Authentification et contrôle d'accès pour AWS CodeCommit - AWS CodeCommit
AuthentificationContrôle d’accèsPrésentation de la gestion des accès

AWS CodeCommit n'est plus disponible pour les nouveaux clients. Les clients existants de AWS CodeCommit peuvent continuer à utiliser le service normalement. En savoir plus »

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification et contrôle d'accès pour AWS CodeCommit

L'accès à AWS CodeCommit nécessite des informations d'identification. Ces informations d'identification doivent être autorisées à accéder aux AWS ressources, telles que CodeCommit les référentiels, et à votre IAM utilisateur, que vous utilisez pour gérer vos informations d'identification Git ou la clé SSH publique que vous utilisez pour établir des connexions Git. Les sections suivantes fournissent des informations détaillées sur la manière dont vous pouvez utiliser AWS Identity and Access Management (IAM) et CodeCommit pour sécuriser l'accès à vos ressources :

Authentification

Étant donné que CodeCommit les référentiels sont basés sur Git et prennent en charge les fonctionnalités de base de Git, y compris les informations d'identification Git, nous vous recommandons d'utiliser un IAM utilisateur lorsque vous travaillez avec. CodeCommit Vous pouvez y accéder CodeCommit avec d'autres types d'identité, mais les autres types d'identité sont soumis à des restrictions, comme décrit ci-dessous.

Type d'identité :

  • IAMutilisateur : un IAMutilisateur est une identité au sein de votre compte Amazon Web Services dotée d'autorisations personnalisées spécifiques. Par exemple, un IAM utilisateur peut être autorisé à créer et à gérer les informations d'identification Git pour accéder aux CodeCommit référentiels. Il s'agit du type d'utilisateur recommandé pour travailler avec CodeCommit. Vous pouvez utiliser un nom IAM d'utilisateur et un mot de passe pour vous connecter à des AWS pages Web sécurisées telles que AWS Management Consoleles forums de AWS discussion ou le AWS Support centre.

    Vous pouvez générer des informations d'identification Git ou associer des clés SSH publiques à votre IAM utilisateur, ou vous pouvez les installer et les configurergit-remote-codecommit. Il s'agit des méthodes les plus simples pour configurer Git pour qu'il fonctionne avec vos CodeCommit référentiels. Avec les informations d'identification Git, vous générez un nom d'utilisateur et un mot de passe statiques dansIAM. Vous utilisez ensuite ces informations d'identification pour vous connecter HTTPS à Git et à tout outil tiers prenant en charge l'authentification par nom d'utilisateur et mot de passe Git. Avec SSH les connexions, vous créez des fichiers de clés publiques et privées sur votre machine locale que Git CodeCommit utilise pour SSH l'authentification. Vous associez la clé publique à votre IAM utilisateur et vous stockez la clé privée sur votre machine locale. git-remote-codecommitétend Git lui-même et ne nécessite pas de configurer les informations d'identification Git pour l'utilisateur.

    En outre, vous pouvez générer des clés d'accès pour chaque utilisateur. Utilisez les clés d'accès lorsque vous accédez aux AWS services par programmation, soit par le biais de l'un des, AWS SDKs soit à l'aide du AWS Command Line Interface ()AWS CLI. Les CLI outils SDK et utilisent les clés d'accès pour signer cryptographiquement vos demandes. Si vous n'utilisez pas les AWS outils, vous devez signer vous-même les demandes. CodeCommit prend en charge Signature Version 4, un protocole d'authentification des demandes API entrantes. Pour plus d'informations sur l'authentification des demandes, consultez Processus de signature Signature Version 4 dans le document Références générales AWS.

