Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità e degli accessi per AWS CodeStar notifiche e AWS CodeConnections
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare AWS CodeStar le notifiche e le risorse. AWS CodeConnections IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Nota**
Sono disponibili azioni per le risorse create con il nuovo prefisso `codeconnections` di servizio. La creazione di una risorsa con il nuovo prefisso di servizio verrà utilizzata `codeconnections` nella risorsa ARN. Le azioni e le risorse per il prefisso del `codestar-connections` servizio rimangono disponibili. Quando si specifica una risorsa nella policy IAM, il prefisso del servizio deve corrispondere a quello della risorsa.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funzionano le caratteristiche nella console degli strumenti di sviluppo con IAM](security_iam_service-with-iam.md)
+ [AWS CodeConnections riferimento alle autorizzazioni](#permissions-reference-connections)
+ [Esempi di policy basate su identità](security_iam_id-based-policy-examples.md)
+ [Utilizzo dei tag per controllare l'accesso alle risorse AWS CodeConnections](connections-tag-based-access-control.md)
+ [Utilizzo di notifiche e connessioni nella console](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Risoluzione dei problemi relativi a AWS CodeStar notifiche, identità e accesso AWS CodeConnections](security_iam_troubleshoot.md)
+ [Utilizzo di ruoli collegati ai servizi per le notifiche AWS CodeStar](using-service-linked-roles.md)
+ [Utilizzo di ruoli collegati ai servizi per AWS CodeConnections](service-linked-role-connections.md)
+ [AWS politiche gestite per AWS CodeConnections](security-iam-awsmanpol.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi a AWS CodeStar notifiche, identità e accesso AWS CodeConnections](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funzionano le caratteristiche nella console degli strumenti di sviluppo con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate su identità](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Utente root dell'account AWS
Quando si crea una Account AWS, si inizia con un'identità di accesso chiamata *utente Account AWS root* che ha accesso completo a tutte le risorse. Servizi AWS Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
## AWS CodeConnections riferimento alle autorizzazioni
Le tabelle seguenti elencano ogni operazione AWS CodeConnections API, le azioni corrispondenti per le quali è possibile concedere le autorizzazioni e il formato della risorsa ARN da utilizzare per la concessione delle autorizzazioni. AWS CodeConnections APIs Sono raggruppate in tabelle in base all'ambito delle azioni consentite da tale API. Usale come riferimento durante la stesura delle policy di autorizzazione da collegare a un'identità IAM (policy basate su identità).
Quando si crea una policy di autorizzazione, è necessario specificare le operazioni nel campo `Action` della policy. Puoi specificare il valore della risorsa nel campo `Resource` della policy come ARN, con o senza un carattere jolly (\*).
Per esprimere le condizioni nelle policy di connessione, utilizza le chiavi di condizione descritte qui ed elencate in [Chiavi di condizione](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys). Puoi anche usare i tasti di condizione AWS-wide. Per un elenco completo delle chiavi AWS-wide, consulta [Available keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) nella *IAM User Guide*.
Per specificare un'operazione, utilizza il prefisso `codeconnections` seguito dal nome dell'operazione API (ad esempio, `codeconnections:ListConnections` o `codeconnections:CreateConnection`).
**Utilizzo di caratteri jolly**
Per specificare più operazioni o risorse, usa un carattere jolly (\*) nell'ARN. Ad esempio, `codeconnections:*` specifica tutte le AWS CodeConnections azioni e `codeconnections:Get*` specifica tutte le AWS CodeConnections azioni che iniziano con la parola. `Get` L'esempio seguente concede l'accesso completo a tutte le risorse con nomi che iniziano con `MyConnection`.
```
arn:aws:codeconnections:us-west-2:{{account-ID}}:connection/*
```
È possibile utilizzare i caratteri jolly solo con le {{connection}} risorse elencate nella tabella seguente. Non puoi usare i caratteri jolly con le nostre risorse{{region}}. {{account-id}} Per ulteriori informazioni sui caratteri jolly, consulta [Identificatori IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) nella *Guida per l'utente IAM*.
