Verbinden mitAWS CodeCommitRepositorys mit rotierenden Anmeldeinformationen

Sie können Benutzern Zugriff auf IhrenAWS CodeCommitRepositorys, ohne IAM-Benutzer für sie zu konfigurieren oder einen Zugriffsschlüssel und einen geheimen Schlüssel zu verwenden. Um einer Verbundidentität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wenn eine Verbundidentität authentifiziert wird, wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie unter Erstellen von Rollen für externe Identitätsanbieter im IAM-Benutzerhandbuch. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Wenn Sie steuern möchten, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in IAM. Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze im AWS IAM Identity Center (successor to AWS Single Sign-On)-Benutzerhandbuch. Sie können auch den rollenbasierten Zugriff für IAM-Benutzer konfigurieren. CodeCommit Repositorys in separaten Amazon Web Services Services-Konten (eine Technik, die alsKontoübergreifender Zugriff) enthalten. Eine schrittweise Anleitung zur Konfiguration des kontoübergreifenden Zugriffs auf ein Repository finden Sie unter Konfigurieren von für den kontoübergreifenden Zugriff auf einAWS CodeCommit Repository mithilfe von Rollen.

Sie können den Zugriff für Benutzer konfigurieren, die sich über folgende Methoden authentifizieren möchten oder müssen:

• Security Assertion Markup Language (SAML)

• Multifaktor-Authentifizierung (MFA)

• Verbund

• Login with Amazon

• Amazon Cognito

• Facebook

• Google

• OpenID Connect-kompatibler (OIDC) Identitätsanbieter

Anmerkung

Die folgenden Informationen sind nur relevantgit-remote-codecommitoder derAWS CLIHelper für Anmeldeinformationen zum Herstellen einer Verbindung CodeCommit Repositorys. Weil der empfohlene Ansatz für den temporären oder Verbundzugriff CodeCommit ist einzurichtengit-remote-codecommitenthält dieses Thema Beispiele für die Verwendung dieses Dienstprogramms. Weitere Informationen finden Sie unter Einrichtungsschritte für HTTPS-VerbindungenAWS CodeCommit mit git-remote-codecommit.

Sie können keine SSH- oder Git-Anmeldeinformationen und kein HTTPS verwenden CodeCommit Repositorys mit rotierenden oder temporären Anmeldeinformationen

Sie müssen die folgenden Schritte nicht ausführen, wenn alle der folgenden Bedingungen zutreffen:

• Sie sind bei einer Amazon-EC2-Instance angemeldet.

• Sie verwenden Git und HTTPS mit demAWS CLI-Hilfsprogramm für Anmeldeinformationen, mit dem eine Verbindung mit der Amazon EC2 EC2-Instance hergestellt werden CodeCommit Repositorys.

• Die Amazon-EC2-Instance hat ein beigefügtes IAM--Instance-Profil, das die in beschriebenen Zugriffsberechtigungen enthältFür HTTPS-Verbindungen auf Linux, macOS oder Unix mitAWS CLIHilfsprogramm für AnmeldeinformationenoderFür HTTPS-Verbindungen unter Windows mitAWS CLIHilfsprogramm für Anmeldeinformationen.

• Sie haben das Git-Hilfsprogramm für Anmeldeinformationen wie unter beschrieben für die Amazon EC2 EC2-Instance installiert und konfiguriertFür HTTPS-Verbindungen auf Linux, macOS oder Unix mitAWS CLIHilfsprogramm für AnmeldeinformationenoderFür HTTPS-Verbindungen unter Windows mitAWS CLIHilfsprogramm für Anmeldeinformationen.

Amazon EC2 EC2-Instances, die den genannten Voraussetzungen entsprechen, sind bereits eingerichtet, um temporäre Anmeldeinformationen an CodeCommit in Ihrem Namen.

Anmerkung

Sie können konfigurieren und verwendengit-remote-codecommitauf Amazon EC2 EC2-Instances.

