Importante**
Utilizzate l'ID dello spazio solo nei tasti di condizione, ad esempio`aws:SourceArn`. Non utilizzare l'ID dello spazio nelle istruzioni delle politiche IAM come ARN di risorse.
Come best practice, riduci il più possibile le autorizzazioni nella policy.
+ È possibile utilizzare il carattere jolly (\$1) nella chiave di `aws:SourceArn` condizione per specificare tutti i progetti nello spazio con. `project/*`
+ È possibile specificare le autorizzazioni a livello di risorsa nella chiave di `aws:SourceArn` condizione per un progetto specifico nello spazio con. `project/projectId`
## Principali del servizio per CodeCatalyst
Si utilizza l'`Principal`elemento in una policy JSON basata sulle risorse per specificare il principale a cui è consentito o negato l'accesso a una risorsa. I principali che è possibile specificare nella policy di attendibilità includono utenti, ruoli, account e servizi. Non è possibile utilizzare l'`Principal`elemento in una policy basata sull'identità; allo stesso modo, non è possibile identificare un gruppo di utenti come principale in una policy (ad esempio una policy basata sulle risorse) perché i gruppi si riferiscono alle autorizzazioni, non all'autenticazione, e i principali sono entità IAM autenticate.
Nella policy di fiducia, è possibile specificare l'`Principal`elemento di una policy basata sulle Servizi AWS risorse o le chiavi di condizione che supportano i principali. I principali del servizio sono definiti dal servizio. Di seguito sono riportati i principali di servizio definiti per: CodeCatalyst
+ **codecatalyst.amazonaws.com** - Questo responsabile del servizio viene utilizzato per un ruolo a cui verrà concesso l'accesso. CodeCatalyst AWS
+ **codecatalyst-runner.amazonaws.com** - Questo responsabile del servizio viene utilizzato per un ruolo che garantirà l'accesso alle risorse nelle distribuzioni per i flussi di lavoro. CodeCatalyst AWS CodeCatalyst
[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)