  • Utilisateur root du compte Amazon Web Services : lorsque vous vous inscrivez AWS, vous fournissez une adresse e-mail et un mot de passe associés à votre compte Amazon Web Services. Il s'agit de vos informations d'identification racine et elles fournissent un accès complet à l'ensemble de vos ressources AWS . Certaines CodeCommit fonctionnalités ne sont pas disponibles pour les utilisateurs de comptes root. En outre, la seule façon d'utiliser Git avec votre compte root est d'installer et de configurer git-remote-codecommit (recommandé) ou de configurer l'assistant AWS d'identification, qui est inclus dans le. AWS CLI Vous ne pouvez pas utiliser les informations d'identification Git ou les paires de clés SSH publiques-privées avec l'utilisateur de votre compte root. Pour ces raisons, nous vous déconseillons d'utiliser l'utilisateur de votre compte root lorsque vous interagissez avec CodeCommit.

    Important

    Pour des raisons de sécurité, nous vous recommandons d'utiliser les informations d'identification root uniquement pour créer un utilisateur administrateur, c'est-à-dire un IAMutilisateur disposant des autorisations complètes sur votre AWS compte. Vous pouvez ensuite utiliser cet utilisateur administrateur pour créer d'autres IAM utilisateurs et rôles dotés d'autorisations limitées. Pour plus d'informations, consultez les IAMmeilleures pratiques et la création d'un utilisateur et d'un groupe d'administrateurs dans le guide de IAM l'utilisateur.

  • IAMIdentity Center et utilisateurs dans IAM Identity Center : AWS IAM Identity Center étend les fonctionnalités de AWS Identity and Access Management pour fournir un espace central regroupant l'administration des utilisateurs et leur accès aux Comptes AWS applications cloud. Bien que recommandé comme bonne pratique pour la plupart des utilisateurs qui travaillent avec AWS, IAM Identity Center ne fournit actuellement aucun mécanisme pour les informations d'identification ou les paires de SSH clés Git. Ces utilisateurs peuvent installer et configurer git-remote-codecommit pour cloner des CodeCommit référentiels en local, mais tous les environnements de développement intégrés (IDEs) ne prennent pas en charge le clonage, le transfert ou l'extraction. git-remote-codecommit

    La meilleure pratique consiste à obliger les utilisateurs humains, y compris ceux qui ont besoin d'un accès administrateur, à utiliser la fédération avec un fournisseur d'identité pour accéder à l'aide Services AWS d'informations d'identification temporaires.

    Une identité fédérée est un utilisateur de l'annuaire des utilisateurs de votre entreprise, d'un fournisseur d'identité Web AWS Directory Service, du répertoire Identity Center ou de tout utilisateur qui y accède à l'aide des informations d'identification fournies Services AWS par le biais d'une source d'identité. Lorsque des identités fédérées y accèdent Comptes AWS, elles assument des rôles, qui fournissent des informations d'identification temporaires.

    Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Vous pouvez créer des utilisateurs et des groupes dans IAM Identity Center, ou vous pouvez vous connecter et synchroniser avec un ensemble d'utilisateurs et de groupes dans votre propre source d'identité afin de les utiliser dans toutes vos applications Comptes AWS et applications. Pour plus d'informations sur IAM Identity Center, consultez Qu'est-ce qu'IAMIdentity Center ? dans le guide de AWS IAM Identity Center l'utilisateur.

  • IAMrôle — Tout comme un IAM utilisateur, un IAMrôle est une IAM identité que vous pouvez créer dans votre compte pour accorder des autorisations spécifiques.

    Un IAMrôle est une identité au sein de Compte AWS vous dotée d'autorisations spécifiques. Il est similaire à un IAM utilisateur, mais n'est pas associé à une personne en particulier. Pour assumer temporairement un IAM rôle dans le AWS Management Console, vous pouvez passer d'un rôle d'utilisateur à un IAM rôle (console). Vous pouvez assumer un rôle en appelant une AWS API opération AWS CLI or ou en utilisant une option personnaliséeURL. Pour plus d'informations sur les méthodes d'utilisation des rôles, voir Méthodes pour assumer un rôle dans le Guide de IAM l'utilisateur.

