Connexion aux AWS CodeCommit référentiels avec des informations d'identification rotatives - AWS CodeCommit
Étape 1 : Exécuter les prérequisÉtape 2 : obtenir le nom du rôle ou les informations d'accèsÉtape 3 : Installation git-remote-codecommit et configuration du AWS CLIÉtape 4 : Accès aux CodeCommit référentiels

AWS CodeCommit n'est plus disponible pour les nouveaux clients. Les clients existants de AWS CodeCommit peuvent continuer à utiliser le service normalement. En savoir plus »

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion aux AWS CodeCommit référentiels avec des informations d'identification rotatives

Vous pouvez autoriser les utilisateurs à accéder à vos AWS CodeCommit référentiels sans configurer d'IAMutilisateurs pour eux ni utiliser de clé d'accès ou de clé secrète. Pour attribuer des autorisations à une identité fédérée, vous devez créer un rôle et définir des autorisations pour ce rôle. Quand une identité externe s’authentifie, l’identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour plus d'informations sur les rôles pour la fédération, voir Créer un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur. Si vous utilisez IAM Identity Center, vous configurez un ensemble d'autorisations. Pour contrôler les accès auxquels vos identités peuvent accéder après leur authentification, IAM Identity Center met en corrélation l'ensemble d'autorisations avec un rôle dans. IAM Pour plus d’informations sur les jeux d’autorisations, consultez Jeux d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center . Vous pouvez également configurer l'accès basé sur les rôles pour permettre aux IAM utilisateurs d'accéder aux CodeCommit référentiels dans des comptes Amazon Web Services distincts (technique connue sous le nom d'accès entre comptes). Pour connaître la procédure permettant de configurer l'accès entre comptes à un référentiel, consultez Configuration de l'accès entre comptes à un AWS CodeCommit référentiel à l'aide de rôles.

Vous pouvez configurer l'accès pour les utilisateurs qui veulent ou doivent s'authentifier via des méthodes telles que les suivantes :

  • Langage de balisage des assertions de sécurité () SAML

  • Authentification multifactorielle () MFA

  • Fédération

  • Login with Amazon

  • Amazon Cognito

  • Facebook

  • Google

  • Fournisseur d'identité compatible avec OpenID Connect (OIDC)

Note

Les informations suivantes s'appliquent uniquement à l'utilisation git-remote-codecommit ou à l'assistant AWS CLI d'identification pour se connecter aux CodeCommit référentiels. L'approche recommandée pour l'accès temporaire ou fédéré CodeCommit étant la configurationgit-remote-codecommit, cette rubrique fournit des exemples d'utilisation de cet utilitaire. Pour de plus amples informations, veuillez consulter Étapes de configuration pour HTTPS les connexions AWS CodeCommit à git-remote-codecommit.

Vous ne pouvez pas utiliser SSH les informations d'identification Git et vous connecter HTTPS à CodeCommit des référentiels avec des informations d'accès temporaires ou rotatives.

N'effectuez pas ces étapes si toutes les conditions suivantes sont vérifiées :

Les EC2 instances Amazon qui répondent aux exigences précédentes sont déjà configurées pour communiquer des informations d'accès temporaires CodeCommit en votre nom.

Note

Vous pouvez configurer et utiliser git-remote-codecommit sur les EC2 instances Amazon.

Pour accorder aux utilisateurs un accès temporaire à vos CodeCommit référentiels, procédez comme suit.

Étape 1 : Exécuter les prérequis

Effectuez les étapes de configuration pour permettre à un utilisateur d'accéder à vos CodeCommit référentiels à l'aide de la rotation des informations d'identification :

Utilisez les informations contenues Authentification et contrôle d'accès pour AWS CodeCommit pour spécifier les CodeCommit autorisations que vous souhaitez accorder à l'utilisateur.

Étape 2 : obtenir le nom du rôle ou les informations d'accès

Si vous souhaitez que vos utilisateurs accèdent aux référentiels en assumant un rôle, indiquez-leur le Amazon Resource Name (ARN) correspondant à ce rôle. Sinon, selon la façon dont vous configurez l'accès, l'utilisateur peut obtenir des informations d'identification rotatives de l'une des manières suivantes :

Étape 3 : Installation git-remote-codecommit et configuration du AWS CLI

Vous devez configurer votre ordinateur local pour qu'il utilise les informations d'identification d'accès en installant git-remote-codecommit et en configurant un profil dans l' AWS CLI.