**Topics**
+ [Autorizzazioni per la gestione delle connessioni](#permissions-reference-connections-managing)
+ [Autorizzazioni per la gestione degli host](#permissions-reference-connections-hosts)
+ [Autorizzazioni per completare le connessioni](#permissions-reference-connections-handshake)
+ [Autorizzazioni per la configurazione degli host](#connections-permissions-actions-host-registration)
+ [Trasferimento di una connessione a un servizio](#permissions-reference-connections-passconnection)
+ [Utilizzo di una connessione](#permissions-reference-connections-use)
+ [Tipi di accesso supportati per `ProviderAction`](#permissions-reference-connections-access)
+ [Autorizzazioni supportate per l'assegnazione di tag alle risorse di connessione](#permissions-reference-connections-tagging)
+ [Passare una connessione a un collegamento di repository](#permissions-reference-connections-passrepository)
+ [Chiave di condizione supportata per i collegamenti al repository](#permissions-reference-connections-branch)
+ [Autorizzazioni supportate per la condivisione della connessione](#permissions-reference-connections-sharing)
### Autorizzazioni per la gestione delle connessioni
Un ruolo o un utente designato a utilizzare l'SDK AWS CLI o l'SDK per visualizzare, creare o eliminare connessioni deve avere le autorizzazioni limitate a quanto segue.
**Nota**
Non è possibile completare o utilizzare una connessione nella console con solo le seguenti autorizzazioni. È necessario aggiungere le autorizzazioni in [Autorizzazioni per completare le connessioni](#permissions-reference-connections-handshake).
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
```
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS CodeConnections autorizzazioni necessarie per la gestione delle connessioni**
| AWS CodeConnections azioni | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| CreateConnection | `codeconnections:CreateConnection`
Necessario per utilizzare la CLI o la console per creare una connessione. | arn:aws:codeconnections: ::connection/ {{region}} {{account-id}} {{connection-id}} |
| DeleteConnection | `codeconnections:DeleteConnection`
Necessario per utilizzare la CLI o la console per eliminare una connessione. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| GetConnection | `codeconnections:GetConnection`
Necessario per utilizzare la CLI o la console per visualizzare i dettagli su una connessione. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| ListConnections | `codeconnections:ListConnections`
Necessario per utilizzare la CLI o la console per elencare tutte le connessioni nell'account. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
Queste operazioni supportano le seguenti chiavi di condizione:
| Azione | Chiavi di condizione |
| --- | --- |
| `codeconnections:CreateConnection` | `codeconnections:ProviderType` |
| codeconnections:DeleteConnection | N/D |
| codeconnections:GetConnection | N/D |
| codeconnections:ListConnections | codeconnections:ProviderTypeFilter |
### Autorizzazioni per la gestione degli host
Un ruolo o un utente designato a utilizzare l'SDK AWS CLI o l'SDK per visualizzare, creare o eliminare gli host deve disporre delle autorizzazioni limitate ai seguenti.
**Nota**
Non è possibile completare o utilizzare una connessione nell'host con solo le seguenti autorizzazioni. È necessario aggiungere le autorizzazioni in [Autorizzazioni per la configurazione degli host](#connections-permissions-actions-host-registration).
```
codeconnections:CreateHost
codeconnections:DeleteHost
codeconnections:GetHost
codeconnections:ListHosts
```
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS CodeConnections autorizzazioni necessarie per la gestione degli host**
| AWS CodeConnections azioni | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| CreateHost | `codeconnections:CreateHost`
Necessario per utilizzare la CLI o la console per creare un host. | arn:aws:codeconnections: ::host/ {{region}} {{account-id}} {{host-id}} |
| DeleteHost | `codeconnections:DeleteHost`
Necessario per utilizzare la CLI o la console per eliminare un host. | codeconnections: ::host/ {{region}} {{account-id}} {{host-id}} |
| GetHost | `codeconnections:GetHost`
Necessario per utilizzare la CLI o la console per visualizzare i dettagli di un host. | arn:aws:codeconnections{{region}}: ::host/ {{account-id}} {{host-id}} |
| ListHosts | `codeconnections:ListHosts`
Necessario per utilizzare la CLI o la console per elencare tutti gli host nell'account. | arn:aws:codeconnections: {{region}} ::host/ {{account-id}} {{host-id}} |
Queste operazioni supportano le seguenti chiavi di condizione:
| Azione | Chiavi di condizione |
| --- | --- |
| `codeconnections:CreateHost` | `codeconnections:ProviderType`
`codeconnections:VpcId` |
| codeconnections:DeleteHost | N/D |
| codeconnections:GetHost | N/D |
| codeconnections:ListHosts | codeconnections:ProviderTypeFilter |
Per un esempio di politica che utilizza la chiave **VpcId**condition, vedi[Esempio: limita le autorizzazioni VPC dell'host utilizzando la chiave di contesto **VpcId**](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-vpc).
