配置IAM用户 - CodeArtifact

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置IAM用户

按照以下说明为IAM用户做好使用准备 CodeArtifact。

预置 IAM 用户

  1. 创建IAM用户,或使用与您关联的用户 AWS 账户。有关更多信息,请参阅IAM用户指南中的创建用户AWS IAM策略概述。IAM

  2. 向IAM用户授予访问权限 CodeArtifact。

    • 选项 1:创建自定义IAM策略。使用自定义IAM策略,您可以提供所需的最低权限并更改身份验证令牌的持续时间。有关更多信息以及示例策略,请参阅基于身份的策略示例 AWS CodeArtifact

    • 选项 2:使用AWSCodeArtifactAdminAccess AWS 托管策略。下面的代码段显示了此策略的内容。

      重要

      此政策向所有人授予访问权限 CodeArtifact APIs。建议您始终使用完成任务所需的最低权限。有关更多信息,请参阅《IAM用户指南》中的IAM最佳实践

      {
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "codeartifact:*"
         ],
         "Effect": "Allow",
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "sts:GetServiceBearerToken",
         "Resource": "*",
            "Condition": {
               "StringEquals": {
                  "sts:AWSServiceName": "codeartifact.amazonaws.com"
               }
            }
      }
    ]
}
注意

必须将sts:GetServiceBearerToken权限添加到IAM用户或角色策略中。虽然可以将其添加到 CodeArtifact 域或存储库资源策略中,但该权限不会影响资源策略。

需要sts:GetServiceBearerToken获得许可才能调用 CodeArtifactGetAuthorizationTokenAPI。这将API返回一个令牌,在使用软件包管理器(例如npm或with)时必须pip使用该令牌 CodeArtifact。要在 CodeArtifact 仓库中使用包管理器,您的IAM用户或角色必须允许sts:GetServiceBearerToken,如前面的策略示例所示。

如果您尚未安装计划使用的包管理器或生成工具 CodeArtifact,请参阅安装程序包管理器或构建工具