Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura l'accesso tra account a un AWS CodeCommit repository utilizzando i ruoli
Puoi configurare l'accesso ai CodeCommit repository per utenti e gruppi IAM in un altro AWS account. Tale configurazione viene spesso definita *accesso multiaccount*. Questa sezione fornisce esempi e step-by-step istruzioni per configurare l'accesso tra account a un repository denominato *MySharedDemoRepo* nella regione Stati Uniti orientali (Ohio) in un AWS account (denominato AccountA) per utenti IAM che appartengono a un gruppo IAM denominato *DevelopersWithCrossAccountRepositoryAccess* in un altro account AWS (denominato AccountB).
La sezione si articola in tre parti:
+ Operazioni dell'amministratore nell'AccountA.
+ Operazioni dell'amministratore nell'AccountB.
+ Operazioni dell'utente del repository nell'AccountB.
Per configurare l'accesso multiaccount:
+ L'amministratore in AccountA accede come utente IAM con le autorizzazioni necessarie per creare e gestire repository e creare ruoli in CodeCommit IAM. Se utilizzi policy gestite, applica IAMFull Access e AWSCode CommitFullAccess a questo utente IAM.
L'ID account di esempio per l'AccountA è *111122223333*.
+ L'amministratore di AccountB accede come utente IAM con le autorizzazioni necessarie per creare e gestire utenti e gruppi IAM e per configurare le policy per utenti e gruppi. Se utilizzi policy gestite, applica IAMFull Access a questo utente IAM.
L'ID account di esempio per l'AccountB è *888888888888*.
+ L'utente del repository in AccountB, per emulare le attività di uno sviluppatore, accede come utente IAM membro del gruppo IAM creato per consentire l'accesso al CodeCommit repository in AccountA. Tale account deve essere configurato con:
+ AWS Accesso alla console di gestione.
+ Una chiave di accesso e una chiave segreta da utilizzare per la connessione alle AWS risorse e l'ARN del ruolo da assumere quando si accede ai repository in AccounTA.
+ L'utilità **git-remote-codecommit** sul computer locale in cui viene clonato il repository. Questa utilità richiede Python e il programma di installazione (pip). È possibile scaricare l'utilità da [https://pypi.org/project/git-remote-codecommit/](https://pypi.org/project/git-remote-codecommit/) nel sito Web Python Package Index.
[Per ulteriori informazioni, consulta [Passaggi di configurazione per le connessioni HTTPS a AWS CodeCommit con git-remote-codecommit](setting-up-git-remote-codecommit.md) e utenti IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html#intro-identity-users)
**Topics**
+ [Accesso all'archivio su più account: azioni per l'amministratore in AccountA](cross-account-administrator-a.md)
+ [Accesso all'archivio tra account: azioni per l'amministratore in AccountB](cross-account-administrator-b.md)
+ [Accesso all'archivio tra account: azioni per l'utente del repository in AccountB](cross-account-user-b.md)
# Accesso all'archivio su più account: azioni per l'amministratore in AccountA
Per autorizzare gli utenti o i gruppi nell'AccountB ad accedere a un repository nell'AccountA, un amministratore dell'AccountA deve:
+ Creare una policy nell'AccountA che permette l'accesso al repository.
+ Crea un ruolo in AccountA che possa essere assunto dagli utenti e dai gruppi IAM in AccountB.
+ Collegare la policy al ruolo.
Le sezioni che seguono illustrano i passaggi e gli esempi.
**Topics**
+ [Fase 1: Creare una politica per l'accesso al repository in AccountA](#cross-account-create-policy-a)
+ [Fase 2: Creare un ruolo per l'accesso al repository in AccounTa](#cross-account-create-role-a)
## Fase 1: Creare una politica per l'accesso al repository in AccountA
È possibile creare una policy in AccountA che conceda l'accesso al repository in AccountA agli utenti in AccountB. A seconda del livello di accesso che vuoi autorizzare, procedi in uno dei seguenti modi:
+ Configurare la policy in modo da permettere agli utenti dell'AccountB di accedere a un repository specifico, ma non di visualizzare un elenco di tutti i repository nell'AccountA.