### Autorizzazioni per completare le connessioni
Un ruolo o un utente designato per gestire le connessioni nella console deve disporre delle autorizzazioni necessarie per completare una connessione nella console e creare un'installazione, che include l'autorizzazione dell'handshake al provider e la creazione di installazioni da utilizzare per le connessioni. Utilizzare le seguenti autorizzazioni oltre alle autorizzazioni precedenti.
Le seguenti operazioni IAM vengono utilizzate dalla console durante l'esecuzione di un handshake basato su browser. `ListInstallationTargets`, `GetInstallationUrl`, `StartOAuthHandshake`, `UpdateConnectionInstallation`, e `GetIndividualAccessToken` sono autorizzazioni di policy IAM. Non sono operazioni API.
```
codeconnections:GetIndividualAccessToken
codeconnections:GetInstallationUrl
codeconnections:ListInstallationTargets
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
```
In base a ciò, sono necessarie le seguenti autorizzazioni per utilizzare, creare, aggiornare o eliminare una connessione nella console.
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
```
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS CodeConnections autorizzazioni necessarie per completare le connessioni**
| AWS CodeConnections azioni | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| `GetIndividualAccessToken` | `codeconnections:GetIndividualAccessToken`
Necessario per utilizzare la console per completare una connessione. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codeconnections: ::connection/ {{region}} {{account-id}} {{connection-id}} |
| `GetInstallationUrl` | `codeconnections:GetInstallationUrl`
Necessario per utilizzare la console per completare una connessione. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `ListInstallationTargets` | `codeconnections:ListInstallationTargets`
Necessario per utilizzare la console per completare una connessione. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `StartOAuthHandshake` | `codeconnections:StartOAuthHandshake`
Necessario per utilizzare la console per completare una connessione. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `UpdateConnectionInstallation` | `codeconnections:UpdateConnectionInstallation`
Necessario per utilizzare la console per completare una connessione. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
Queste operazioni supportano le seguenti chiavi di condizione.
| Azione | Chiavi di condizione |
| --- | --- |
| codeconnections:GetIndividualAccessToken | codeconnections:ProviderType |
| codeconnections:GetInstallationUrl | codeconnections:ProviderType |
| `codeconnections:ListInstallationTargets` | N/D |
| codeconnections:StartOAuthHandshake | codeconnections:ProviderType |
| codeconnections:UpdateConnectionInstallation | codeconnections:InstallationId |
### Autorizzazioni per la configurazione degli host
Un ruolo o un utente designato per gestire le connessioni nella console deve disporre delle autorizzazioni necessarie per configurare un host nella console, incluse l'autorizzazione dell'handshake al provider e l'installazione dell'app host. Utilizzare le seguenti autorizzazioni oltre alle autorizzazioni per host precedenti.
Le seguenti operazioni IAM vengono utilizzate dalla console per eseguire una registrazione dell'host basata su browser. `RegisterAppCode` e `StartAppRegistrationHandshake` sono autorizzazioni delle policy IAM. Non sono operazioni API.
```
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
In base a ciò, sono necessarie le seguenti autorizzazioni per utilizzare, creare, aggiornare o eliminare una connessione nella console che richiede un host (ad esempio i tipi di provider installati).
```
codeconnections:CreateConnection
codeconnections:DeleteConnection
codeconnections:GetConnection
codeconnections:ListConnections
codeconnections:UseConnection
codeconnections:ListInstallationTargets
codeconnections:GetInstallationUrl
codeconnections:StartOAuthHandshake
codeconnections:UpdateConnectionInstallation
codeconnections:GetIndividualAccessToken
codeconnections:RegisterAppCode
codeconnections:StartAppRegistrationHandshake
```
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS CodeConnections autorizzazioni necessarie per completare la configurazione dell'host**
| Azioni di connessione | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| `RegisterAppCode` | `codeconnections:RegisterAppCode`
Necessario per utilizzare la console per completare la configurazione dell'host. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codeconnections: ::host/ {{region}} {{account-id}} {{host-id}} |
| `StartAppRegistrationHandshake` | `codeconnections:StartAppRegistrationHandshake`
Necessario per utilizzare la console per completare la configurazione dell'host. Si tratta solo di un'autorizzazione di policy IAM, non di un'operazione API. | arn:aws:codeconnections: {{region}} ::host/ {{account-id}} {{host-id}} |
Queste operazioni supportano le seguenti chiavi di condizione.