    IAMles rôles dotés d'informations d'identification temporaires sont utiles dans les situations suivantes :

    • Accès utilisateur fédéré : pour attribuer des autorisations à une identité fédérée, vous créez un rôle et définissez des autorisations pour le rôle. Quand une identité externe s’authentifie, l’identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour plus d'informations sur les rôles pour la fédération, voir Créer un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur. Si vous utilisez IAM Identity Center, vous configurez un ensemble d'autorisations. Pour contrôler les accès auxquels vos identités peuvent accéder après leur authentification, IAM Identity Center met en corrélation l'ensemble d'autorisations avec un rôle dans. IAM Pour plus d’informations sur les jeux d’autorisations, consultez Jeux d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center .

    • Autorisations IAM utilisateur temporaires : un IAM utilisateur ou un rôle peut assumer un IAM rôle afin d'obtenir temporairement différentes autorisations pour une tâche spécifique.

    • Accès entre comptes : vous pouvez utiliser un IAM rôle pour autoriser une personne (un mandant fiable) d'un autre compte à accéder aux ressources de votre compte. Les rôles constituent le principal moyen d’accorder l’accès intercompte. Toutefois, dans certains Services AWS cas, vous pouvez associer une politique directement à une ressource (au lieu d'utiliser un rôle comme proxy). Pour connaître la différence entre les rôles et les politiques basées sur les ressources pour l'accès entre comptes, voir Accès aux ressources entre comptes IAM dans le guide de l'IAMutilisateur.

    • Accès multiservices — Certains Services AWS utilisent des fonctionnalités dans d'autres Services AWS. Par exemple, lorsque vous effectuez un appel dans un service, il est courant que ce service exécute des applications dans Amazon EC2 ou stocke des objets dans Amazon S3. Un service peut le faire en utilisant les autorisations d’appel du principal, un rôle de service ou un rôle lié au service.

      • Sessions d'accès transmises (FAS) — Lorsque vous utilisez un IAM utilisateur ou un rôle pour effectuer des actions AWS, vous êtes considéré comme un mandant. Lorsque vous utilisez certains services, vous pouvez effectuer une action qui initie une autre action dans un autre service. FASutilise les autorisations du principal appelant an Service AWS, combinées à la demande Service AWS pour adresser des demandes aux services en aval. FASles demandes ne sont effectuées que lorsqu'un service reçoit une demande qui nécessite des interactions avec d'autres personnes Services AWS ou des ressources pour être traitée. Dans ce cas, vous devez disposer d’autorisations nécessaires pour effectuer les deux actions. Pour plus de détails sur les politiques relatives FAS aux demandes, consultez la section Transférer les sessions d'accès.

      • Rôle de service — Un rôle de service est un IAMrôle qu'un service assume pour effectuer des actions en votre nom. Un IAM administrateur peut créer, modifier et supprimer un rôle de service de l'intérieurIAM. Pour plus d'informations, consultez la section Créer un rôle pour déléguer des autorisations à un Service AWS dans le guide de IAM l'utilisateur.

      • Rôle lié à un service — Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un IAM administrateur peut consulter, mais pas modifier les autorisations pour les rôles liés à un service.

    • Applications exécutées sur Amazon EC2 : vous pouvez utiliser un IAM rôle pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une EC2 instance et qui AWS CLI soumettent des AWS API demandes. Cela est préférable au stockage des clés d'accès dans l'EC2instance. Pour attribuer un AWS rôle à une EC2 instance et le rendre disponible pour toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes exécutés sur l'EC2instance d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez la section Utiliser un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le Guide de IAM l'utilisateur.

    Note

    Vous ne pouvez pas utiliser les informations d'identification Git ou SSH les paires de clés publiques-privées avec des utilisateurs fédérés. En outre, les préférences utilisateur ne sont pas disponibles pour les utilisateurs fédérés. Pour plus d'informations sur la configuration des connexions à l'aide de l'accès fédéré, consultez Étapes de configuration pour HTTPS les connexions AWS CodeCommit à git-remote-codecommit.

Contrôle d’accès

Vous pouvez disposer d'informations d'identification valides pour authentifier vos demandes, mais vous ne pouvez pas créer de CodeCommit ressources ou y accéder sans autorisation. Par exemple, vous devez disposer des autorisations requises pour afficher les référentiels, transmettre le code, créer et gérer les informations d'identification Git, etc.