+ Configurare un livello di accesso aggiuntivo per permettere agli utenti dell'AccountB di scegliere il repository da un elenco di tutti i repository nell'AccountA.
**Per creare una policy per l'accesso al repository**
1. Accedi alla console di AWS gestione come utente IAM con le autorizzazioni per creare policy in AccountA.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Scegliere la scheda **JSON** e incollare il documento della seguente policy di JSON nella casella di testo JSON. Sostituisci *us-east-2* con Regione AWS for the repository, *111122223333* con l'ID account per AccounTa *MySharedDemoRepo* e con il nome del CodeCommit tuo repository in AccounTa:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecommit:BatchGet*",
"codecommit:Create*",
"codecommit:DeleteBranch",
"codecommit:Get*",
"codecommit:List*",
"codecommit:Describe*",
"codecommit:Put*",
"codecommit:Post*",
"codecommit:Merge*",
"codecommit:Test*",
"codecommit:Update*",
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:us-east-2:111122223333:MySharedDemoRepo"
]
}
]
}
```
------
Se desideri che gli utenti che assumono questo ruolo possano visualizzare un elenco di repository nella home page della CodeCommit console, aggiungi una dichiarazione aggiuntiva alla politica, come segue:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecommit:BatchGet*",
"codecommit:Create*",
"codecommit:DeleteBranch",
"codecommit:Get*",
"codecommit:List*",
"codecommit:Describe*",
"codecommit:Put*",
"codecommit:Post*",
"codecommit:Merge*",
"codecommit:Test*",
"codecommit:Update*",
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:us-east-2:111122223333:MySharedDemoRepo"
]
},
{
"Effect": "Allow",
"Action": "codecommit:ListRepositories",
"Resource": "*"
}
]
}
```
------
Questo tipo di accesso aiuta gli utenti che assumono questo ruolo con questa policy a individuare il repository a cui possono accedere. Possono scegliere il nome del repository dall'elenco ed essere indirizzati alla home page del repository condiviso (`Code`). Gli utenti non possono accedere a nessun altro repository di quelli visualizzati nell'elenco, ma possono visualizzare i repository nell'AccountA nella pagina **Dashboard (Pannello di controllo)**.
Se non desideri consentire agli utenti che assumono il ruolo di visualizzare un elenco di tutti gli archivi in AccountA, utilizza il primo esempio di policy, ma assicurati di inviare a tali utenti un link diretto alla home page dell'archivio condiviso nella console. CodeCommit
1. Scegliere **Esamina policy**. Il validatore delle policy segnala errori di sintassi (ad esempio, se dimentichi di sostituire l'ID account Amazon Web Services di esempio e il nome del repository con l'ID dell'account Amazon Web Services e il nome del repository).
1. Nella pagina **Rivedi la policy**, inserisci un nome per la policy (ad esempio,). *CrossAccountAccessForMySharedDemoRepo* È anche possibile fornire una descrizione della policy. Scegli **Crea policy**.
## Fase 2: Creare un ruolo per l'accesso al repository in AccounTa
Dopo aver configurato una policy, crea un ruolo che gli utenti e i gruppi IAM in AccountB possono assumere e associa la policy a quel ruolo.
**Per creare un ruolo per l'accesso al repository**
1. Nella console IAM, scegliere **Roles (Ruoli)**.
1. Scegli **Crea ruolo**.
1. Scegli **un altro account Amazon Web Services**.
1. In **Account ID**, inserisci l'ID dell'account Amazon Web Services per AccountB (ad esempio,*888888888888*). Scegli **Successivo: autorizzazioni**.
1. In **Allega le politiche di autorizzazione**, seleziona la politica creata nella procedura precedente ()*CrossAccountAccessForMySharedDemoRepo*. Scegli **Prossimo: Rivedi**.
