Uso de políticas basadas en identidad (políticas de IAM) para CodeCommit

Los siguientes ejemplos de políticas basadas en identidad muestran cómo un administrador de la cuenta puede asociar políticas de permisos a identidades de IAM (usuarios, grupos y funciones) para conceder permisos para realizar operaciones en recursos de CodeCommit.

importante

Le recomendamos que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de CodeCommit. Para obtener más información, consulte Información general sobre la administración de los permisos de acceso a los recursos de CodeCommit.

Temas

• Permisos necesarios para usar la consola de CodeCommit
• Visualización de recursos en la consola
• Políticas administradas de AWS para CodeCommit
• Ejemplos de políticas administradas por el cliente

A continuación, se muestra un ejemplo de una política de permisos basada en identidad:

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codecommit:BatchGetRepositories"
      ],
      "Resource" : [
        "arn:aws:codecommit:us-east-2:111111111111:MyDestinationRepo",
        "arn:aws:codecommit:us-east-2:111111111111:MyDemo*"
      ]
    }
  ]
}

Esta política tiene una instrucción que permite a un usuario obtener información acerca del repositorio de CodeCommit denominado MyDestinationRepo y todos los repositorios de CodeCommit que empiecen con el nombre MyDemo de la región us-east-2.

Permisos necesarios para usar la consola de CodeCommit

Para ver los permisos necesarios para cada operación API de CodeCommit y para obtener más información sobre las operaciones de CodeCommit, consulte Referencia de permisos de CodeCommit.

Para permitir a los usuarios utilizar la consola de CodeCommit, el administrador debe concederles permisos para realizar acciones de CodeCommit. Por ejemplo, podría asociar la política administrada AWSCodeCommitPowerUser o su equivalente a un usuario o grupo.

Además de los permisos concedidos a los usuarios por medio de políticas basadas en identidad, CodeCommit requiere permisos para realizar acciones de AWS Key Management Service (AWS KMS). Un usuario de IAM no necesita permisos explícitos de Allow para estas acciones, pero el usuario no debe tener políticas asociadas que definan los siguientes permisos como Deny:

        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"

Para obtener más información sobre el cifrado y CodeCommit, consulte AWS KMS y cifrado.

Visualización de recursos en la consola

La consola de CodeCommit requiere el permiso de ListRepositories para mostrar una lista de repositorios para la cuenta de Amazon Web Services en la Región de AWS en la que se ha iniciado la sesión. La consola también incluye una función Go to resource (Ir al recurso) para realizar una búsqueda rápida de recursos sin distinción entre mayúsculas y minúsculas. Esta búsqueda se realiza en su cuenta de Amazon Web Services en la Región de AWS en la que se ha iniciado sesión. Los siguientes recursos se muestran en los siguientes servicios:

• AWS CodeBuild: proyectos de compilación

• AWS CodeCommit: repositorios

• AWS CodeDeploy: aplicaciones

• AWS CodePipeline: canalizaciones

Para realizar esta búsqueda en los recursos de todos los servicios, debe contar con los siguientes permisos:

• CodeBuild: ListProjects

• CodeCommit: ListRepositories

• CodeDeploy: ListApplications

• CodePipeline: ListPipelines

Los resultados de los recursos de un servicio no se devuelven si no tiene permisos para ese servicio. Aunque tenga permisos para ver los recursos, no se devolverán recursos específicos si hay un permiso Deny explícito para ver esos recursos.