Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Authentification et contrôle d'accès pour AWS CodeCommit - AWS CodeCommit
AuthentificationContrôle d’accèsPrésentation de la gestion des accès

AWS CodeCommit n'est plus disponible pour les nouveaux clients. Les clients existants de AWS CodeCommit peuvent continuer à utiliser le service normalement. En savoir plus »

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS CodeCommit n'est plus disponible pour les nouveaux clients. Les clients existants de AWS CodeCommit peuvent continuer à utiliser le service normalement. En savoir plus »

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification et contrôle d'accès pour AWS CodeCommit

PDFRSS

L'accès à AWS CodeCommit nécessite des informations d'identification. Ces informations d'identification doivent être autorisées à accéder aux AWS ressources, telles que CodeCommit les référentiels, et à votre utilisateur IAM, que vous utilisez pour gérer vos informations d'identification Git ou la clé publique SSH que vous utilisez pour établir des connexions Git. Les sections suivantes fournissent des informations détaillées sur la manière dont vous pouvez utiliser AWS Identity and Access Management (IAM) et CodeCommit pour sécuriser l'accès à vos ressources :

Authentification

Étant donné que CodeCommit les référentiels sont basés sur Git et prennent en charge les fonctionnalités de base de Git, y compris les informations d'identification Git, nous vous recommandons d'utiliser un utilisateur IAM lorsque vous travaillez avec. CodeCommit Vous pouvez y accéder CodeCommit avec d'autres types d'identité, mais les autres types d'identité sont soumis à des restrictions, comme décrit ci-dessous.

Type d'identité :

  • Utilisateur IAM : un utilisateur IAM est une identité au sein de votre compte Amazon Web Services dotée d'autorisations personnalisées spécifiques. Par exemple, un utilisateur IAM peut être autorisé à créer et à gérer les informations d'identification Git pour accéder aux CodeCommit référentiels. Il s'agit du type d'utilisateur recommandé pour travailler avec CodeCommit. Vous pouvez utiliser un nom d'utilisateur et un mot de passe IAM pour vous connecter à des AWS pages Web sécurisées telles que AWS Management Consoleles forums de AWS discussion ou le AWS Support centre.

    Vous pouvez générer des informations d'identification Git ou associer des clés publiques SSH à votre utilisateur IAM, ou vous pouvez les installer et les configurer. git-remote-codecommit Il s'agit des méthodes les plus simples pour configurer Git pour qu'il fonctionne avec vos CodeCommit référentiels. Avec les informations d'identification Git, vous générez un nom d'utilisateur et un mot de passe statiques dans IAM. Ensuite, vous utilisez ces informations pour les connexions HTTPS avec Git et n'importe quel outil tiers prenant en charge l'authentification par nom d'utilisateur et mot de passe Git. Avec les connexions SSH, vous créez des fichiers de clés publiques et privées sur votre machine locale que Git CodeCommit utilise pour l'authentification SSH. Vous associez la clé publique à votre utilisateur IAM et vous stockez la clé privée sur votre machine locale. git-remote-codecommitétend Git lui-même et ne nécessite pas de configurer les informations d'identification Git pour l'utilisateur.

    En outre, vous pouvez générer des clés d'accès pour chaque utilisateur. Utilisez les clés d'accès lorsque vous accédez aux AWS services par programmation, soit par le biais de l'un des, AWS SDKs soit en utilisant le AWS Command Line Interface ()AWS CLI. Les kits SDK et les outils de l'interface de ligne de commande utilisent les clés d'accès pour chiffrer la signature des demandes. Si vous n'utilisez pas les AWS outils, vous devez signer vous-même les demandes. CodeCommit prend en charge Signature Version 4, un protocole permettant d'authentifier les demandes d'API entrantes. Pour plus d'informations sur l'authentification des demandes, consultez Processus de signature Signature Version 4 dans le document Références générales AWS.