1. In **Nome ruolo**, immettete un nome per il ruolo (ad esempio,*MyCrossAccountRepositoryContributorRole*). È anche possibike immettere una descrizione del ruolo per aiutare gli altri utenti a capirne lo scopo.
1. Scegli **Crea ruolo**.
1. Aprire il ruolo appena creato e copiare l'ARN del ruolo (ad esempio `arn:aws:iam::111122223333:role/MyCrossAccountRepositoryContributorRole`). Questo ARN va inviato all'amministratore dell'AccountB.
# Accesso all'archivio tra account: azioni per l'amministratore in AccountB
Per autorizzare gli utenti o i gruppi nell'AccountB ad accedere a un repository nell'AccountB, l'amministratore dell'AccountB deve creare un gruppo nell'AccountB. Tale gruppo deve essere configurato con una policy che consente ai membri del gruppo di assumere il ruolo creato dall'amministratore dell'AccountA.
Le sezioni che seguono illustrano i passaggi e gli esempi.
**Topics**
+ [Fase 1: Creare un gruppo IAM per l'accesso al repository per gli utenti AccountB](#cross-account-create-group-b)
+ [Fase 2: Creare una policy e aggiungere utenti al gruppo IAM](#cross-account-create-policy-b)
## Fase 1: Creare un gruppo IAM per l'accesso al repository per gli utenti AccountB
Il modo più semplice per gestire quali utenti IAM in AccountB possono accedere all'archivio AccountA consiste nel creare un gruppo IAM in AccountB autorizzato ad assumere il ruolo in AccountA e quindi aggiungere gli utenti IAM a quel gruppo.
**Per creare un gruppo per l'accesso multiaccount al repository**
1. Accedi alla console di AWS gestione come utente IAM con le autorizzazioni necessarie per creare gruppi e policy IAM e gestire gli utenti IAM in AccountB.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. **Nella console IAM, scegli Gruppi.**
1. Selezionare **Create New Group (Crea nuovo gruppo)**.
1. In **Nome gruppo**, inserisci un nome per il gruppo (ad esempio,*DevelopersWithCrossAccountRepositoryAccess*). Selezionare **Next Step (Fase successiva)**.
1. In **Attach Policy** (Collega policy), seleziona **Next Step** (Fase successiva); Nella procedura successiva verrà creata la policy multiaccount. Terminare la creazione del gruppo.
## Fase 2: Creare una policy e aggiungere utenti al gruppo IAM
Ora che hai creato il gruppo, crea la policy che consente ai suoi membri di assumere il ruolo che dà loro accesso al repository nell'AccountA. Quindi aggiungi al gruppo gli utenti IAM in AccountB a cui desideri consentire l'accesso in AccountA.
**Per creare una policy e aggiungere utenti al gruppo**
1. Nella console IAM, scegli **Gruppi**, quindi scegli il nome del gruppo che hai appena creato (ad esempio,*DevelopersWithCrossAccountRepositoryAccess*).
1. Scegli la scheda **Autorizzazioni**. Espandere **Inline Policies (Policy inline)**, quindi scegliere il collegamento per creare una policy inline. (Se si sta configurando un gruppo già provvisto di una policy inline, scegliere **Create Group Policy (Crea policy di gruppo)**).
1. Scegliere **Custom Policy (Policy personalizzata)** quindi **Select (Seleziona)**.
1. In **Policy Name (Nome policy)**, inserisci un nome per la policy, ad esempio *AccessPolicyForSharedRepository*.
1. In **Policy Document (Documento policy)**, incollare la seguente policy. **In`Resource`, sostituisci l'ARN con l'ARN della politica creata dall'amministratore in AccountA (ad esempio, arn:aws:iam: ::role/), quindi scegli Applica politica. *111122223333* *MyCrossAccountRepositoryContributorRole*** Per ulteriori informazioni sulla policy creata dall'amministratore nell'AccountA, consulta [Fase 1: Creare una politica per l'accesso al repository in AccountA](cross-account-administrator-a.md#cross-account-create-policy-a).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/MyCrossAccountRepositoryContributorRole"
}
}
```
------
1. Scegli la scheda **Users** (Utenti); Scegli **Aggiungi utenti al gruppo**, quindi aggiungi gli utenti IAM AccountB. Ad esempio, potresti aggiungere un utente IAM con il nome utente *Saanvi\$1Sarkar* al gruppo.