Les sections suivantes décrivent comment gérer les autorisations pour CodeCommit. Nous vous recommandons de lire d’abord la présentation.

Vue d'ensemble de la gestion des autorisations d'accès à vos CodeCommit ressources

Chaque AWS ressource est détenue par un compte Amazon Web Services. Les autorisations pour créer ou accéder à un ressource sont gérées par des stratégies d'autorisations. Un administrateur de compte peut associer des politiques d'autorisation aux IAM identités (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Certains services, tels que AWS Lambda, permettent également d'associer des politiques d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez la section IAMBonnes pratiques du guide de IAM l'utilisateur.

Lorsque vous accordez des autorisations, vous décidez qui les reçoit, à quelles ressources ces autorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.

CodeCommit ressources et opérations

Dans CodeCommit, la ressource principale est un référentiel. Chaque ressource est associée à un Amazon Resource Names (ARN) unique. Dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour plus d'informations surARNs, consultez Amazon Resource Names (ARN) et les espaces de noms de AWS service dans le Référence générale d'Amazon Web Services. CodeCommit ne prend actuellement pas en charge les autres types de ressources, appelés sous-ressources.

Le tableau suivant décrit comment spécifier les CodeCommit ressources.

Type de ressource ARNFormat
Référentiel.

arn:aws:codecommit :region:account-id:repository-name

Tous les CodeCommit référentiels

arn:aws:codecommit:*

Tous les CodeCommit référentiels détenus par le compte spécifié dans le Région AWS

arn:aws:codecommit :region:account-id:*
Note

La plupart AWS des services considèrent les deux points (:)) ou les barres obliques (/) ARNs comme le même caractère. Cependant, CodeCommit cela nécessite une correspondance exacte dans les modèles de ressources et les règles. Lorsque vous créez des modèles d'événements, veillez à utiliser les bons ARN caractères afin qu'ils correspondent à la ARN syntaxe de la ressource.

Par exemple, vous pouvez indiquer un dépôt spécifique (MyDemoRepo) dans votre déclaration en utilisant ARN le code suivant :

"Resource": "arn:aws:codecommit:us-west-2:111111111111:MyDemoRepo"

Pour spécifier tous les référentiels appartenant à un compte spécifique, utilisez le caractère générique (*) comme suit :

"Resource": "arn:aws:codecommit:us-west-2:111111111111:*"

Pour spécifier toutes les ressources, ou si une API action spécifique n'est pas compatibleARNs, utilisez le caractère générique (*) dans l'Resourceélément comme suit :

"Resource": "*"

Vous pouvez également utiliser le caractère générique (*) pour spécifier toutes les ressources qui correspondent à une partie du nom du référentiel. Par exemple, ce qui suit ARN indique tout CodeCommit référentiel qui commence par le nom MyDemo et qui est enregistré sur le compte Amazon Web Services 111111111111 dans le us-east-2 Région AWS :

arn:aws:codecommit:us-east-2:111111111111:MyDemo*

Pour obtenir la liste des opérations disponibles qui fonctionnent avec les CodeCommit ressources, consultezRéférence des autorisations CodeCommit.

Présentation de la propriété des ressources

Le compte Amazon Web Services possède les ressources créées dans le compte, quel que soit leur créateur. Plus précisément, le propriétaire de la ressource est le compte Amazon Web Services de l'entité principale (c'est-à-dire le compte root, un IAM utilisateur ou un IAM rôle) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous créez un IAM utilisateur dans votre compte Amazon Web Services et que vous accordez l'autorisation de créer CodeCommit des ressources à cet utilisateur, celui-ci peut créer CodeCommit des ressources. Toutefois, votre compte Amazon Web Services, auquel appartient l'utilisateur, est propriétaire des CodeCommit ressources.

  • Si vous utilisez les informations d'identification du compte root de votre compte Amazon Web Services pour créer une règle, votre compte Amazon Web Services est le propriétaire de la CodeCommit ressource.