### Trasferimento di una connessione a un servizio
Quando una connessione viene trasferita a un servizio (ad esempio, quando un ARN di connessione viene fornito in una definizione di pipeline per creare o aggiornare una pipeline), l'utente deve disporre dell'autorizzazione `codeconnections:PassConnection`.
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS CodeConnections autorizzazioni necessarie per il passaggio di una connessione**
| AWS CodeConnections azioni | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| `PassConnection` | `codeconnections:PassConnection`
Necessario per passare una connessione a un servizio. | arn:aws:codeconnections: ::connection/ {{region}} {{account-id}} {{connection-id}} |
Questa operazione supporta anche la seguente chiave di condizione:
+ `codeconnections:PassedToService`
**Valori supportati per le chiavi di condizione**
| Chiave | Provider di operazione validi |
| --- | --- |
| `codeconnections:PassedToService` | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/dtconsole/latest/userguide/security-iam.html) |
### Utilizzo di una connessione
Quando un servizio simile CodePipeline utilizza una connessione, il ruolo del servizio deve disporre dell'`codeconnections:UseConnection`autorizzazione per una determinata connessione.
Per gestire le connessioni nella console, è necessario che la policy utente disponga dell'autorizzazione `codeconnections:UseConnection`.
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS CodeConnections azione richiesta per l'utilizzo delle connessioni**
| AWS CodeConnections azioni | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| `UseConnection` | `codeconnections:UseConnection`
Necessario per utilizzare una connessione. | arn:aws:codeconnections: ::connection/ {{region}} {{account-id}} {{connection-id}} |
Questa operazione supporta anche le seguenti chiavi di condizione:
+ `codeconnections:BranchName`
+ `codeconnections:FullRepositoryId`
+ `codeconnections:OwnerId`
+ `codeconnections:ProviderAction`
+ `codeconnections:ProviderPermissionsRequired`
+ `codeconnections:RepositoryName`
**Valori supportati per le chiavi di condizione**
| Chiave | Provider di operazione validi |
| --- | --- |
| `codeconnections:FullRepositoryId` | Il nome utente e il nome di repository di un repository, ad esempio `my-owner/my-repository`. Supportato solo quando la connessione viene utilizzata per accedere a un repository specifico. |
| `codeconnections:ProviderPermissionsRequired` | read\_only o read\_write |
| `codeconnections:ProviderAction` | `GetBranch`, `ListRepositories`, `ListOwners`, `ListBranches`, `StartUploadArchiveToS3`, `GitPush`, `GitPull`, `GetUploadArchiveToS3Status`, `CreatePullRequestDiffComment`, `GetPullRequest`, `ListBranchCommits`, `ListCommitFiles`, `ListPullRequestComments`, `ListPullRequestCommits`.
Per informazioni, consulta la sezione successiva. |
Le chiavi di condizione necessarie per alcune funzionalità potrebbero cambiare nel tempo. Si consiglia di utilizzare `codeconnections:UseConnection` per controllare l'accesso a una connessione, a meno che i requisiti di controllo dell'accesso non richiedano autorizzazioni diverse.
### Tipi di accesso supportati per `ProviderAction`
Quando una connessione viene utilizzata da un AWS servizio, vengono effettuate chiamate API al provider del codice sorgente. Ad esempio, un servizio potrebbe elencare i repository per una connessione Bitbucket chiamando l'API `https://api.bitbucket.org/2.0/repositories/{{username}}`.
La chiave di `ProviderAction` condizione consente di limitare APIs il numero di provider che è possibile chiamare. Poiché il percorso API potrebbe essere generato dinamicamente e il percorso varia da provider a provider, il valore `ProviderAction` viene mappato a un nome di operazione astratto anziché all'URL dell'API. Ciò permette di scrivere policy che hanno lo stesso effetto indipendentemente dal tipo di provider per la connessione.
Di seguito sono riportati i tipi di accesso concessi per ciascuno dei valori `ProviderAction` supportati. Le seguenti sono autorizzazioni di policy IAM. Non sono operazioni API.
