Verbinden mitAWS CodeCommitRepositorys mit rotierenden Anmeldeinformationen - AWS CodeCommit

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbinden mitAWS CodeCommitRepositorys mit rotierenden Anmeldeinformationen

Sie können Benutzern Zugriff auf IhreAWS CodeCommit-Repositorys ohne IAM-Benutzer für sie zu konfigurieren oder einen Zugriffsschlüssel und einen geheimen Schlüssel zu verwenden. Statt einen IAM-Benutzer zu erstellen, können Sie bereits vorhandene Identitäten vonAWS Directory Serviceoder einen Web-Identitätsanbieter. Diese werden als verbundene Benutzer bezeichnet. AWS weist einem verbundenen Benutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu verbundenen Benutzern finden Sie unter Verbundene Benutzer und Rollen im IAM-Benutzerhandbuch. Sie können auch den rollenbasierten Zugriff für IAM-Benutzer konfigurieren, um in separaten Amazon Web Services Konten auf CodeCommit -Repositorys zuzugreifen (eine Technik, die alsKontoübergreifender Zugriff) enthalten. Eine schrittweise Anleitung zur Konfiguration des kontoübergreifenden Zugriffs auf ein Repository finden Sie unter Konfigurieren Sie den kontoübergreifenden Zugriff auf einAWS CodeCommit-Repository-Rollen.

Sie können den Zugriff für Benutzer konfigurieren, die sich über folgende Methoden authentifizieren möchten oder müssen:

  • Security Assertion Markup Language (SAML)

  • Multifaktor-Authentifizierung (MFA)

  • Verbund

  • Login mit Amazon

  • Amazon Cognito

  • Facebook

  • Google

  • OpenID Connect-kompatibler (OIDC) Identitätsanbieter

Anmerkung

Die folgenden Informationen sind nur relevant, wenngit-remote-codecommitoder dieAWS CLIAnmeldeinformationen Helfer, um eine Verbindung mit CodeCommit -Repositories herzustellen. Da der empfohlene Ansatz für den temporären oder Verbundzugriff auf CodeCommit das Einrichten vongit-remote-codecommitenthält dieses Thema Beispiele für die Verwendung dieses Dienstprogramms. Weitere Informationen finden Sie unter Schritte zum Einrichten von HTTPS-Verbindungen mitAWS CodeCommitMit git-remote-codecommit.

Sie können keine SSH- oder Git-Anmeldeinformationen und kein HTTPS verwenden, um mit rotierenden oder temporären Anmeldeinformationen eine Verbindung zu CodeCommit -Repositorys herzustellen.

Sie müssen die folgenden Schritte nicht ausführen, wenn alle der folgenden Bedingungen zutreffen:

Amazon EC2 Instances, die den genannten Voraussetzungen entsprechen, sind bereits eingerichtet, um temporäre Anmeldeinformationen in Ihrem Namen an CodeCommit zu übertragen.

Anmerkung

Sie können konfigurieren undgit-remote-codecommitauf Amazon EC2 Instances.

Führen Sie die folgenden Schritte aus, um Benutzern temporär Zugriff auf Ihre CodeCommit -Repositorys zu gewähren.

Schritt 1: Sorgen Sie dafür, dass die Voraussetzungen erfüllt sind.

Führen Sie die entsprechenden Konfigurationsschritte aus, um einem Benutzer mit rotierenden Anmeldeinformationen Zugriff auf Ihre CodeCommit -Repositorys zu gewähren:

Verwenden Sie die Informationen inAuthentifizierung und Zugriffskontrolle für AWS CodeCommitSie können die CodeCommit -Berechtigungen angeben, die Sie dem Benutzer gewähren möchten.

Schritt 2: Rufen Sie den Rollennamen oder Zugangsdaten ab

Wenn Sie möchten, dass Ihre Benutzer auf Repositorys zugreifen, indem sie eine Rolle übernehmen, geben Sie Ihren Benutzern den Amazon-Ressourcennamen (ARN) dieser Rolle an. Andernfalls kann der Benutzer je nach Einrichtung des Zugriffs rotierende Anmeldeinformationen auf eine der folgenden Arten abrufen:

Schritt 3: Installieren Sie git-remote-codecommit undkonfigurieren Sie dieAWS CLI

Sie müssen Ihren lokalen Computer so konfigurieren, dass die Anmeldeinformationen verwendet werden, indem SieInstallieren vongit-remote-codecommitundKonfigurieren eines Profils imAWS CLIaus.