  • Si vous créez un IAM rôle dans votre compte Amazon Web Services avec l'autorisation de créer des CodeCommit ressources, toute personne habilitée à assumer ce rôle peut créer CodeCommit des ressources. Votre compte Amazon Web Services, auquel appartient le rôle, est propriétaire des CodeCommit ressources.

Gestion de l’accès aux ressources

Pour gérer l'accès aux AWS ressources, vous utilisez des politiques d'autorisation. Une permissions policy (politique d'autorisation) décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des stratégies d'autorisation.

Note

Cette section traite de l'utilisation IAM dans le contexte de CodeCommit. Il ne fournit pas d'informations détaillées sur le IAM service. Pour plus d'informationsIAM, voir Qu'est-ce que c'est IAM ? dans le guide de IAM l'utilisateur. Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, reportez-vous à la section Référence des IAM politiques dans le Guide de IAM l'utilisateur.

Les politiques d'autorisation associées à une IAM identité sont appelées politiques basées sur l'identité (IAMpolitiques). Les stratégies d'autorisation qui sont associées à une ressource sont des stratégies basées sur la ressource. Actuellement, ne CodeCommit prend en charge que les politiques basées sur l'identité (IAMpolitiques).

Politiques basées sur l'identité (politiques) IAM

Pour gérer l'accès aux AWS ressources, vous devez associer des politiques d'autorisation aux IAM identités. Dans CodeCommit, vous utilisez des politiques basées sur l'identité pour contrôler l'accès aux référentiels. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Associer une politique d'autorisation à un utilisateur ou à un groupe de votre compte : pour autoriser un utilisateur à consulter les CodeCommit ressources dans la CodeCommit console, associez une politique d'autorisation basée sur l'identité à un utilisateur ou à un groupe auquel l'utilisateur appartient.

  • Associer une politique d'autorisation à un rôle (pour accorder des autorisations entre comptes) : la délégation, par exemple lorsque vous souhaitez accorder un accès entre comptes, implique la mise en place d'une relation de confiance entre le compte propriétaire de la ressource (le compte de confiance) et le compte contenant les utilisateurs devant accéder à la ressource (le compte de confiance). Une stratégie d'autorisation accorde à l'utilisateur d'un rôle les autorisations nécessaires pour exécuter les tâches prévues sur la ressource. Une stratégie d'approbation détermine les comptes approuvés autorisés à accorder à leurs utilisateurs les autorisations nécessaires pour assumer le rôle. Pour plus d'informations, consultez la section IAMTermes et concepts.

    Pour accorder des autorisations entre comptes, associez une politique d'autorisation basée sur l'identité à un rôle. IAM Par exemple, l'administrateur du compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre compte Amazon Web Services (par exemple, le compte B) ou à un AWS service comme suit :

    1. Compte Un administrateur crée un IAM rôle et associe une politique d'autorisation au rôle qui accorde des autorisations sur les ressources du compte A.

    2. L'administrateur du Compte A attache une politique d'approbation au rôle identifiant le Compte B comme principal pouvant assumer ce rôle.

    3. L'administrateur du compte B peut ensuite déléguer les autorisations nécessaires pour assumer le rôle à n'importe quel utilisateur du compte B. Cela permet aux utilisateurs du compte B de créer ou d'accéder aux ressources du compte A. Si vous souhaitez accorder à un AWS service l'autorisation d'assumer le rôle, le principal responsable de la politique de confiance peut également être un directeur de AWS service. Pour plus d'informations, consultez la section Délégation en IAMtermes et concepts.

    Pour plus d'informations sur l'utilisation IAM pour déléguer des autorisations, consultez la section Gestion des accès dans le guide de IAM l'utilisateur.

L'exemple de politique suivant permet à un utilisateur de créer une branche dans un référentiel nommé MyDemoRepo:

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codecommit:CreateBranch"
      ],
      "Resource" : "arn:aws:codecommit:us-east-2:111111111111:MyDemoRepo"
    }
  ]
}

Pour restreindre les appels et les ressources auxquels les utilisateurs de votre compte ont accès, créez des IAM politiques spécifiques, puis associez-les aux IAM utilisateurs. Pour plus d'informations sur la création de IAM rôles et pour découvrir des exemples de déclarations de IAM politique pour CodeCommit, voirExemples de politiques d'identité gérées par le client.

