Authentifizierung und Zugriffskontrolle für AWS CodeCommit - AWS CodeCommit

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Authentifizierung und Zugriffskontrolle für AWS CodeCommit

Für den Zugriff auf AWS CodeCommit sind Anmeldeinformationen erforderlich. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff aufAWSwie CodeCommit -Repositorys und Ihren IAM-Benutzer, mit dem Sie Ihre Git-Anmeldeinformationen verwalten, oder den öffentlichen SSH-Schlüssel, mit dem Sie Git-Verbindungen erstellen. In den folgenden Abschnitten finden Sie Details zur Verwendung vonAWS Identity and Access Management(IAM)Zum Schutz des Zugriffs auf Ihre Ressourcen:

Authentication

Da CodeCommit -Repositorys Git-basiert sind und die grundlegenden Funktionen von Git unterstützen, einschließlich von Git-Anmeldeinformationen, empfehlen wir, dass Sie für Ihre Arbeit mit CodeCommit einen IAM-Benutzer verwenden. Sie können mit anderen Identitätstypen auf CodeCommit zugreifen, die jedoch bestimmten Einschränkungen unterliegen, wie unten beschrieben.

Identitätstypen:

  • IAM-Benutzer— EinIAM-BenutzerEine Identität in Ihrem Amazon Web Services Konto mit speziellen benutzerdefinierten Berechtigungen. Ein IAM-Benutzer kann beispielsweise die Berechtigungen zum Erstellen und Verwalten von Git-Anmeldeinformationen für den Zugriff auf CodeCommit -Repositorys haben. Dies ist der empfohlene Benutzertyp für die Arbeit mit CodeCommit. Sie können einen IAM-Benutzernamen und ein Passwort für die Anmeldung bei sicheren AWS-Webseiten verwenden. Dazu zählen beispielsweise die AWS Management Console, AWS-Diskussionsforen und das AWS Support Center.

    Sie können Git-Anmeldeinformationen erstellen oder öffentliche SSH-Schlüssel mit Ihrem IAM-Benutzer verknüpfen, oder Sie könnengit-remote-codecommitaus. Dies sind die einfachsten Möglichkeiten zum Einrichten von Git für die Arbeit mit Ihren CodeCommit -Repositorys -Repositorys. mitGit-AnmeldeinformationenIn IAM erzeugen Sie einen statischen Benutzernamen und ein statisches Kennwort. Sie können dieselben Anmeldeinformationen für HTTPS-Verbindungen dann auch mit Git und jedem Drittanbieter-Tool verwenden, das die Authentifizierung mit Git-Benutzername und -Passwort unterstützt. Für SSH-Verbindungen erstellen Sie öffentliche und private Schlüsseldateien auf dem lokalen Computer, die Git und CodeCommit für die SSH-Authentifizierung verwenden. Verknüpfen Sie den öffentlichen Schlüssel mit Ihrem IAM-Benutzer und speichern Sie den privaten Schlüssel auf Ihrem lokalen Computer ab.git-remote-codecommiterweitert Git selbst und erfordert keine Einrichtung von Git-Anmeldeinformationen für den Benutzer.

    Darüber hinaus können Sie Zugriffsschlüssel für jeden Benutzer erstellen. Verwenden Sie Zugriffsschlüssel, wenn Sie über AWSeines der verschiedenen -SDKsAWS oder über die (AWS Command Line Interface)AWS CLI programmgesteuert auf -Services zugreifen. Das SDK und die CLI-Tools verwenden die Zugriffsschlüssel, um Ihre Anfragen verschlüsselt zu signieren. Wenn Sie die AWS-Tools nicht nutzen, müssen Sie die Anfragen selbst signieren. CodeCommit haltenSignaturversion 4Dies ist ein Protokoll für die Authentifizierung eingehender API-Anfragen. Weitere Informationen zum Authentifizieren von Anforderungen finden Sie unter.Signaturprozess mit Signaturversion 4imAWS– Allgemeine Referenzaus.

