本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
跨帳戶存放庫存取:帳號中管理員的動作 TB
若要允許 AccountB 的使用者或群組存取 AccountA 中的儲存庫,AccountB 管理員必須在 AccountB 中建立群組。此群組必須設定政策,以允許群組成員擔任由 AccountA 管理員所建立的角色。
以下章節提供步驟和範例。
步驟 1:為 AccountB 使用者建立存放庫存取權的 IAM 群組
管理 AccountB 中哪些 IAM 使用者可以存取帳戶 TA 儲存庫的最簡單方法是在 Account AccountB 中建立一個 IAM 群組,該群組具有在 AccountA 中擔任該角色的權限,然後將 IAM 使用者新增至該群組。
建立儲存庫跨帳戶存取的群組
-
以 IAM 使用者身分登入 AWS 管理主控台,並具備在 AccountB 中建立 IAM 群組和政策所需的許可,以及管理 IAM 使用者。
前往 https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在 IAM 主控台中,選擇 [群組]。
-
選擇 Create New Group (建立新群組)。
-
在群組名稱中,輸入群組的名稱 (例如,
DevelopersWithCrossAccountRepositoryAccess
)。選擇 Next Step (後續步驟)。 -
在 Attach Policy (連接政策) 中選擇 Next Step (下一步)。在下一個程序中,您將建立跨帳戶政策。完成群組的建立。
步驟 2:建立政策並將使用者新增至 IAM 群組
現在您有一個群組,請建立政策,以允許此群組的成員擔任可讓他們在 AccountA 中存取儲存庫的角色。然後,將您要允許在帳戶 AccountA 中存取的 AccountB 中的 IAM 使用者新增至群組。
建立群組的政策並將使用者新增到群組
-
在 IAM 主控台中,選擇 [群組],然後選擇剛建立的群組名稱 (例如
DevelopersWithCrossAccountRepositoryAccess
)。 -
選擇許可索引標籤標籤。展開 Inline Policies (內嵌政策),然後選擇連結來建立內嵌政策。(如果您要設定的群組已有內嵌政策,請選擇 Create Group Policy (建立群組政策)。)
-
選擇 Custom Policy (自訂政策),然後選擇 Select (選取)。
-
在策略名稱中,輸入策略的名稱 (例如,
AccessPolicyForSharedRepository
)。 -
在 Policy Document (政策文件) 中,貼上以下政策。在中
Resource
,將 ARN 取代為管理員在 AccountA 中建立的原則的 ARN (例如,arn: aw: iam::1111223
33: 角色/),然後選擇 [套用原則]。MyCrossAccountRepositoryContributorRole
如需 AccountA 管理員所建立政策的詳細資訊,請參閱步驟 1:在 AccountA A 中建立儲存庫存取權的原則。{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::
111122223333
:role/MyCrossAccountRepositoryContributorRole
" } } -
選擇 Users (使用者) 索引標籤。選擇 [將使用者新增至群組],然後新增 AccountB IAM 使用者。例如,您可以將具有使用者名稱
Saanvi_Sar
kar 的 IAM 使用者新增至群組。注意
AccountB 中的使用者必須具有程式設計方式存取權 (包括存取金鑰和秘密金鑰),才能設定其本機電腦以存取共 CodeCommit 用存放庫。如果您要建立 IAM 使用者,請務必儲存存取金鑰和秘密金鑰。為確保 AWS 帳戶的安全性,只有在建立金鑰時才能存取私密存取金鑰。