Politiques basées sur les ressources

Certains services, tels qu'Amazon S3, prennent également en charge les politiques d'autorisation basées sur les ressources. Par exemple, vous pouvez associer une politique basée sur les ressources à un compartiment S3 afin de gérer les autorisations d'accès à ce compartiment. CodeCommit ne prend pas en charge les politiques basées sur les ressources, mais vous pouvez utiliser des balises pour identifier les ressources, que vous pouvez ensuite utiliser dans IAM les politiques. Pour obtenir un exemple d'une stratégie basée sur les balises, consultez Politiques basées sur l'identité (politiques) IAM.

Délimitation des ressources dans CodeCommit

Dans CodeCommit, vous pouvez définir les politiques basées sur l'identité et les autorisations d'accès aux ressources, comme décrit dans. CodeCommit ressources et opérations Cependant, vous ne pouvez pas spécifier l'autorisation ListRepositories pour une ressource. Au lieu de cela, vous devez la définir pour toutes les ressources (en utilisant le caractère générique *). Sinon, l'action échoue.

Toutes les autres CodeCommit autorisations peuvent être étendues aux ressources.

Spécification des éléments d'une politique : ressources, actions, effets et mandataires

Vous pouvez créer des politiques pour autoriser ou refuser aux utilisateurs l'accès aux ressources, ou autoriser ou refuser aux utilisateurs d'effectuer des actions spécifiques sur ces ressources. CodeCommit définit un ensemble d'APIopérations publiques qui définissent la manière dont les utilisateurs utilisent le service, que ce soit par le biais de la CodeCommit consoleSDKs, du AWS CLI, ou en les appelant directementAPIs. Pour accorder des autorisations pour ces API opérations, CodeCommit définit un ensemble d'actions que vous pouvez spécifier dans une politique.

Certaines API opérations peuvent nécessiter des autorisations pour plusieurs actions. Pour plus d'informations sur les ressources et API les opérations, consultez CodeCommit ressources et opérations etRéférence des autorisations CodeCommit.

Voici les éléments de base d'une stratégie :

  • Ressource : pour identifier la ressource à laquelle la politique s'applique, vous utilisez un Amazon Resource Name (ARN). Pour de plus amples informations, veuillez consulter CodeCommit ressources et opérations.

  • Action : pour identifier les opérations sur les ressources que vous souhaitez autoriser ou refuser, vous utilisez des mots clés d'action. Par exemple, en fonction de ce qui est spécifiéEffect, l'codecommit:GetBranchautorisation autorise ou refuse à l'utilisateur d'effectuer l'GetBranchopération, qui permet d'obtenir des informations sur une branche d'un CodeCommit référentiel.

  • Effet : vous spécifiez l'effet, qu'il s'agisse d'autoriser ou de refuser, qui se produit lorsque l'utilisateur demande l'action spécifique. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différente accorde cet accès.

  • Principal — Dans les politiques basées sur l'identité (IAMpolitiques), le seul type de politique CodeCommit compatible, l'utilisateur auquel la politique est attachée est le principal implicite.

Pour en savoir plus sur la syntaxe des IAM politiques, consultez la section Référence des IAM politiques dans le Guide de IAM l'utilisateur.

Pour un tableau présentant toutes les CodeCommit API actions et les ressources auxquelles elles s'appliquent, voirRéférence des autorisations CodeCommit.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous utilisez le langage de politique d'accès IAM pour spécifier les conditions dans lesquelles une politique doit prendre effet. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez la section Grammaire des conditions et des politiques dans le guide de IAM l'utilisateur.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe aucune clé de condition spécifique à CodeCommit. Cependant, il existe des AWS clés de condition larges que vous pouvez utiliser le cas échéant. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles pour les conditions dans le guide de IAM l'utilisateur.