  • Stammbenutzer des Amazon Web Services Kontos— Wenn Sie sich fürAWSGeben Sie eine mit Ihrem Amazon Web Services Konto verknüpfte E-Mail-Adresse und das Passwort ein. Dies sind Ihre Root-Anmeldeinformationen. Sie bieten vollständigen Zugriff auf alle Ihre AWS-Ressourcen. Einige CodeCommit -Funktionen stehen für Stammkonto-Benutzer nicht zur Verfügung. Darüber hinaus besteht die einzige Möglichkeit, Git mit Ihrem Root-Konto zu verwenden, darin, entweder git-remote-codecommit zu installieren und zu konfigurieren (empfohlen) oder das Hilfsprogramm für Anmeldeinformationen von AWS zu konfigurieren, das in der AWS CLI enthalten ist. Sie können mit Ihrem Stammkonto-Benutzer keine GIT-Anmeldeinformationen oder öffentliche/private SSH-Schlüsselpaare verwenden. Aus diesen Gründen empfehlen wir nicht, bei der Arbeit mit CodeCommit Ihren Stammkonto-Benutzer zu verwenden.

    Wichtig

    Aus Sicherheitsgründen empfehlen wir, die Root-Anmeldeinformationen nur zum Erstellen eines Administrator-Benutzers zu verwenden. Hierbei handelt es sich um einen IAM-Benutzer mit vollständigen Berechtigungen für Ihr AWS-Konto. Anschließend können Sie mit diesem Administratorbenutzer andere IAM-Benutzer und -Rollen mit eingeschränkten Berechtigungen erstellen. Weitere Informationen finden Sie unter Bewährte Methoden für IAM und Erstellen eines Administratorbenutzers und einer Gruppe im IAM-Benutzerhandbuch.

  • IAM-Rolle— Wie ein IAM-Benutzer, einIAM-RolleEine IAM-Identität, die Sie in Ihrem Konto erstellen können, um bestimmte Berechtigungen zu erteilen. Sie ähnelt einem IAM-Benutzer, ist aber nicht mit einer bestimmten Person verknüpft. Im Gegensatz zu einer IAM-Benutzer-Identität können Sie für diesen Identitätstyp keine GIT-Anmeldeinformationen oder SSH-Schlüssel verwenden. Allerdings ist einIAM-RolleErforderlich zum Abrufen von temporären Zugriffsschlüsseln, mit denen Sie auf zugreifen könnenAWS-Dienstleistungen und -Ressourcen. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:

    • Zugriff für verbundene Benutzer— Statt einen IAM-Benutzer zu erstellen, können Sie bereits vorhandene Benutzeridentitäten vonAWS Directory ServiceErforderlich zum Benutzerverzeichnis Ihres Unternehmens oder zu einem Web-Identitätsanbieter. Diese werden als verbundene Benutzer bezeichnet. AWS weist einem verbundenen Benutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu verbundenen Benutzern finden Sie unter Verbundene Benutzer und Rollen im IAM-Benutzerhandbuch.

      Anmerkung

      Sie können mit verbundenen Benutzern keine GIT-Anmeldeinformationen oder öffentliche/private SSH-Schlüsselpaare verwenden. Darüber hinaus stehen für verbundene Benutzer keine Benutzereinstellungen zur Verfügung. Informationen zum Einrichten von Verbindungen mithilfe des Verbundzugriffs finden Sie unter Schritte zum Einrichten von HTTPS-Verbindungen mitAWS CodeCommitMit git-remote-codecommit.