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS CodeConnections tipi di accesso supportati per `ProviderAction`**
| AWS CodeConnections autorizzazione | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| `GetBranch` | ` codeconnections:GetBranch`
Necessario per accedere alle informazioni su un ramo, ad esempio il commit più recente per quel ramo. | arn:aws:codeconnections: ::connection/ {{region}} {{account-id}} {{connection-id}} |
| `ListRepositories` | ` codeconnections:ListRepositories`
Necessario per accedere a un elenco di repository pubblici e privati che appartengono a un proprietario, inclusi i dettagli su tali repository. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `ListOwners` | `codeconnections:ListOwners`
Necessario per accedere a un elenco di proprietari a cui la connessione ha accesso. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `ListBranches` | ` codeconnections:ListBranches`
Necessario per accedere all'elenco dei rami esistenti in un determinato repository. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `StartUploadArchiveToS3` | ` codeconnections:StartUploadArchiveToS3`
Necessario per leggere il codice sorgente e caricarlo su Amazon S3. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `GitPush` | ` codeconnections:GitPush`
Necessario per scrivere in un repository utilizzando Git. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `GitPull` | ` codeconnections:GitPull`
Necessario per leggere da un repository utilizzando Git. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| GetUploadArchiveToS3Status | ` codeconnections:GetUploadArchiveToS3Status`
Necessario per accedere allo stato di un caricamento, inclusi eventuali messaggi di errore, avviato da `StartUploadArchiveToS3`. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| CreatePullRequestDiffComment | ` codeconnections:CreatePullRequestDiffComment`
Necessario per accedere ai commenti su una richiesta pull. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| GetPullRequest | ` codeconnections:GetPullRequest`
Necessario per visualizzare le richieste pull per un repository. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `ListBranchCommits` | ` codeconnections:ListBranchCommits`
Necessario per visualizzare un elenco di commit per un ramo del repository. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `ListCommitFiles` | ` codeconnections:ListCommitFiles`
Necessario per visualizzare un elenco di file per un commit. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `ListPullRequestComments` | ` codeconnections:ListPullRequestComments`
Necessario per visualizzare un elenco di commenti per una richiesta pull. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
| `ListPullRequestCommits` | ` codeconnections:ListPullRequestCommits`
Necessario per visualizzare un elenco di commit per una richiesta pull. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}} |
### Autorizzazioni supportate per l'assegnazione di tag alle risorse di connessione
Le seguenti operazioni IAM vengono utilizzate per taggare le risorse di connessione.
```
codeconnections:ListTagsForResource
codeconnections:TagResource
codeconnections:UntagResource
```
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS CodeConnections azioni necessarie per etichettare le risorse di connessione**
| AWS CodeConnections azioni | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| `ListTagsForResource` | `codeconnections:ListTagsForResource`
Necessario per visualizzare un elenco di tag associati alla risorsa di connessione. | arn:aws:codeconnections: ::connection/ {{region}} {{account-id}} {{connection-id}},
arn:aws:codeconnections: {{region}} ::host/ {{account-id}} {{host-id}} |
| `TagResource` | `codeconnections:TagResource`
Necessario per aggiungere tag a una risorsa di connessione. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}},
arn:aws:codeconnections: {{region}} ::host/ {{account-id}} {{host-id}} |
| `UntagResource` | `codeconnections:UntagResource`
Necessario per rimuovere i tag da una risorsa di connessione. | arn:aws:codeconnections: {{region}} ::connection/ {{account-id}} {{connection-id}},
arn:aws:codeconnections: {{region}} ::host/ {{account-id}} {{host-id}} |
### Passare una connessione a un collegamento di repository
Quando in una configurazione di sincronizzazione viene fornito un collegamento di repository, l'utente deve disporre dell'autorizzazione `codeconnections:PassRepository` per l'ARN o la risorsa di collegamento al repository.
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS CodeConnections autorizzazioni necessarie per il passaggio di una connessione**
| AWS CodeConnections azioni | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| `PassRepository` | `codeconnections:PassRepository`
Necessaria per passare un collegamento di repository a una configurazione di sincronizzazione. | arn:aws:codeconnections: ::repository-link/ {{region}} {{account-id}} {{repository-link-id}} |
Questa operazione supporta anche la seguente chiave di condizione:
+ `codeconnections:PassedToService`
**Valori supportati per le chiavi di condizione**
| Chiave | Provider di operazione validi |
| --- | --- |
| `codeconnections:PassedToService` | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/dtconsole/latest/userguide/security-iam.html) |
### Chiave di condizione supportata per i collegamenti al repository
La seguente chiave di condizione supporta le operazioni per i collegamenti ai repository e le risorse di configurazione delle sincronizzazioni:
+ `codeconnections:Branch`
Filtra l'accesso in base al nome del ramo passato nella richiesta.