  • Utilisateur root du compte Amazon Web Services : lorsque vous vous inscrivez AWS, vous fournissez une adresse e-mail et un mot de passe associés à votre compte Amazon Web Services. Il s'agit de vos informations d'identification racine et elles fournissent un accès complet à l'ensemble de vos ressources AWS . Certaines CodeCommit fonctionnalités ne sont pas disponibles pour les utilisateurs de comptes root. En outre, la seule façon d'utiliser Git avec votre compte root est d'installer et de configurer git-remote-codecommit (recommandé) ou de configurer l'assistant AWS d'identification, qui est inclus dans le. AWS CLI Vous ne pouvez pas utiliser les informations d'identification Git ni les paires de clés publiques/privées SSH avec votre compte utilisateur racine. Pour ces raisons, nous vous déconseillons d'utiliser l'utilisateur de votre compte root lorsque vous interagissez avec CodeCommit.

    Important

    Pour des raisons de sécurité, nous vous conseillons d'utiliser les informations d'identification racine uniquement pour créer un utilisateur administrateur, qui est un utilisateur IAM disposant des autorisations complètes sur votre compte AWS . Vous pouvez ensuite utiliser cet utilisateur administrateur pour créer d'autres utilisateurs IAM et des rôles dotés d'autorisations limitées. Pour plus d'informations, consultez Bonnes pratiques IAM et Création d'un utilisateurs administrateur et d'un groupe dans le Guide de l'utilisateur IAM.

  • IAM Identity Center et utilisateurs d'IAM Identity Center : AWS IAM Identity Center élargit les capacités de AWS Identity and Access Management afin de fournir un espace central regroupant l'administration des utilisateurs et leur accès aux applications Comptes AWS cloud. Bien que recommandé comme bonne pratique pour la plupart des utilisateurs AWS, IAM Identity Center ne fournit actuellement aucun mécanisme pour les informations d'identification Git ou les paires de clés SSH. Ces utilisateurs peuvent installer et configurer git-remote-codecommit pour cloner des CodeCommit référentiels en local, mais tous les environnements de développement intégrés (IDEs) ne prennent pas en charge le clonage, le transfert ou l'extraction. git-remote-codecommit

    La meilleure pratique consiste à obliger les utilisateurs humains, y compris ceux qui ont besoin d'un accès administrateur, à utiliser la fédération avec un fournisseur d'identité pour accéder à l'aide Services AWS d'informations d'identification temporaires.

    Une identité fédérée est un utilisateur de l'annuaire des utilisateurs de votre entreprise, d'un fournisseur d'identité Web AWS Directory Service, du répertoire Identity Center ou de tout utilisateur qui y accède à l'aide des informations d'identification fournies Services AWS par le biais d'une source d'identité. Lorsque des identités fédérées y accèdent Comptes AWS, elles assument des rôles, qui fournissent des informations d'identification temporaires.

    Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Vous pouvez créer des utilisateurs et des groupes dans IAM Identity Center, ou vous pouvez vous connecter et synchroniser avec un ensemble d'utilisateurs et de groupes dans votre propre source d'identité afin de les utiliser dans toutes vos applications Comptes AWS et applications. Pour obtenir des informations sur IAM Identity Center, consultez Qu’est-ce que IAM Identity Center ? dans le Guide de l’utilisateur AWS IAM Identity Center .

  • Rôle IAM — Tout comme un utilisateur IAM, un rôle IAM est une identité IAM que vous pouvez créer dans votre compte pour accorder des autorisations spécifiques.

    Un rôle IAM est une identité au sein de vous Compte AWS dotée d'autorisations spécifiques. Le concept ressemble à celui d’utilisateur IAM, mais le rôle IAM n’est pas associé à une personne en particulier. Pour assumer temporairement un rôle IAM dans le AWS Management Console, vous pouvez passer d'un rôle d'utilisateur à un rôle IAM (console). Vous pouvez assumer un rôle en appelant une opération d' AWS API AWS CLI ou en utilisant une URL personnalisée. Pour plus d’informations sur les méthodes d’utilisation des rôles, consultez Méthodes pour endosser un rôle dans le Guide de l’utilisateur IAM.

