跨账户存储库访问:AccountA 中管理员的操作 - AWS CodeCommit
步骤 1:在 AccountA 中创建用于存储库访问的策略步骤 2:在 AccountA 中创建用于存储库访问的角色

AWS CodeCommit 不再向新客户提供。 AWS CodeCommit 的现有客户可以继续正常使用该服务。了解更多

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户存储库访问:AccountA 中管理员的操作

要允许 AccountB 中的用户或组访问 AccountA 中的存储库,AccountA 管理员必须:

  • 在 AccountA 中创建一个授予对存储库的访问权限的策略。

  • 在 AccountA 中创建一个可由 AccountB 中的 IAM 用户和组代入的角色。

  • 将 策略附加到该角色。

以下各节提供了步骤和示例。

步骤 1:在 AccountA 中创建用于存储库访问的策略

您可以在 AccountA 中创建策略,向账户 B 中的用户授予对账户 A 中存储库的访问权限。根据您希望允许的访问级别,执行以下操作之一:

  • 配置策略以允许 AccountB 用户访问特定存储库,但不允许这些用户查看 AccountA 中所有存储库的列表。

  • 配置额外访问权限以允许 AccountB 用户从 AccountA 的所有存储库列表中选择存储库。

创建用于存储库访问的策略

  1. 以有权在 AccountA 中创建策略的IAM用户身份登录 AWS 管理控制台。

  2. 从 IAM 打开 https://console.aws.amazon.com/iam/ 控制台。

  3. 在导航窗格中,选择策略

  4. 选择创建策略

  5. 选择该JSON选项卡,然后将以下JSON策略文档粘贴到JSON文本框中。将us-east-2替换 AWS 区域 为存储库的、111122223333 AccountA 的账户 ID 和 Accoun MySharedDemoRepo tA 中的 CodeCommit 仓库名称:

    {
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "codecommit:BatchGet*",
            "codecommit:Create*",
            "codecommit:DeleteBranch",
            "codecommit:Get*",
            "codecommit:List*",
            "codecommit:Describe*",
            "codecommit:Put*",
            "codecommit:Post*",
            "codecommit:Merge*",
            "codecommit:Test*",
            "codecommit:Update*",
            "codecommit:GitPull",
            "codecommit:GitPush"
        ],
        "Resource": [
            "arn:aws:codecommit:us-east-2:111122223333:MySharedDemoRepo"
        ]
    }
]
}

    如果您希望担任此角色的用户能够在 CodeCommit 控制台主页上查看存储库列表,请在策略中添加其他声明,如下所示:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codecommit:BatchGet*",
                "codecommit:Create*",
                "codecommit:DeleteBranch",
                "codecommit:Get*",
                "codecommit:List*",
                "codecommit:Describe*",
                "codecommit:Put*",
                "codecommit:Post*",
                "codecommit:Merge*",
                "codecommit:Test*",
                "codecommit:Update*",
                "codecommit:GitPull",
                "codecommit:GitPush"
            ],
            "Resource": [
                "arn:aws:codecommit:us-east-2:111122223333:MySharedDemoRepo"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "codecommit:ListRepositories",
            "Resource": "*"
        }
    ]
}

    利用该访问权限,使用此策略代入此角色的用户能够更轻松地找到其有权访问的存储库。他们可以从列表中选择存储库的名称,并定位到共享存储库的主页 (Code)。虽然用户无法访问列表中显示的任何其他存储库,但他们可以在控制面板页面上查看 AccountA 中的存储库。

    如果您不想让担任该角色的用户能够查看 AccountA 中所有仓库的列表,请使用第一个策略示例,但要确保在控制台中向这些用户发送指向共享仓库主页的直接链接。 CodeCommit

  6. 选择查看策略。策略验证器会报告语法错误(例如,如果您忘记将示例 Amazon Web Services 账户 ID 和存储库名称替换为您的 Amazon Web Services 账户 ID 和存储库名称)。

  7. 查看策略页面上,输入策略的名称(例如CrossAccountAccessForMySharedDemoRepo)。您也可以提供此策略的可选描述。选择创建策略

步骤 2:在 AccountA 中创建用于存储库访问的角色

配置策略后,创建 AccountB 中的 IAM 用户和组可代入的角色,然后向此角色附加策略。

创建用于存储库访问的角色

  1. 在 IAM 控制台中,选择角色

  2. 选择 Create role(创建角色)。

  3. 选择另一个 Amazon Web Services 账户

  4. 账户 ID 中,输入 AccountB 的亚马逊 Web Services 账户 ID(例如)。888888888888选择下一步: 权限

  5. 附加权限策略中,选择您在上一个过程中创建的策略(CrossAccountAccessForMySharedDemoRepo)。选择 下一步: 审核

  6. 角色名称中,输入角色的名称(例如,MyCrossAccountRepositoryContributorRole)。您还可以输入可选描述,帮助他人了解角色的用途。

  7. 选择 Create role(创建角色)。

  8. 打开您刚刚创建的角色,然后复制该角色ARN(例如,arn:aws:iam::111122223333:role/MyCrossAccountRepositoryContributorRole)。您需要将其提供给 AccountB 管理员。ARN