**Azioni supportate per la chiave di condizione**
| Chiave | Valori validi |
| --- | --- |
| `codeconnections:Branch` | Per questa chiave di condizione sono supportate le seguenti operazioni:[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/dtconsole/latest/userguide/security-iam.html) |
### Autorizzazioni supportate per la condivisione della connessione
Le seguenti operazioni IAM vengono utilizzate per la condivisione delle connessioni.
```
codeconnections:GetResourcePolicy
```
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS CodeConnections azioni necessarie per la condivisione delle connessioni**
| AWS CodeConnections azioni | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| `GetResourcePolicy` | `codeconnections:GetResourcePolicy`
Necessario per accedere alle informazioni sulla politica delle risorse. | arn:aws:codeconnections: ::connection/ {{region}} {{account-id}} {{connection-id}} |
Per ulteriori informazioni sulla condivisione della connessione, vedere[Condividi le connessioni con Account AWS](connections-share.md).
## Utilizzo di notifiche e connessioni nella console
L'esperienza di notifica è integrata nelle console CodeBuild CodeCommit, CodeDeploy, e, nonché nella CodePipeline console Developer Tools nella barra di navigazione delle **Impostazioni** stessa. Per accedere alle notifiche nelle console, è necessario applicare una delle policy gestite a tali servizi oppure disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS CodeStar notifiche e sulle AWS CodeConnections risorse del tuo AWS account. Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy. Per ulteriori informazioni sulla concessione dell'accesso a AWS CodeBuild,, e AWS CodeCommit AWS CodeDeploy AWS CodePipeline, incluso l'accesso a tali console, consulta i seguenti argomenti:
+ CodeBuild: [Utilizzo di politiche basate sull'identità per CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/security_iam_id-based-policy-examples.html#managed-policies)
+ CodeCommit: [Utilizzo](https://docs.aws.amazon.com/codecommit/latest/userguide/auth-and-access-control-iam-identity-based-access-control.html) di politiche basate sull'identità per CodeCommit
+ AWS CodeDeploy: Gestione delle [identità e](https://docs.aws.amazon.com/codedeploy/latest/userguide/security-iam.html) degli accessi per AWS CodeDeploy
+ CodePipeline: [controllo degli accessi con policy IAM](https://docs.aws.amazon.com/codepipeline/latest/userguide/access-control.html)
AWS CodeStar Le notifiche non hanno politiche AWS gestite. Per fornire l'accesso alla funzionalità di notifica, è necessario applicare una delle policy gestite per uno dei servizi elencati in precedenza oppure creare policy con il livello di autorizzazione che si desidera concedere agli utenti o alle entità e quindi allegare le policy agli utenti, ai gruppi o ai ruoli che richiedono le autorizzazioni. Per maggiori informazioni ed esempi, consulta:
+ [Esempio: una politica a livello di amministratore per la gestione delle notifiche AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-full-access)
+ [Esempio: una politica a livello di collaboratore per l'utilizzo delle notifiche AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-contributor)
+ [Esempio: una read-only-level politica per l'utilizzo delle notifiche AWS CodeStar](security_iam_id-based-policy-examples-notifications.md#security_iam_id-based-policy-examples-notifications-read-only).
AWS CodeConnections non dispone di politiche AWS gestite. È possibile utilizzare le autorizzazioni e le combinazioni di autorizzazioni per l'accesso, ad esempio le autorizzazioni descritte in [Autorizzazioni per completare le connessioni](#permissions-reference-connections-handshake).
Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Esempio: una politica a livello di amministratore per la gestione AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-fullaccess)
+ [Esempio: una politica a livello di collaboratore da utilizzare AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-contributor)
+ [Esempio: una read-only-level politica per l'utilizzo AWS CodeConnections](security_iam_id-based-policy-examples-connections.md#security_iam_id-based-policy-examples-connections-readonly)
Non è necessario concedere le autorizzazioni della console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```