    Les rôles IAM avec des informations d’identification temporaires sont utiles dans les cas suivants :

    • Accès utilisateur fédéré : pour attribuer des autorisations à une identité fédérée, vous créez un rôle et définissez des autorisations pour le rôle. Quand une identité externe s’authentifie, l’identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour obtenir des informations sur les rôles pour la fédération, consultez Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM. Si vous utilisez IAM Identity Center, vous configurez un jeu d’autorisations. IAM Identity Center met en corrélation le jeu d’autorisations avec un rôle dans IAM afin de contrôler à quoi vos identités peuvent accéder après leur authentification. Pour plus d’informations sur les jeux d’autorisations, consultez Jeux d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center .

    • Autorisations d’utilisateur IAM temporaires : un rôle ou un utilisateur IAM peut endosser un rôle IAM pour profiter temporairement d’autorisations différentes pour une tâche spécifique.

    • Accès intercompte : vous pouvez utiliser un rôle IAM pour permettre à un utilisateur (principal de confiance) d’un compte différent d’accéder aux ressources de votre compte. Les rôles constituent le principal moyen d’accorder l’accès intercompte. Toutefois, dans certains Services AWS cas, vous pouvez associer une politique directement à une ressource (au lieu d'utiliser un rôle comme proxy). Pour en savoir plus sur la différence entre les rôles et les politiques basées sur les ressources pour l’accès intercompte, consultez Accès intercompte aux ressources dans IAM dans le Guide de l’utilisateur IAM.

    • Accès multiservices — Certains Services AWS utilisent des fonctionnalités dans d'autres Services AWS. Par exemple, lorsque vous effectuez un appel dans un service, il est courant que ce service exécute des applications dans Amazon EC2 ou stocke des objets dans Amazon S3. Un service peut le faire en utilisant les autorisations d’appel du principal, un rôle de service ou un rôle lié au service.

      • Sessions d'accès direct (FAS) : lorsque vous utilisez un utilisateur ou un rôle IAM pour effectuer des actions AWS, vous êtes considéré comme un mandant. Lorsque vous utilisez certains services, vous pouvez effectuer une action qui initie une autre action dans un autre service. FAS utilise les autorisations du principal appelant et Service AWS, associées Service AWS à la demande, pour adresser des demandes aux services en aval. Les demandes FAS ne sont effectuées que lorsqu'un service reçoit une demande qui nécessite des interactions avec d'autres personnes Services AWS ou des ressources pour être traitée. Dans ce cas, vous devez disposer d’autorisations nécessaires pour effectuer les deux actions. Pour plus de détails sur une politique lors de la formulation de demandes FAS, consultez Transmission des sessions d’accès.

      • Rôle de service : il s’agit d’un rôle IAM attribué à un service afin de réaliser des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez Création d’un rôle pour la délégation d’autorisations à un Service AWS dans le Guide de l’utilisateur IAM.

      • Rôle lié à un service — Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.

    • Applications exécutées sur Amazon EC2 : vous pouvez utiliser un rôle IAM pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une EC2 instance et qui envoient des demandes AWS CLI d' AWS API. Cela est préférable au stockage des clés d'accès dans l' EC2 instance. Pour attribuer un AWS rôle à une EC2 instance et le rendre disponible pour toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes exécutés sur l' EC2 instance d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez Utiliser un rôle IAM pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le guide de l'utilisateur IAM.

    Note

    Vous ne pouvez pas utiliser les informations d'identification Git ni les paires de clés publiques/privées SSH avec les utilisateur fédérés. En outre, les préférences utilisateur ne sont pas disponibles pour les utilisateurs fédérés. Pour plus d'informations sur la configuration des connexions à l'aide de l'accès fédéré, consultez Étapes de configuration pour les connexions HTTPS AWS CodeCommit avec git-remote-codecommit.

Contrôle d’accès

Vous pouvez disposer d'informations d'identification valides pour authentifier vos demandes, mais vous ne pouvez pas créer de CodeCommit ressources ni y accéder si vous n'êtes pas autorisé à le faire. Par exemple, vous devez disposer des autorisations requises pour afficher les référentiels, transmettre le code, créer et gérer les informations d'identification Git, etc.

