Verbinden mitAWS CodeCommitRepositorys mit rotierenden Anmeldeinformationen - AWS CodeCommit

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbinden mitAWS CodeCommitRepositorys mit rotierenden Anmeldeinformationen

Sie können Benutzern Zugriff auf IhrenAWS CodeCommitRepositorys, ohne IAM-Benutzer für sie zu konfigurieren oder einen Zugriffsschlüssel und einen geheimen Schlüssel zu verwenden. Um einer Verbundidentität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wenn eine Verbundidentität authentifiziert wird, wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie unter Erstellen von Rollen für externe Identitätsanbieter im IAM-Benutzerhandbuch. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Wenn Sie steuern möchten, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in IAM. Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze im AWS IAM Identity Center (successor to AWS Single Sign-On)-Benutzerhandbuch. Sie können auch den rollenbasierten Zugriff für IAM-Benutzer konfigurieren. CodeCommit Repositorys in separaten Amazon Web Services Services-Konten (eine Technik, die alsKontoübergreifender Zugriff) enthalten. Eine schrittweise Anleitung zur Konfiguration des kontoübergreifenden Zugriffs auf ein Repository finden Sie unter Konfigurieren von für den kontoübergreifenden Zugriff auf einAWS CodeCommit Repository mithilfe von Rollen.

Sie können den Zugriff für Benutzer konfigurieren, die sich über folgende Methoden authentifizieren möchten oder müssen:

  • Security Assertion Markup Language (SAML)

  • Multifaktor-Authentifizierung (MFA)

  • Verbund

  • Login with Amazon

  • Amazon Cognito

  • Facebook

  • Google

  • OpenID Connect-kompatibler (OIDC) Identitätsanbieter

Anmerkung

Die folgenden Informationen sind nur relevantgit-remote-codecommitoder derAWS CLIHelper für Anmeldeinformationen zum Herstellen einer Verbindung CodeCommit Repositorys. Weil der empfohlene Ansatz für den temporären oder Verbundzugriff CodeCommit ist einzurichtengit-remote-codecommitenthält dieses Thema Beispiele für die Verwendung dieses Dienstprogramms. Weitere Informationen finden Sie unter Einrichtungsschritte für HTTPS-VerbindungenAWS CodeCommit mit git-remote-codecommit.

Sie können keine SSH- oder Git-Anmeldeinformationen und kein HTTPS verwenden CodeCommit Repositorys mit rotierenden oder temporären Anmeldeinformationen

Sie müssen die folgenden Schritte nicht ausführen, wenn alle der folgenden Bedingungen zutreffen:

Amazon EC2 EC2-Instances, die den genannten Voraussetzungen entsprechen, sind bereits eingerichtet, um temporäre Anmeldeinformationen an CodeCommit in Ihrem Namen.

Anmerkung

Sie können konfigurieren und verwendengit-remote-codecommitauf Amazon EC2 EC2-Instances.

So gewähren Sie Benutzern temporär Zugriff CodeCommit Repositorys, führen Sie die folgenden Schritte aus.

Schritt 1: Voraussetzungen erfüllen

Führen Sie die entsprechenden Konfigurationsschritte aus, um Benutzern Zugriff auf Ihren CodeCommit Repositorys mit rotierenden Anmeldeinformationen:

Verwenden Sie die Informationen inAuthentifizierung und Zugriffskontrolle für AWS CodeCommitum das zu spezifizieren CodeCommit Berechtigungen Sie dem Benutzer Zugriff erteilen möchten.

Schritt 2: Rollennamen oder Zugangsdaten abrufen

Wenn Sie möchten, dass Ihre Benutzer auf Repositorys zugreifen, indem sie eine Rolle übernehmen, geben Sie Ihren Benutzern den Amazon-Ressourcennamen (ARN) dieser Rolle an. Andernfalls kann der Benutzer je nach Einrichtung des Zugriffs rotierende Anmeldeinformationen auf eine der folgenden Arten abrufen:

Schritt 3: Install git-remote-codecommit und konfiguriere dasAWS CLI

Sie müssen Ihren lokalen Computer so konfigurieren, dass die Anmeldeinformationen verwendet werden, indem Sie git-remote-codecommit installieren und ein Profil in der AWS CLI konfigurieren.

  1. Folgen Sie den Anweisungen in Einrichtung , um die AWS CLI einzurichten. Verwenden Sie den aws configure-Befehl, um ein oder mehrere Profile zu konfigurieren. Erwägen Sie, ein benanntes Profil für das Herstellen einer Verbindung mit CodeCommit Repositories, die rotierende Anmeldeinformationen verwenden.