So gewähren Sie Benutzern temporär Zugriff CodeCommit Repositorys, führen Sie die folgenden Schritte aus.

Schritt 1: Voraussetzungen erfüllen

Führen Sie die entsprechenden Konfigurationsschritte aus, um Benutzern Zugriff auf Ihren CodeCommit Repositorys mit rotierenden Anmeldeinformationen:

• Kontoübergreifender ZugriffExemplarische Vorgehensweise: Delegieren des Zugriffs über Amazon Web Services Services-Konten mithilfe von IAM-RollenundKonfigurieren von für den kontoübergreifenden Zugriff auf einAWS CodeCommit Repository mithilfe von Rollen.

• Weitere Informationen über SAML und einen Verbund finden Sie unter Verwendung des Authentifizierungssystems Ihres Unternehmens für die Erteilung von Zugriff auf AWS-Ressourcen und Informationen über den auf AWS STS SAML 2.0-basierten Verbund.

• Informationen zu MFA finden Sie unterVerwenden von Multi-Factor Authentication (MFA)AWSundErstellen von temporären Sicherheitsanmeldeinformationen, um den Zugriff für IAM-Benutzer.

• Die Schritte für Login mit Amazon, Amazon Cognito, Facebook, Google oder einen anderen OIDC-kompatiblen Identitätsanbieter finden Sie unterInformationen zuAWS STSWeb-Identitätsverbund.

Verwenden Sie die Informationen inAuthentifizierung und Zugriffskontrolle für AWS CodeCommitum das zu spezifizieren CodeCommit Berechtigungen Sie dem Benutzer Zugriff erteilen möchten.

Schritt 2: Rollennamen oder Zugangsdaten abrufen

Wenn Sie möchten, dass Ihre Benutzer auf Repositorys zugreifen, indem sie eine Rolle übernehmen, geben Sie Ihren Benutzern den Amazon-Ressourcennamen (ARN) dieser Rolle an. Andernfalls kann der Benutzer je nach Einrichtung des Zugriffs rotierende Anmeldeinformationen auf eine der folgenden Arten abrufen:

• Bei kontenübergreifendem ZugriffAWS CLI assume-rolekommandieren oder rufen SieAWS STS AssumeRoleAPI.

• Rufen Sie für SAML dieAWS CLI assume-role-with-samlBefehl oderAWS STS AssumeRoleWithSAMLAPI.

• Für den Verband rufen Sie dieAWS CLI assume-roleoderget-federation-tokenBefehle fürAWS STS AssumeRoleoderGetFederationTokenAPIs.

• Für MFA rufen Sie dieAWS CLI get-session-tokenBefehl oderAWS STS GetSessionTokenAPI.

• Login with Amazon, Amazon Cognito, Facebook, Google oder einem anderen OIDC-kompatiblen Identitätsanbieter muss derAWS CLI assume-role-with-web-IDBefehl oderAWS STS AssumeRoleWithWebIdentityAPI.

Schritt 3: Install git-remote-codecommit und konfiguriere dasAWS CLI

Sie müssen Ihren lokalen Computer so konfigurieren, dass die Anmeldeinformationen verwendet werden, indem Sie git-remote-codecommit installieren und ein Profil in der AWS CLI konfigurieren.

1. Folgen Sie den Anweisungen in Einrichtung , um die AWS CLI einzurichten. Verwenden Sie den aws configure-Befehl, um ein oder mehrere Profile zu konfigurieren. Erwägen Sie, ein benanntes Profil für das Herstellen einer Verbindung mit CodeCommit Repositories, die rotierende Anmeldeinformationen verwenden.

2. Sie können die Anmeldeinformationen nach einem der folgenden Verfahren mit dem benannten AWS CLI-Profil des Benutzers verknüpfen.