Les sections suivantes décrivent comment gérer les autorisations pour CodeCommit. Nous vous recommandons de lire d’abord la présentation.

Vue d'ensemble de la gestion des autorisations d'accès à vos CodeCommit ressources

Chaque AWS ressource est détenue par un compte Amazon Web Services. Les autorisations pour créer ou accéder à un ressource sont gérées par des stratégies d'autorisations. Un compte administrateur peut attacher des politiques d'autorisations à des identités IAM (c'est-à-dire des utilisateurs, des groupes et des rôles). Certains services, tels que AWS Lambda, permettent également d'associer des politiques d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.

Lorsque vous accordez des autorisations, vous décidez qui les reçoit, à quelles ressources ces autorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.

CodeCommit ressources et opérations

Dans CodeCommit, la ressource principale est un référentiel. Chaque ressource possède un Amazon Resource Name (ARN) associé unique. Dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour plus d'informations sur ARNs, consultez Amazon Resource Names (ARN) et AWS Service Namespaces dans le Référence générale d'Amazon Web Services. CodeCommit ne prend actuellement pas en charge les autres types de ressources, appelés sous-ressources.

Le tableau suivant décrit comment spécifier les CodeCommit ressources.

Type de ressource Format ARN
Référentiel.

arn:aws:codecommit : : region account-id repository-name

Tous les CodeCommit référentiels

arn:aws:codecommit:*

Tous les CodeCommit référentiels détenus par le compte spécifié dans le Région AWS

arn:aws:codecommit : : * region account-id
Note

La plupart AWS des services considèrent les deux points (:)) ou les barres obliques (/) ARNs comme le même caractère. Cependant, CodeCommit cela nécessite une correspondance exacte dans les modèles de ressources et les règles. Lors de la création de modèles d'événements, veillez à utiliser les caractères ARN corrects afin qu'ils correspondent à la syntaxe ARN de la ressource.

Par exemple, vous pouvez indiquer un référentiel spécifique (MyDemoRepo) dans votre instruction à l'aide de son ARN comme suit :

"Resource": "arn:aws:codecommit:us-west-2:111111111111:MyDemoRepo"

Pour spécifier tous les référentiels appartenant à un compte spécifique, utilisez le caractère générique (*) comme suit :

"Resource": "arn:aws:codecommit:us-west-2:111111111111:*"

Pour spécifier toutes les ressources, ou si une action d'API spécifique n'est pas prise en charge ARNs, utilisez le caractère générique (*) dans l'Resourceélément comme suit :

"Resource": "*"

Vous pouvez également utiliser le caractère générique (*) pour spécifier toutes les ressources qui correspondent à une partie du nom du référentiel. Par exemple, l'ARN suivant indique tout CodeCommit référentiel qui commence par le nom MyDemo et qui est enregistré sur le compte Amazon Web Services 111111111111 dans le us-east-2 Région AWS :

arn:aws:codecommit:us-east-2:111111111111:MyDemo*

Pour obtenir la liste des opérations disponibles qui fonctionnent avec les CodeCommit ressources, consultezRéférence des autorisations CodeCommit.

Présentation de la propriété des ressources

Le compte Amazon Web Services possède les ressources créées dans le compte, quel que soit leur créateur. Plus précisément, le propriétaire de la ressource est le compte Amazon Web Services de l'entité principale (c'est-à-dire le compte root, un utilisateur IAM ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous créez un utilisateur IAM dans votre compte Amazon Web Services et que vous accordez des autorisations pour créer CodeCommit des ressources à cet utilisateur, celui-ci peut créer des CodeCommit ressources. Toutefois, votre compte Amazon Web Services, auquel appartient l'utilisateur, est propriétaire des CodeCommit ressources.

  • Si vous utilisez les informations d'identification du compte root de votre compte Amazon Web Services pour créer une règle, votre compte Amazon Web Services est le propriétaire de la CodeCommit ressource.