  1. Suivez les instructions de Configuration pour configurer l' AWS CLI. Utilisez la commande aws configure pour configurer un ou plusieurs profils. Envisagez de créer un profil nommé à utiliser lorsque vous vous connectez à des CodeCommit référentiels à l'aide de la rotation des informations d'identification.

  2. Vous pouvez associer les informations d'identification au profil AWS CLI nommé de l'utilisateur de l'une des manières suivantes.

    • Si vous assumez un rôle d'accès CodeCommit, configurez un profil nommé avec les informations requises pour assumer ce rôle. Par exemple, si vous souhaitez assumer un rôle nommé CodeCommitAccess dans le compte Amazon Web Services 1111111111, vous pouvez configurer un profil par défaut à utiliser lorsque vous travaillez avec d'autres AWS ressources et un profil nommé à utiliser lorsque vous assumez ce rôle. Les commandes suivantes créent un profil nommé CodeAccess qui assume un rôle nommé CodeCommitAccessNom de l'utilisateur. Maria_Garcia est associé à la session et le profil par défaut est défini comme source de ses AWS informations d'identification :

      aws configure set role_arn arn:aws:iam::111111111111:role/CodeCommitAccess --profile CodeAccess
aws configure set source_profile default --profile CodeAccess
aws configure set role_session_name "Maria_Garcia" --profile CodeAccess

      Si vous souhaitez vérifier les modifications, affichez ou modifiez manuellement le fichier ~/.aws/config (pour Linux) ou le fichier %UserProfile%.aws\config (pour Windows) et examinez les informations sous le profil nommé. Votre fichier peut ressembler à l'exemple suivant :

      [default]
region = us-east-1
output = json

[profile CodeAccess]
source_profile = default
role_session_name = Maria_Garcia
role_arn = arn:aws:iam::111111111111:role/CodeCommitAccess

      Après avoir configuré votre profil nommé, vous pouvez cloner des CodeCommit référentiels à l'aide de l'git-remote-codecommitutilitaire en utilisant le profil nommé. Par exemple, pour cloner un dépôt nommé MyDemoRepo: 

      git clone codecommit://CodeAccess@MyDemoRepo

    • Si vous utilisez la fédération d'identité Web et OpenID Connect (OIDC), configurez un profil nommé qui effectue l'AssumeRoleWithWebIdentityAPIappel AWS Security Token Service (AWS STS) en votre nom pour actualiser les informations d'identification temporaires. Utilisez la aws configure set commande ou modifiez manuellement le ~/.aws/credentials fichier (pour Linux) ou le %UserProfile%.aws\credentials fichier (pour Windows) pour ajouter un profil AWS CLI nommé avec les valeurs de réglage requises. Par exemple, pour créer un profil qui suppose que CodeCommitAccess rôle et utilise un fichier de jeton d'identité Web ~/my-credentials/my-token-file:

      [CodeCommitWebIdentity]
role_arn = arn:aws:iam::111111111111:role/CodeCommitAccess
web_identity_token_file=~/my-credentials/my-token-file
role_session_name = Maria_Garcia

    Pour plus d'informations, consultez la section Configuration du rôle AWS Command Line Interface et utilisation d'un IAM rôle AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.

Étape 4 : Accès aux CodeCommit référentiels

En supposant que votre utilisateur ait suivi les instructions Connexion à un référentiel pour se connecter CodeCommit aux référentiels, il utilise ensuite les fonctionnalités étendues fournies par git-remote-codecommit Git git pull pour appeler git clonegit push, cloner, envoyer des push vers et extraire les CodeCommit référentiels auxquels il a accès. Par exemple, pour cloner un référentiel :

git clone codecommit://CodeAccess@MyDemoRepo

Les commandes Git commit, push et pull utilisent la syntaxe Git régulière.

Lorsque l'utilisateur utilise le AWS CLI et spécifie le profil AWS CLI nommé associé aux informations d'identification d'accès rotatives, les résultats limités à ce profil sont renvoyés.