**Nota**
Gli utenti in AccountB devono disporre dell'accesso programmatico, inclusa una chiave di accesso e una chiave segreta, per configurare i computer locali per l'accesso all'archivio condiviso. CodeCommit Se stai creando utenti IAM, assicurati di salvare la chiave di accesso e la chiave segreta. Per garantire la sicurezza dell'account AWS , la chiave di accesso segreta è accessibile solo al momento della creazione.
# Accesso all'archivio tra account: azioni per l'utente del repository in AccountB
Per accedere al repository nell'AccountA, gli utenti del gruppo AccountB devono configurare i loro computer locali per l'accesso al repository. Le sezioni che seguono illustrano i passaggi e gli esempi.
**Topics**
+ [Fase 1: Configurare AWS CLI e Git per consentire a un utente AccountB di accedere al repository in AccountA](#cross-account-configure-credentials)
+ [Fase 2: Clona e accedi al CodeCommit repository in AccounTa](#cross-account-clone-and-use)
## Fase 1: Configurare AWS CLI e Git per consentire a un utente AccountB di accedere al repository in AccountA
Non è possibile utilizzare chiavi SSH o credenziali Git per accedere ai repository in un altro account Amazon Web Services. Gli utenti AccountB devono configurare i propri computer per utilizzare **git-remote-codecommit** (consigliato) o l'helper delle credenziali per accedere all'archivio CodeCommit condiviso in AccountA. Puoi comunque continuare a utilizzare le chiavi SSH o le credenziali Git per accedere ai repository nell'AccountB.
Attieniti alla seguente procedura per configurare l'accesso utilizzando **git-remote-codecommit**. Se non l'hai già installato**git-remote-codecommit**, scaricalo dal sito Web [https://pypi.org/project/git-remote-codecommit/](https://pypi.org/project/git-remote-codecommit/)Python Package Index.
**Per configurare AWS CLI e Git per l'accesso tra account diversi**
1. Installa il AWS CLI sul computer locale. Consulta le istruzioni per il tuo sistema operativo nella sezione relativa all'[installazione di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/installing.html).
1. Installare Git sul computer locale. Per installare Git, ti suggeriamo siti Web quali [Git Downloads](http://git-scm.com/downloads) o [Git for Windows](http://msysgit.github.io/).
**Nota**
CodeCommit supporta le versioni Git 1.7.9 e successive. La versione Git 2.28 supporta la configurazione del nome del ramo per i commit iniziali. Si consiglia di utilizzare una versione recente di Git. Git è una piattaforma in evoluzione e regolarmente aggiornata. Occasionalmente, una modifica delle funzionalità potrebbe influire sul modo in cui funziona. CodeCommit Se riscontri problemi con una versione specifica di Git and CodeCommit, consulta le informazioni in[Risoluzione dei problemi](troubleshooting.md).
1. Dal terminale o dalla riga di comando, nella posizione della directory dove si desidera clonare il repository, eseguire i comandi **git config --local user.name** e **git config --local user.email** per impostare il nome utente e la e-mail dei commit che si vuole apportare al repository. Esempio:
```
git config --local user.name "Saanvi Sarkar"
git config --local user.email saanvi_sarkar@example.com
```
Questi comandi non restituiscono nulla, ma l'e-mail e il nome utente che hai specificato saranno associati ai commit apportati al repository nell'AccountA.
1. Eseguire il comando **aws configure --profile** per configurare un profilo di default da utilizzare durante la connessione alle risorse nell'AccountB. Quando richiesto, fornisci la chiave di accesso e la chiave segreta per il tuo utente IAM.