  • Si vous créez un rôle IAM dans votre compte Amazon Web Services avec l'autorisation de créer des CodeCommit ressources, toute personne habilitée à assumer ce rôle peut créer des CodeCommit ressources. Votre compte Amazon Web Services, auquel appartient le rôle, est propriétaire des CodeCommit ressources.

Gestion de l’accès aux ressources

Pour gérer l'accès aux AWS ressources, vous utilisez des politiques d'autorisation. Une permissions policy (politique d'autorisation) décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des stratégies d'autorisation.

Note

Cette section décrit l'utilisation d'IAM dans le contexte de CodeCommit. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour plus d'informations sur l'IAM, voir Qu'est-ce que l'IAM ? dans le guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des stratégies IAM, consultez Référence de stratégie IAM dans le Guide de l'utilisateur IAM.

Les politiques d'autorisation associées à une identité IAM sont appelées politiques basées sur l'identité (politiques IAM). Les stratégies d'autorisation qui sont associées à une ressource sont des stratégies basées sur la ressource. Actuellement, ne CodeCommit prend en charge que les politiques basées sur l'identité (politiques IAM).

Politiques basées sur une identité (politiques IAM)

Pour gérer l'accès aux AWS ressources, vous devez associer des politiques d'autorisation aux identités IAM. Dans CodeCommit, vous utilisez des politiques basées sur l'identité pour contrôler l'accès aux référentiels. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Associer une politique d'autorisation à un utilisateur ou à un groupe de votre compte : pour autoriser un utilisateur à consulter les CodeCommit ressources dans la CodeCommit console, associez une politique d'autorisation basée sur l'identité à un utilisateur ou à un groupe auquel l'utilisateur appartient.

  • Associer une politique d'autorisation à un rôle (pour accorder des autorisations entre comptes) : la délégation, par exemple lorsque vous souhaitez accorder un accès entre comptes, implique la mise en place d'une relation de confiance entre le compte propriétaire de la ressource (le compte de confiance) et le compte contenant les utilisateurs devant accéder à la ressource (le compte de confiance). Une stratégie d'autorisation accorde à l'utilisateur d'un rôle les autorisations nécessaires pour exécuter les tâches prévues sur la ressource. Une stratégie d'approbation détermine les comptes approuvés autorisés à accorder à leurs utilisateurs les autorisations nécessaires pour assumer le rôle. Pour plus d'informations, consultez la section Termes et concepts de l'IAM.

    Pour accorder des autorisations entre comptes, associez une politique d'autorisation basée sur l'identité à un rôle IAM. Par exemple, l'administrateur du compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre compte Amazon Web Services (par exemple, le compte B) ou à un AWS service comme suit :

    1. L'administrateur du Compte A crée un rôle IAM et attache une politique d'autorisation à ce rôle qui accorde des autorisations sur les ressources dans le Compte A.

    2. L'administrateur du Compte A attache une politique d'approbation au rôle identifiant le Compte B comme principal pouvant assumer ce rôle.

    3. L'administrateur du compte B peut ensuite déléguer les autorisations nécessaires pour assumer le rôle à n'importe quel utilisateur du compte B. Cela permet aux utilisateurs du compte B de créer ou d'accéder aux ressources du compte A. Si vous souhaitez accorder à un AWS service l'autorisation d'assumer le rôle, le principal responsable de la politique de confiance peut également être un directeur de AWS service. Pour plus d'informations, consultez la section Délégation dans les termes et concepts de l'IAM.

    Pour en savoir plus sur l'utilisation d'IAM pour déléguer des autorisations, consultez Gestion des accès dans le Guide de l'utilisateur IAM.