    • Kontenübergreifender Zugriff— Sie können eine IAM-Rolle in Ihrem Konto verwenden, um einem anderen Amazon Web Services Konto Berechtigungen für den Zugriff auf die Ressourcen Ihres Kontos zu erteilen. Ein Beispiel finden Sie unterKonfigurieren Sie den kontoübergreifenden Zugriff auf einAWS CodeCommit-Repository-RollenundTutorial: Delegieren des Zugriffs über Amazon Web Services Konten mit IAM-RollenimIAM User Guideaus.

    • AWSZugriff auf -Services:— Sie können eine IAM-Rolle in Ihrem Konto verwenden, um eineAWSErforderlich zum Zugriff auf die Ressourcen Ihres Kontos. Beispielsweise können Sie eine Rolle erstellen, mit derAWS Lambdain Ihrem Namen auf ein CodeCommit -Repository zugreifen. Weitere Informationen finden Sie unterErstellen einer Rolle zum Delegieren von Berechtigungen an eineAWS-ServiceimIAM User Guideaus.

    • Anwendungen, die auf Amazon EC2 ausgeführt werden— Anstatt Zugriffsschlüssel in einer EC2-Instance zu speichern, die von den dort ausgeführten Anwendungen zum Erstellen vonAWS-API-Anforderungen können Sie mithilfe einer IAM-Rolle temporäre Anmeldeinformationen für diese Anwendungen verwalten. Erstellen Sie ein Instance-Profil, das an die Instance angefügt ist, um eine AWS-Rolle zu einer EC2-Instance zuzuweisen und die Rolle für sämtliche Anwendungen der Instance bereitzustellen. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen finden Sie im Thema zum Verwenden von Rollen für Anwendungen in Amazon EC2 im IAM-Benutzerhandbuch.

Zugriffskontrolle

Sie können über gültige Anmeldeinformationen zur Authentifizierung Ihrer Anfragen verfügen, doch Sie können die CodeCommit-Ressourcen nur mit entsprechenden Berechtigungen erstellen oder darauf zugreifen. Beispielsweise müssen Sie über Berechtigungen zum Anzeigen von Repositorys, zum Senden von Code, zum Erstellen und Verwalten von Git-Anmeldeinformationen usw. verfügen.

In den folgenden Abschnitten wird die Verwaltung von Berechtigungen für CodeCommit beschrieben. Wir empfehlen Ihnen, zunächst die Übersicht zu lesen.

Übersicht über die Verwaltung von Zugriffsberechtigungen für Ihre CodeCommit -Ressourcen

EVERYAWSgehört einem Amazon Web Services Konto. Die Berechtigungen zum Erstellen einer Ressource oder für den Zugriff darauf werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Berechtigungsrichtlinien an IAM-Identitäten (Benutzer, Gruppen und Rollen) anfügen. Einige Services, wie z. B. AWS Lambda, unterstützen auch das Zuordnen von Berechtigungsrichtlinien zu Ressourcen.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.

Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen die Berechtigungen gelten und welche Aktionen an diesen Ressourcen gestattet werden sollen.

-Ressourcen und -Operationen CodeCommit

In CodeCommit ist die primäre Ressource ein Repository. Jeder dieser Ressourcen ist ein eindeutiger Amazon-Ressourcenname (ARN) zugeordnet. In einer Richtlinie identifizieren Sie die Ressource, für welche die Richtlinie gilt, mithilfe eines Amazon-Ressourcennamens (ARN). Weitere Informationen zu ARNs finden Sie unterAmazon-Ressourcennamen (ARN) undAWS-Service-NamespacesimAllgemeine Referenz für Amazon Web Servicesaus. Derzeit unterstützt CodeCommit keine anderen Ressourcentypen, die als Subressourcen bezeichnet werden.

In der folgenden Tabelle wird die Angabe von CodeCommit -Ressourcen beschrieben.