**Nota**
Se hai già installato AWS CLI e configurato un profilo, puoi saltare questo passaggio.
Ad esempio, esegui il comando seguente per creare un AWS CLI profilo predefinito da utilizzare per accedere alle AWS risorse in AccountB negli Stati Uniti orientali (Ohio) (us-east-2):
```
aws configure
```
Quando viene richiesto, fornire le seguenti informazioni:
```
AWS Access Key ID [None]: Your-IAM-User-Access-Key
AWS Secret Access Key ID [None]: Your-IAM-User-Secret-Access-Key
Default region name ID [None]: us-east-2
Default output format [None]: json
```
1. Eseguire di nuovo il comando **aws configure --profile** per configurare un profilo con nome da utilizzare durante la connessione al repository nell'AccountA. Quando richiesto, fornisci la chiave di accesso e la chiave segreta per il tuo utente IAM. Ad esempio, esegui il comando seguente per creare un AWS CLI profilo denominato *MyCrossAccountAccessProfile* da utilizzare per accedere a un repository in AccounTa negli Stati Uniti orientali (Ohio) (us-east-2):
```
aws configure --profile MyCrossAccountAccessProfile
```
Quando viene richiesto, fornire le seguenti informazioni:
```
AWS Access Key ID [None]: Your-IAM-User-Access-Key
AWS Secret Access Key ID [None]: Your-IAM-User-Secret-Access-Key
Default region name ID [None]: us-east-2
Default output format [None]: json
```
1. In un editor di testo semplice, aprire il file `config`, anche chiamato file di configurazione di AWS CLI . A seconda del sistema operativo, questo file potrebbe trovarsi `~/.aws/config` in Linux, macOS o Unix oppure in*drive*:\$1 Users\$1\$1 .aws*USERNAME*\$1 config su Windows.
1. Nel file, trovare la voce corrispondente al profilo predefinito configurato per l'accesso ai repository nell'AccountB. La schermata visualizzata dovrebbe risultare simile a quella nell'immagine seguente:
```
[default]
region = us-east-2
output = json
```
Aggiungere `account` alla configurazione del profilo. Fornisci l'ID AWS account di AccountB. Esempio:
```
[default]
account = 888888888888
region = us-east-2
output = json
```
1. Nel file, trova la voce che corrisponde al *MyCrossAccountAccessProfile* profilo appena creato. La schermata visualizzata dovrebbe risultare simile a quella nell'immagine seguente:
```
[profile MyCrossAccountAccessProfile]
region = us-east-2
output = json
```
Aggiungere `account`, `role_arn` e `source_profile` alla configurazione del profilo. Fornisci l'ID dell'account Amazon Web Services di accountA, l'ARN del ruolo in AccountA che assumi per accedere al repository nell'altro account e il nome del tuo profilo predefinito in AccountB. AWS CLI Esempio:
```
[profile MyCrossAccountAccessProfile]
region = us-east-2
account = 111122223333
role_arn = arn:aws:iam::111122223333:role/MyCrossAccountRepositoryContributorRole
source_profile = default
output = json
```
Salvare le modifiche e chiudere l'editor di testo normale.
## Fase 2: Clona e accedi al CodeCommit repository in AccounTa
Eseguire **git clone**, **git push** e **git pull** per clonare il repository CodeCommit multiaccount ed eseguirne il push e l'estrazione. Puoi anche accedere alla console di AWS gestione, cambiare ruolo e utilizzare la CodeCommit console per interagire con l'archivio dell'altro account.