L'exemple suivant de stratégie permet à un utilisateur de créer une branche dans un référentiel nommé MyDemoRepo :

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codecommit:CreateBranch"
      ],
      "Resource" : "arn:aws:codecommit:us-east-2:111111111111:MyDemoRepo"
    }
  ]
}

Pour restreindre les appels et les ressources auxquels les utilisateurs de votre compte ont accès, créez des politiques IAM spécifiques, puis associez ces politiques aux utilisateurs IAM. Pour plus d'informations sur la façon de créer des rôles IAM et pour découvrir des exemples de déclarations de politique IAM pour CodeCommit, voir. Exemples de politiques d'identité gérées par le client

Politiques basées sur les ressources

Certains services, tels qu'Amazon S3, prennent également en charge les politiques d'autorisation basées sur les ressources. Par exemple, vous pouvez associer une politique basée sur les ressources à un compartiment S3 afin de gérer les autorisations d'accès à ce compartiment. CodeCommit ne prend pas en charge les politiques basées sur les ressources, mais vous pouvez utiliser des balises pour identifier les ressources, que vous pouvez ensuite utiliser dans les politiques IAM. Pour obtenir un exemple d'une stratégie basée sur les balises, consultez Politiques basées sur une identité (politiques IAM).

Délimitation des ressources dans CodeCommit

Dans CodeCommit, vous pouvez définir les politiques basées sur l'identité et les autorisations d'accès aux ressources, comme décrit dans. CodeCommit ressources et opérations Cependant, vous ne pouvez pas spécifier l'autorisation ListRepositories pour une ressource. Au lieu de cela, vous devez la définir pour toutes les ressources (en utilisant le caractère générique *). Sinon, l'action échoue.

Toutes les autres CodeCommit autorisations peuvent être étendues aux ressources.

Spécification des éléments d'une politique : ressources, actions, effets et mandataires

Vous pouvez créer des politiques pour autoriser ou refuser aux utilisateurs l'accès aux ressources, ou autoriser ou refuser aux utilisateurs d'effectuer des actions spécifiques sur ces ressources. CodeCommit définit un ensemble d'opérations d'API publiques qui définissent la manière dont les utilisateurs travaillent avec le service, que ce soit via la CodeCommit console SDKs, le AWS CLI, ou en les appelant directement APIs. Pour accorder des autorisations pour ces opérations d'API CodeCommit , définissez un ensemble d'actions que vous pouvez spécifier dans une politique.

Certaines opérations d'API nécessitent des autorisations pour plusieurs actions. Pour plus d'informations sur les ressources et les opérations de l'API, consultez CodeCommit ressources et opérations et Référence des autorisations CodeCommit.

Voici les éléments de base d'une stratégie :

  • Ressource : pour identifier la ressource à laquelle la politique s'applique, vous utilisez un Amazon Resource Name (ARN). Pour de plus amples informations, veuillez consulter CodeCommit ressources et opérations.

  • Action : pour identifier les opérations sur les ressources que vous souhaitez autoriser ou refuser, vous utilisez des mots clés d'action. Par exemple, en fonction de ce qui est spécifiéEffect, l'codecommit:GetBranchautorisation autorise ou refuse à l'utilisateur d'effectuer l'GetBranchopération, qui permet d'obtenir des informations sur une branche d'un CodeCommit référentiel.

  • Effet : vous spécifiez l'effet, qu'il s'agisse d'autoriser ou de refuser, qui se produit lorsque l'utilisateur demande l'action spécifique. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différente accorde cet accès.

  • Principal — Dans les politiques basées sur l'identité (politiques IAM), le seul type de politique CodeCommit compatible, l'utilisateur auquel la politique est attachée est le principal implicite.

Pour en savoir plus sur la syntaxe des politiques IAM, consultez la référence des politiques IAM dans le guide de l'utilisateur IAM.

Pour un tableau présentant toutes les actions d' CodeCommit API et les ressources auxquelles elles s'appliquent, consultezRéférence des autorisations CodeCommit.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous utilisez le langage de politique d'accès d'IAM pour spécifier les conditions dans lesquelles une politique doit prendre effet. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez la section Grammaire des conditions et des politiques dans le guide de l'utilisateur IAM.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à CodeCommit. Cependant, il existe des AWS clés de condition larges que vous pouvez utiliser le cas échéant. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles pour les conditions dans le guide de l'utilisateur IAM.

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.