   • Wenn Sie eine Rolle für den Zugriff übernehmen CodeCommitein benanntes Profil mit den Informationen, die für die Übernahme dieser Rolle erforderlich sind. Zum Beispiel, wenn Sie eine Rolle mit dem Namen übernehmen möchtenCodeCommitAccessIm Amazon-Web-Dienstkonto 11111111 können Sie ein Standardprofil konfigurieren, das verwendet werden soll, wenn Sie mit anderenAWSRessourcen und ein benanntes Profil, das bei der Übernahme dieser Rolle verwendet wird. Mit den folgenden Befehlen wird ein benanntes Profil namensCodeAccessdas übernimmt eine Rolle mit dem NamenCodeCommitAccess. Der BenutzernameMaria_Garciaist der Sitzung zugewiesen und das Standardprofil wird als QuelleAWSAnmeldedaten:

     aws configure set role_arn arn:aws:iam::111111111111:role/CodeCommitAccess --profile CodeAccess
     aws configure set source_profile default --profile CodeAccess
     aws configure set role_session_name "Maria_Garcia" --profile CodeAccess

     Wenn Sie die Änderungen überprüfen möchten, können Sie die ~/.aws/config-Datei (für Linux) oder die %UserProfile%.aws\config-Datei (für Windows) manuell anzeigen oder bearbeiten und die Informationen unter dem benannten Profil überprüfen. Zum Beispiel ähnelt Ihre Datei möglicherweise dem Folgenden:

     [default]
     region = us-east-1
     output = json
     
     [profile CodeAccess]
     source_profile = default
     role_session_name = Maria_Garcia
     role_arn = arn:aws:iam::111111111111:role/CodeCommitAccess

     Nachdem Sie Ihr benanntes Profil konfiguriert haben, können Sie CodeCommit -Repositorys mit dem git-remote-codecommit-Dienstprogramm mithilfe des benannten Profils klonen. Beispielsweise löschen Sie das Repository namens MyDemoRepo wie folgt:

     git clone codecommit://CodeAccess@MyDemoRepo

   • Wenn Sie Web-Identitätsverbund und OpenID Connect (OIDC) verwenden, konfigurieren Sie ein benanntes Profil, das die AWS Security Token Service (AWS STS) AssumeRoleWithWebIdentity-API in Ihrem Namen aufruft, um temporäre Anmeldeinformationen zu aktualisieren. Verwenden Sie den aws configure set-Befehl oder bearbeiten Sie die ~/.aws/credentials-Datei (für Linux) oder die %UserProfile%.aws\credentials-Datei (für Windows) manuell, um ein benanntes AWS CLI-Profil mit den erforderlichen Einstellungswerten hinzuzufügen. Um beispielsweise ein Profil zu erstellen, das dieCodeCommitAccessRolle und verwendet eine Web-Identitäts-Token-Datei ~/meine Zugangsdaten/my-token-file:

     [CodeCommitWebIdentity]
     role_arn = arn:aws:iam::111111111111:role/CodeCommitAccess
     web_identity_token_file=~/my-credentials/my-token-file
     role_session_name = Maria_Garcia

   Weitere Informationen finden Sie unterKonfigurieren vonAWS Command Line InterfaceundVerwenden einer IAM-RolleAWS CLIimAWS Command Line InterfaceBenutzerhandbuch.

Schritt 4: Greifen Sie CodeCommit Repositories

Angenommen, Ihr Benutzer hat die Anweisungen inHerstellen einer Verbindung mit einem Repositoryum eine Verbindung mit dem CodeCommit Repositorys verwendet der Benutzer dann die erweiterte Funktionalität, die vongit-remote-codecommitund Git zum Anrufengit clone,git push, undgit pullum das zu klonen, darauf zu drücken und von dem CodeCommit Repositorys, auf die er oder sie Zugriff hat. Beispiel zum Klonen eines Repositorys:

git clone codecommit://CodeAccess@MyDemoRepo

Git-Commit-, Push- und Pull-Befehle verwenden reguläre Git-Syntax.

Wenn der Benutzer in der AWS CLI das benannte AWS CLI-Profil angibt, das den rotierenden Anmeldeinformationen zugewiesen ist, werden die Ergebnisse zurückgegeben, die für dieses Profil gültig sind.