**Nota**
A seconda di come è stato configurato il ruolo IAM, potresti essere in grado di visualizzare i repository nella pagina predefinita di. CodeCommit Se non riesci a visualizzare i repository, chiedi all'amministratore del repository di inviarti via email un link URL alla pagina **Codici** relativa al repository condiviso nella console. CodeCommit L'URL è simile al seguente:
```
https://console.aws.amazon.com/codecommit/home?region=us-east-2#/repository/MySharedDemoRepo/browse/HEAD/--/
```
**Per clonare il repository multiaccount sul computer locale**
1. Alla riga di comando o sul terminale, nella directory in cui si vuole clonare il repository, eseguire il comando **git clone** con l'URL clone HTTPS. Esempio:
```
git clone codecommit://MyCrossAccountAccessProfile@MySharedDemoRepo
```
Salvo diversa indicazione, il repository viene clonato in una sottodirectory con lo stesso nome del repository.
1. Modificare le directory nel repository clonato e aggiungere o apportare una modifica a un file. Ad esempio, puoi aggiungere un file denominato. *NewFile.txt*
1. Aggiungi il file alle modifiche tracciate per il repository locale, esegui il commit della modifica e invia il file al repository. CodeCommit Esempio:
```
git add NewFile.txt
git commit -m "Added a file to test cross-account access to this repository"
git push
```
Per ulteriori informazioni, consulta [Guida introduttiva a Git e AWS CodeCommit](getting-started.md).
Ora che hai aggiunto un file, vai alla CodeCommit console per visualizzare il tuo commit, rivedere le modifiche degli altri utenti al repository, partecipare alle pull request e altro ancora.
**Per accedere all'archivio tra account nella console CodeCommit**
1. Accedi Console di gestione AWS a accountB (*888888888888*) come utente IAM a cui è stato concesso l'accesso tra account diversi al repository in accounTa.
1. Scegliere un nome utente nella barra di navigazione e nell'elenco a discesa scegliere **Switch Role (Cambia ruolo)**.
**Nota**
Se è la prima volta che questa opzione viene selezionata, rivedere le informazioni nella pagina, quindi scegliere nuovamente **Switch Role (Cambia ruolo)**.
1. Nella pagina **Switch Role (Cambia ruolo)**, procedere come segue:
+ In **Account**, immettere l'ID account dell'AccountA (ad esempio *111122223333*).
+ In **Ruolo**, inserisci il nome del ruolo che desideri assumere per l'accesso al repository in AccounTa (ad esempio*MyCrossAccountRepositoryContributorRole*,).
+ In **Display Name (Nome di visualizzazione)**, immettere un nome descrittivo del ruolo. Questo nome viene visualizzato nella console quando si assume il ruolo. Viene inoltre visualizzato nell'elenco dei ruoli assunti la prossima volta che si desidera cambiare ruoli nella console.
+ (Opzionale) In **Color (Colore)**, scegliere un'etichetta colorata per il nome di visualizzazione.
+ Seleziona **Switch Role** (Cambia ruolo).
Per ulteriori informazioni, consulta [Passare a un ruolo (Console di gestione AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html).
1. [Apri la CodeCommit console su codecommit/homehttps://console.aws.amazon.com/codesuite/.](https://console.aws.amazon.com/codesuite/codecommit/home)
Se il ruolo assunto dispone dell'autorizzazione per visualizzare i nomi dei repository nell'AccountA, comparirà un elenco dei repository e un messaggio di errore che informa delle mancate autorizzazioni a visualizzarne lo stato. Questo è il comportamento previsto. Scegliere dall'elenco il nome del repository condiviso.
Se il ruolo assunto non dispone dell'autorizzazione per visualizzare i nomi dei repository nell'AccountA, comparirà un messaggio di errore e un elenco vuoto senza repository. Incollare il collegamento URL sul repository o modificare il collegamento alla console e cambiare `/list` nel nome del repository condiviso (ad esempio `/MySharedDemoRepo`).
1. In **Code (Codice)**, trovare il nome del file aggiunto dal computer locale. Selezionare il nome per trovare il codice nel file, quindi esplorare il resto del repository e iniziare a utilizzarne le funzionalità.
Per ulteriori informazioni, consulta [Guida introduttiva con AWS CodeCommit](getting-started-cc.md).