Ressourcentyp ARN-Format
Ablage

arn:aws:codecommit:region:account-id:repository-name

Alle CodeCommit -Repositories

arn:aws:codecommit:*

Alle CodeCommit -Repositorys, die zu einem bestimmten Konto im angegebenen AWS-Region

arn:aws:codecommit:region:account-id:*

Anmerkung

Die meisten AWS-Services behandeln einen Doppelpunkt (:) oder einen Schrägstrich (/) in ARNs als genau dieses Zeichen. CodeCommit erfordert jedoch eine exakte Übereinstimmung in den Ressourcenmustern und -regeln. Verwenden Sie also die richtigen ARN-Zeichen zum Erstellen von Ereignismustern, sodass sie mit der ARN-Syntax in der Ressource übereinstimmen.

Sie können beispielsweise folgendermaßen ein bestimmtes Repository (MyDemoRepo) mit dem ARN in der Anweisung angeben:

"Resource": "arn:aws:codecommit:us-west-2:111111111111:MyDemoRepo"

Um alle -Repositorys anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie das Platzhalterzeichen (*) wie folgt:

"Resource": "arn:aws:codecommit:us-west-2:111111111111:*"

Wenn Sie alle Ressourcen angeben möchten oder wenn eine bestimmte API-Aktion keine ARNs unterstützt, verwenden Sie das Platzhalterzeichen (*) wie folgt im Resource-Element:

"Resource": "*"

Sie können auch das Platzhalterzeichen (*) verwenden, um alle Ressourcen anzugeben, die mit einem Teil eines Repository-Namen übereinstimmen. Der folgende ARN beispielsweise gibt alle CodeCommit -Repositorys an, die mit dem NamenMyDemound das auf dem Amazon Web Services Konto registriert ist111111111111imus-east-2 AWS-Region :

arn:aws:codecommit:us-east-2:111111111111:MyDemo*

Eine Liste der verfügbaren Operationen, die auf die CodeCommit -Ressourcen angewendet werden können, finden Sie unterReferenz für CodeCommit Berechtigungenaus.

Grundlegendes zum Eigentum an Ressourcen

Das Amazon Web Services Konto ist Eigentümer aller Ressourcen, die innerhalb des Kontos erstellt werden, unabhängig davon, wer sie erstellt hat. Insbesondere ist der Ressourceneigentümer das Amazon Web Services Konto desHauptaktitätErforderlich (d. h. das Stammkonto, ein IAM-Benutzer oder eine IAM-Rolle), die die Ressourcenerstellungsanforderung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie einen IAM-Benutzer in Ihrem Amazon Web Services Konto erstellen und diesem Berechtigungen zum Erstellen von CodeCommit -Ressourcen erteilen, kann dieser Benutzer CodeCommit-Ressourcen erstellen. Jedoch ist Ihr Amazon Web Services Konto, dem der Benutzer angehört, der Eigentümer der CodeCommit -Ressourcen.

  • Wenn Sie die Root-Konto-Anmeldeinformationen für Ihr Amazon Web Services Konto verwenden, um eine Regel zu erstellen, ist Ihr Amazon Web Services-Konto der Eigentümer der CodeCommit -Ressource.

  • Wenn Sie in Ihrem Amazon Web Services Konto eine IAM-Rolle mit Berechtigungen zum Erstellen von CodeCommit -Ressourcen erstellen, kann jeder, der die Rolle übernimmt, CodeCommit-Ressourcen erstellen. Eigentümer der CodeCommit -Ressourcen ist Ihr Amazon Web Services Konto, zu dem die Rolle gehört.

Verwalten des Zugriffs auf Ressourcen

Zum Verwalten des Zugriffs auf AWS-Ressourcen verwenden Sie Berechtigungsrichtlinien. Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

Dieser Abschnitt beschäftigt sich mit IAM im Rahmen von CodeCommit. Er enthält keine detaillierten Informationen über den IAM-Service. Weitere Informationen zu IAM finden Sie unterWas ist IAM?imIAM User Guideaus. Informationen über die IAM-Richtliniensyntax und Beschreibungen finden Sie unterIAM-RichtlinienreferenzimIAM User Guideaus.

