跨帳戶存放庫存取:帳號中管理員的動作 TB - AWS CodeCommit
步驟 1:為 AccountB 使用者建立存放庫存取權的 IAM 群組步驟 2:建立政策並將使用者新增至 IAM 群組

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨帳戶存放庫存取:帳號中管理員的動作 TB

若要允許 AccountB 的使用者或群組存取 AccountA 中的儲存庫,AccountB 管理員必須在 AccountB 中建立群組。此群組必須設定政策,以允許群組成員擔任由 AccountA 管理員所建立的角色。

以下章節提供步驟和範例。

步驟 1:為 AccountB 使用者建立存放庫存取權的 IAM 群組

管理 AccountB 中哪些 IAM 使用者可以存取帳戶 TA 儲存庫的最簡單方法是在 Account AccountB 中建立一個 IAM 群組,該群組具有在 AccountA 中擔任該角色的權限,然後將 IAM 使用者新增至該群組。

建立儲存庫跨帳戶存取的群組

  1. 以 IAM 使用者身分登入 AWS 管理主控台,並具備在 AccountB 中建立 IAM 群組和政策所需的許可,以及管理 IAM 使用者。

  2. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  3. 在 IAM 主控台中,選擇 [群組]。

  4. 選擇 Create New Group (建立新群組)。

  5. 群組名稱中,輸入群組的名稱 (例如,DevelopersWithCrossAccountRepositoryAccess)。選擇 Next Step (後續步驟)

  6. Attach Policy (連接政策) 中選擇 Next Step (下一步)。在下一個程序中,您將建立跨帳戶政策。完成群組的建立。

步驟 2:建立政策並將使用者新增至 IAM 群組

現在您有一個群組,請建立政策,以允許此群組的成員擔任可讓他們在 AccountA 中存取儲存庫的角色。然後,將您要允許在帳戶 AccountA 中存取的 AccountB 中的 IAM 使用者新增至群組。

建立群組的政策並將使用者新增到群組

  1. 在 IAM 主控台中,選擇 [群組],然後選擇剛建立的群組名稱 (例如 DevelopersWithCrossAccountRepositoryAccess)。

  2. 選擇許可索引標籤標籤。展開 Inline Policies (內嵌政策),然後選擇連結來建立內嵌政策。(如果您要設定的群組已有內嵌政策,請選擇 Create Group Policy (建立群組政策)。)

  3. 選擇 Custom Policy (自訂政策),然後選擇 Select (選取)。

  4. 策略名稱中,輸入策略的名稱 (例如,AccessPolicyForSharedRepository)。

  5. Policy Document (政策文件) 中,貼上以下政策。在中Resource,將 ARN 取代為管理員在 AccountA 中建立的原則的 ARN (例如,arn: aw: iam:: 1111223 33: 角色/),然後選擇 [套用原則]。MyCrossAccountRepositoryContributorRole如需 AccountA 管理員所建立政策的詳細資訊,請參閱步驟 1:在 AccountA A 中建立儲存庫存取權的原則

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::111122223333:role/MyCrossAccountRepositoryContributorRole"
  }
}

  6. 選擇 Users (使用者) 索引標籤。選擇 [將使用者新增至群組],然後新增 AccountB IAM 使用者。例如,您可以將具有使用者名稱 Saanvi_Sar kar 的 IAM 使用者新增至群組。

    注意

    AccountB 中的使用者必須具有程式設計方式存取權 (包括存取金鑰和秘密金鑰),才能設定其本機電腦以存取共 CodeCommit 用存放庫。如果您要建立 IAM 使用者,請務必儲存存取金鑰和秘密金鑰。為確保 AWS 帳戶的安全性,只有在建立金鑰時才能存取私密存取金鑰。