  1. Folgen Sie den Anweisungen in Einrichten , um die AWS CLI einzurichten. Verwenden Sie den aws configure-Befehl, um ein oder mehrere Profile zu konfigurieren. Erwägen Sie, ein benanntes Profil für das Herstellen einer Verbindung zu CodeCommit -Repositorys mithilfe rotierender Anmeldeinformationen zu erstellen.

  2. Sie können die Anmeldeinformationen nach einem der folgenden Verfahren mit dem benannten AWS CLI-Profil des Benutzers verknüpfen.

    • Wenn Sie eine Rolle für den Zugriff auf CodeCommit übernehmen, konfigurieren Sie ein benanntes Profil mit den Informationen, die für die Übernahme dieser Rolle erforderlich sind. Wenn Sie beispielsweise eine Rolle mit dem NamenCodeCommitAccessIm Amazon Web Services Konto 111111111111 können Sie ein Standardprofil für das Arbeiten mit anderenAWS-Ressourcen und ein benanntes Profil, das bei der Übernahme dieser Rolle verwendet werden soll. Mit den folgenden Befehlen wird ein benanntes Profil namens CodeAccess erstellt, das eine Rolle namens CodeCommitAccess voraussetzt. Der Benutzername Maria Garcia ist der Sitzung zugewiesen und das Standardprofil wird als Quelle der AWS-Anmeldeinformationen festgelegt:

      aws configure set role_arn arn:aws:iam:::111111111111:role/CodeCommitAccess --profile CodeAccess aws configure set source_profile default --profile CodeAccess aws configure set role_session_name "Maria Garcia" --profile CodeAccess

      Wenn Sie die Änderungen überprüfen möchten, können Sie die ~/.aws/config-Datei (für Linux) oder die %UserProfile%.aws\config-Datei (für Windows) manuell anzeigen oder bearbeiten und die Informationen unter dem benannten Profil überprüfen. Zum Beispiel ähnelt Ihre Datei möglicherweise dem Folgenden:

      [default] region = us-east-1 output = json [profile CodeAccess] source_profile = default role_session_name = Maria Garcia role_arn = arn:aws:iam:::111111111111:role/CodeCommitAccess

      Nachdem Sie Ihr benanntes Profil konfiguriert haben, können Sie CodeCommit -Repositorys mit dergit-remote-codecommit-Dienstprogramm mit dem benannten Profil. Beispiel zum Klonen eines Repositorys namensMyDemoRepo:

      git clone codecommit://CodeAccess@MyDemoRepo
    • Wenn Sie Web-Identitätsverbund und OpenID Connect (OIDC) verwenden, konfigurieren Sie ein benanntes Profil, das die AWS Security Token Service (AWS STS) AssumeRoleWithWebIdentity-API in Ihrem Namen aufruft, um temporäre Anmeldeinformationen zu aktualisieren. Verwenden Sie den aws configure set-Befehl oder bearbeiten Sie die ~/.aws/credentials-Datei (für Linux) oder die %UserProfile%.aws\credentials-Datei (für Windows) manuell, um ein benanntes AWS CLI-Profil mit den erforderlichen Einstellungswerten hinzuzufügen. Um beispielsweise ein Profil zu erstellen, das die CodeCommitAccess-Rolle übernimmt und eine Webidentitäts-Tokendatei ~/my-credentials/my-token-file verwendet:

      [CodeCommitWebIdentity] role_arn = arn:aws:iam:::111111111111:role/CodeCommitAccess web_identity_token_file=~/my-credentials/my-token-file role_session_name = Maria Garcia

    Weitere Informationen finden Sie unterKonfigurieren vonAWS Command Line InterfaceundVerwenden einer IAM-Rolle imAWS CLIimAWS Command Line Interface-Benutzerhandbuchaus.

Schritt 4: Zugriff auf die CodeCommit -Repositories

Angenommen, Ihr Benutzer hat die Anweisungen unterHerstellen einer Verbindung mit einem Repository, um eine Verbindung mit den CodeCommit -Repositories herzustellen, verwendet der Benutzer dann die erweiterte Funktionalität, die vongit-remote-codecommitund Git, umgit clone,git push, undgit pullSie können die CodeCommit-Repositorys, auf die er Zugriff hat, klonen und darauf eine Push- und Pull-Übertragung durchführen. Beispiel zum Klonen eines Repositorys:

git clone codecommit://CodeAccess@MyDemoRepo

Git-Commit-, Push- und Pull-Befehle verwenden reguläre Git-Syntax.

Wenn der Benutzer in der AWS CLI das benannte AWS CLI-Profil angibt, das den rotierenden Anmeldeinformationen zugewiesen ist, werden die Ergebnisse zurückgegeben, die für dieses Profil gültig sind.