An eine IAM-Identität angehängte Berechtigungsrichtlinien werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet. An Ressourcen angehängte Berechtigungsrichtlinien werden als ressourcenbasierte Richtlinien bezeichnet. Derzeit unterstützt CodeCommit nur identitätsbasierte Richtlinien (IAM-Richtlinien).

Identitätsbasierte Richtlinien (IAM-Richtlinien)

So verwalten Sie den Zugriff aufAWS-API-Ressourcen ordnen Sie IAM-Identitäten Berechtigungsrichtlinien zu. In CodeCommit, verwenden Sie identitätsbasierte Richtlinien zum Steuern des Zugriffs auf Repositorys. Sie können z. B. Folgendes tun:

  • Anfügen von Berechtigungsrichtlinien zu Benutzern oder Gruppen in Ihrem Konto— Wenn Sie einem Benutzer Berechtigungen zum Anzeigen von CodeCommit -Ressourcen in der CodeCommit-Konsole erteilen möchten, können Sie dem Benutzer oder der Gruppe, zu der er gehört, eine identitätsbasierte Berechtigungsrichtlinie zuweisen.

  • Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen erteilen)Beispielsweise wenn Sie kontenübergreifenden Zugriff gewähren möchten, beinhaltet die Einrichtung einer Vertrauensbeziehung zwischen dem Konto, das Eigentümer der Ressource ist (dem vertrauenden Konto), und dem Konto, das die Benutzer enthält, die auf die Ressource zugreifen müssen (dem vertrauenswürdigen Konto). Eine Berechtigungsrichtlinie erteilt dem Benutzer einer Rolle die erforderlichen Berechtigungen zum Ausführen der vorgesehenen Aufgaben auf der Ressource. Eine Vertrauensrichtlinie gibt an, welche vertrauenswürdigen Konten ihren Benutzern Berechtigungen zum Übernehmen der Rolle erteilen dürfen. Weitere Informationen finden Sie unterIAM Begriffe und Konzepteaus.

    Um kontoübergreifende Berechtigungen zu erteilen, weisen Sie einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zu. Beispielsweise kann der Administrator in Konto A eine Rolle erstellen, um einem anderen Amazon Web Services Konto (z. B. Konto B) oder einem kontoübergreifende Berechtigungen zu erteilen.AWSService wie folgt:

    1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die Berechtigungen für Ressourcen in Konto A erteilt.

    2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.

    3. Der Administrator von Konto B kann nun Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Daraufhin können die Benutzer in Konto B auf Ressourcen von Konto A zugreifen oder auch Ressourcen erstellen. Wenn Sie eine AWS-Serviceberechtigung für die Übernahme der Rolle erteilen wollen, kann der Prinzipal in der Vertrauensrichtlinie auch ein AWS-Service-Prinzipal sein. Weitere Informationen finden Sie unter Delegation inIAM Begriffe und Konzepteaus.

    Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unterZugriffsverwaltungimIAM User Guideaus.

In der folgenden Beispielrichtlinie kann ein -Benutzer einen Branch in einem -Repository mit dem Namen erstellen.MyDemoRepo:

{ "Version": "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "codecommit:CreateBranch" ], "Resource" : "arn:aws:codecommit:us-east-2:111111111111:MyDemoRepo" } ] }

Wenn Sie die Aufrufe und Ressourcen beschränken möchten, auf die Benutzer in Ihrem Konto Zugriff haben, können Sie spezifische IAM-Richtlinien erstellen, und dann diese Richtlinien den IAM-Benutzern zuweisen. Weitere Informationen zum Erstellen von IAM-Rollen und Beispiele für IAM-Richtlinienanweisungen für CodeCommit finden Sie unter.Beispiele für vom Kunden verwaltete Richtlinienaus.

