Utilisation de politiques basées sur l'identité (IAMpolitiques) pour CodeCommit - AWS CodeCommit

AWS CodeCommit n'est plus disponible pour les nouveaux clients. Les clients existants de AWS CodeCommit peuvent continuer à utiliser le service normalement. En savoir plus »

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de politiques basées sur l'identité (IAMpolitiques) pour CodeCommit

Les exemples suivants de politiques basées sur l'identité montrent comment un administrateur de compte peut associer des politiques d'autorisation aux IAM identités (utilisateurs, groupes et rôles) afin d'octroyer des autorisations pour effectuer des opérations sur CodeCommit les ressources.

Important

Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès à vos CodeCommit ressources. Pour de plus amples informations, veuillez consulter Vue d'ensemble de la gestion des autorisations d'accès à vos CodeCommit ressources.

Un exemple de stratégie d'autorisation basée sur l'identité est présenté ci-dessous :

{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "codecommit:BatchGetRepositories" ], "Resource" : [ "arn:aws:codecommit:us-east-2:111111111111:MyDestinationRepo", "arn:aws:codecommit:us-east-2:111111111111:MyDemo*" ] } ] }

Cette politique comporte une déclaration qui permet à un utilisateur d'obtenir des informations sur le CodeCommit référentiel nommé MyDestinationRepo et sur tous les CodeCommit référentiels commençant par ce nom MyDemo dans la us-east-2 région.

Autorisations requises pour utiliser la console CodeCommit

Pour connaître les autorisations requises pour chaque CodeCommit API opération et pour plus d'informations sur les CodeCommit opérations, consultezRéférence des autorisations CodeCommit.

Pour autoriser les utilisateurs à utiliser la CodeCommit console, l'administrateur doit leur accorder des autorisations pour les CodeCommit actions. Par exemple, vous pouvez associer la politique AWSCodeCommitPowerUsergérée ou son équivalent à un utilisateur ou à un groupe.

Outre les autorisations accordées aux utilisateurs par les politiques basées sur l'identité, CodeCommit nécessite des autorisations pour les actions AWS Key Management Service (AWS KMS). Un IAM utilisateur n'a pas besoin d'Allowautorisations explicites pour effectuer ces actions, mais aucune politique ne doit lui être attachée définissant les autorisations suivantes comme suit Deny :

"kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey"

Pour plus d'informations sur le chiffrement et CodeCommit, voirAWS KMSet chiffrement.

Affichage des ressources dans la console

La CodeCommit console nécessite l'ListRepositoriesautorisation d'afficher une liste de référentiels pour votre compte Amazon Web Services dans l' Région AWS endroit où vous êtes connecté. La console comprend également une fonction Go to resource (Accéder aux ressources) qui permet d'effectuer rapidement une recherche de ressources sensible à la casse. Cette recherche est effectuée dans votre compte Amazon Web Services dans Région AWS lequel vous êtes connecté. Les ressources suivantes sont affichées pour les services suivants :

  • AWS CodeBuild : Projets de génération

  • AWS CodeCommit : Référentiels

  • AWS CodeDeploy : Applications

  • AWS CodePipeline : Pipelines

Pour effectuer cette recherche pour les ressources dans tous les services, vous devez disposer des autorisations suivantes :

  • CodeBuild: ListProjects

  • CodeCommit: ListRepositories

  • CodeDeploy: ListApplications

  • CodePipeline: ListPipelines

Les résultats ne sont pas renvoyés pour les ressources d'un service si vous ne disposez pas d'autorisations pour ce service. Même si vous êtes autorisé à afficher des ressources, des ressources spécifiques ne sont pas renvoyées si une valeur Deny explicite est définie pour l'affichage de ces ressources.