  2. Sie können die Anmeldeinformationen nach einem der folgenden Verfahren mit dem benannten AWS CLI-Profil des Benutzers verknüpfen.

    • Wenn Sie eine Rolle für den Zugriff übernehmen CodeCommitein benanntes Profil mit den Informationen, die für die Übernahme dieser Rolle erforderlich sind. Zum Beispiel, wenn Sie eine Rolle mit dem Namen übernehmen möchtenCodeCommitAccessIm Amazon-Web-Dienstkonto 11111111 können Sie ein Standardprofil konfigurieren, das verwendet werden soll, wenn Sie mit anderenAWSRessourcen und ein benanntes Profil, das bei der Übernahme dieser Rolle verwendet wird. Mit den folgenden Befehlen wird ein benanntes Profil namensCodeAccessdas übernimmt eine Rolle mit dem NamenCodeCommitAccess. Der BenutzernameMaria_Garciaist der Sitzung zugewiesen und das Standardprofil wird als QuelleAWSAnmeldedaten:

      aws configure set role_arn arn:aws:iam::111111111111:role/CodeCommitAccess --profile CodeAccess aws configure set source_profile default --profile CodeAccess aws configure set role_session_name "Maria_Garcia" --profile CodeAccess

      Wenn Sie die Änderungen überprüfen möchten, können Sie die ~/.aws/config-Datei (für Linux) oder die %UserProfile%.aws\config-Datei (für Windows) manuell anzeigen oder bearbeiten und die Informationen unter dem benannten Profil überprüfen. Zum Beispiel ähnelt Ihre Datei möglicherweise dem Folgenden:

      [default] region = us-east-1 output = json [profile CodeAccess] source_profile = default role_session_name = Maria_Garcia role_arn = arn:aws:iam::111111111111:role/CodeCommitAccess

      Nachdem Sie Ihr benanntes Profil konfiguriert haben, können Sie CodeCommit -Repositorys mit dem git-remote-codecommit-Dienstprogramm mithilfe des benannten Profils klonen. Beispielsweise löschen Sie das Repository namens MyDemoRepo wie folgt:

      git clone codecommit://CodeAccess@MyDemoRepo
    • Wenn Sie Web-Identitätsverbund und OpenID Connect (OIDC) verwenden, konfigurieren Sie ein benanntes Profil, das die AWS Security Token Service (AWS STS) AssumeRoleWithWebIdentity-API in Ihrem Namen aufruft, um temporäre Anmeldeinformationen zu aktualisieren. Verwenden Sie den aws configure set-Befehl oder bearbeiten Sie die ~/.aws/credentials-Datei (für Linux) oder die %UserProfile%.aws\credentials-Datei (für Windows) manuell, um ein benanntes AWS CLI-Profil mit den erforderlichen Einstellungswerten hinzuzufügen. Um beispielsweise ein Profil zu erstellen, das dieCodeCommitAccessRolle und verwendet eine Web-Identitäts-Token-Datei ~/meine Zugangsdaten/my-token-file:

      [CodeCommitWebIdentity] role_arn = arn:aws:iam::111111111111:role/CodeCommitAccess web_identity_token_file=~/my-credentials/my-token-file role_session_name = Maria_Garcia

    Weitere Informationen finden Sie unterKonfigurieren vonAWS Command Line InterfaceundVerwenden einer IAM-RolleAWS CLIimAWS Command Line InterfaceBenutzerhandbuch.

Schritt 4: Greifen Sie CodeCommit Repositories

Angenommen, Ihr Benutzer hat die Anweisungen inHerstellen einer Verbindung mit einem Repositoryum eine Verbindung mit dem CodeCommit Repositorys verwendet der Benutzer dann die erweiterte Funktionalität, die vongit-remote-codecommitund Git zum Anrufengit clone,git push, undgit pullum das zu klonen, darauf zu drücken und von dem CodeCommit Repositorys, auf die er oder sie Zugriff hat. Beispiel zum Klonen eines Repositorys:

git clone codecommit://CodeAccess@MyDemoRepo

Git-Commit-, Push- und Pull-Befehle verwenden reguläre Git-Syntax.

Wenn der Benutzer in der AWS CLI das benannte AWS CLI-Profil angibt, das den rotierenden Anmeldeinformationen zugewiesen ist, werden die Ergebnisse zurückgegeben, die für dieses Profil gültig sind.