Ressourcenbasierte Richtlinien

Einige Services, z. B. Amazon S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3-Bucket eine ressourcenbasierte Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. CodeCommit unterstützt keine ressourcenbasierten Richtlinien, doch Sie können mithilfe von Tags -Ressourcen identifizieren, die Sie dann in IAM-Richtlinien verwenden können. Ein Beispiel für eine Tag-basierte Richtlinien finden Sie unter Identitätsbasierte Richtlinien (IAM-Richtlinien).

Ressourcenbereich in CodeCommit

In CodeCommit können Sie identitätsbasierte Richtlinien und Berechtigungen auf Ressourcen anwenden, wie in beschrieben-Ressourcen und -Operationen CodeCommitaus. Sie können jedoch nicht die ListRepositories- Berechtigung auf eine Ressource anwenden. Stattdessen müssen Sie sie auf alle Ressourcen anwenden (mit dem Platzhalter *). Andernfalls schlägt die Aktion fehl.

Alle anderen -CodeCommit -Berechtigungen können auf Ressourcen angewendet werden.

Angeben der Richtlinienelemente: Ressourcen, Aktionen, Effekte und Prinzipale

Sie können Richtlinien erstellen, um Benutzern den Zugriff auf Ressourcen zu erteilen oder zu verweigern oder bestimmte Aktionen für diese Ressourcen zulassen oder verweigern. CodeCommit definiert eine Reihe von öffentlichen API-Operationen, die definieren, wie Benutzer mit dem Service arbeiten, sei es über die CodeCommit -Konsole, die SDKs, dieAWS CLI, oder indem Sie diese APIs direkt aufrufen. CodeCommit definiert zum Erteilen von Berechtigungen für diese API-Operationen eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können.

Für einige API-Operationen können Berechtigungen für mehrere Aktionen erforderlich sein. Weitere Informationen zu Ressourcen und API-Operationen finden Sie unter -Ressourcen und -Operationen CodeCommit und Referenz für CodeCommit Berechtigungen.

Die Grundelemente einer Richtlinie sind:

  • RessourceRessource — Zur Identifizierung der Ressource, für welche die Richtlinie gilt, verwenden Sie einen Amazon-Ressourcennamen (ARN). Weitere Informationen finden Sie unter -Ressourcen und -Operationen CodeCommit.

  • ActionAktion — Zur Identifizierung von Ressourcenoperationen, die Sie zulassen oder verweigern möchten, verwenden Sie Aktionsschlüsselwörter. Zum Beispiel, abhängig von der angegebenenEffect, diecodecommit:GetBranchBerechtigung erlaubt oder verweigert dem Benutzer die Ausführung derGetBranchErforderlich zum Abrufen von Details über einen Branch in einem CodeCommit -Repository.

  • Effect (Effekt)Effekt — Die von Ihnen festgelegte Auswirkung (entweder Zugriffserlaubnis oder Zugriffsverweigerung), wenn ein Benutzer die jeweilige Aktion anfordert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Prinzipal— In identitätsbasierten Richtlinien (IAM-Richtlinien), dem einzigen von CodeCommit unterstützten Richtlinientyp, ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal.

Weitere Informationen zu IAM-Richtliniensyntax finden Sie unterIAM-RichtlinienreferenzimIAM User Guideaus.

Eine Tabellenliste mit allen CodeCommit -API-Aktionen und den Ressourcen, für die diese gelten, finden Sie hier:.Referenz für CodeCommit Berechtigungenaus.

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der Zugriffsrichtliniensynthese für IAM die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie unterBedingungundRichtliniengrammatikimIAM User Guideaus.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für CodeCommit gibt es keine speziellen Bedingungsschlüssel. Stattdessen können Sie nach Bedarf die AWS-weiten Bedingungsschlüssel verwenden. Sie finden eine vollständige Liste der AWS-weiten Schlüssel unter Verfügbare Schlüssel für Bedingungen im IAM-Benutzerhandbuch enthalten.