本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用以身分為基礎的政策 (IAM 政策) CodeCommit
以下身分型政策範例示範帳戶管理員如何將許可政策附加至 IAM 身分 (使用者、群組和角色),以授與對資源執行作業的 CodeCommit 權限。
重要
我們建議您先檢閱介紹性主題,其中說明可用於管理 CodeCommit 資源存取權的基本概念和選項。如需詳細資訊,請參閱管理資 CodeCommit 源存取權限概觀。
以下是身分型許可政策範例:
{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "codecommit:BatchGetRepositories" ], "Resource" : [ "arn:aws:codecommit:us-east-2:111111111111:MyDestinationRepo", "arn:aws:codecommit:us-east-2:111111111111:MyDemo*" ] } ] }
此原則有一個陳述式,可讓使用者取得名為的儲 CodeCommit存 CodeCommit 庫以MyDestinationRepo及以該us-east-2區域MyDemo中名稱開頭的所有儲存庫的相關資訊。
使用 CodeCommit 主控台所需的許可
若要查看每個 CodeCommit API 作業的必要權限,以及有關作 CodeCommit 業的詳細資訊,請參閱CodeCommit 許可參考。
若要允許使用者使用主 CodeCommit 控台,系統管理員必須授與其 CodeCommit 動作權限。例如,您可以將AWSCodeCommitPowerUser受管理策略或其對等策略附加到使用者或群組。
除了透過身分型政策而授予使用者的許可, CodeCommit 還需要 AWS Key Management Service (AWS KMS) 動作的許可。IAM 使用者不需要這些動作的明確Allow許可,但使用者不得附加任何將下列權限設定為的政策Deny:
"kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey"
如需加密的更多資訊 CodeCommit,請參閱AWS KMS和加密。
在主控台檢視資源
主 CodeCommit 控台需要ListRepositories獲得許可,才能顯示您登入之 Amazon Web Services 帳戶的AWS 區域儲存庫清單。主控台還包含 Go to resource (移至資源) 功能,可快速執行不區分大小寫的資源搜尋。此搜尋會在您登入的 Amazon Web Services 帳戶中執行。AWS 區域將會跨以下服務來顯示以下資源:
-
AWS CodeBuild:組建專案
-
AWS CodeCommit:儲存庫
-
AWS CodeDeploy:應用程式
-
AWS CodePipeline:管道
若要跨所有服務中的資源執行此搜尋,您必須擁有以下許可:
-
CodeBuild:
ListProjects -
CodeCommit:
ListRepositories -
CodeDeploy:
ListApplications -
CodePipeline:
ListPipelines
如果您沒有某項服務的許可,則不會傳回該服務之資源的結果。即使您有許可來檢視資源,但如果有明確的 Deny 而無法檢視特定資源,則不會傳回這些資源。
