Référence des autorisations CodeCommit

Les tableaux suivants répertorient chaque opération d' CodeCommit API, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations et le format de l'ARN de la ressource à utiliser pour accorder des autorisations. Les CodeCommit API sont regroupées dans des tableaux en fonction de l'étendue des actions autorisées par cette API. Reportez-vous à ce document lorsque vous configurez Contrôle d’accès et rédigez des politiques d'autorisation que vous pouvez associer à une identité IAM (politiques basées sur l'identité).

Lorsque vous créez une stratégie d'autorisation, vous spécifiez les actions dans le champ Action de la stratégie. Vous spécifiez un ARN, avec ou sans caractère générique (*), comme valeur de ressource dans le champ Resource de la stratégie.

Pour exprimer des conditions dans vos CodeCommit politiques, utilisez des AWS touches de condition larges. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles dans le guide de l'utilisateur IAM. Pour obtenir des informations complètes sur les actions, les ressources et les clés de condition pour CodeCommit les politiques IAM, consultez la section Actions, ressources et clés de condition pour AWS CodeCommit.

Note

Pour spécifier une action, utilisez le préfixe codecommit: suivi du nom de l'opération d'API (par exemple, codecommit:GetRepository ou codecommit:CreateRepository).

Utilisation de caractères génériques

Pour spécifier plusieurs actions ou ressources, vous pouvez utiliser un caractère générique (*) dans votre ARN. Par exemple, codecommit:* spécifie toutes les CodeCommit actions et codecommit:Get* indique toutes les CodeCommit actions qui commencent par le motGet. L'exemple suivant accorde l'accès à tous les référentiels dont le nom commence par MyDemo.

arn:aws:codecommit:us-west-2:111111111111:MyDemo*

Vous pouvez uniquement utiliser des caractères génériques avec les ressources repository-name répertoriées dans le tableau suivant. Vous ne pouvez pas utiliser de caractères génériques avec les ressources region ou account-id. Pour plus d'informations sur les caractères génériques, consultez la section Identifiants IAM dans le guide de l'utilisateur IAM.

Autorisations requises pour les commandes du client Git

Dans CodeCommit, les autorisations de la politique GitPull IAM s'appliquent à toutes les commandes du client Git à partir desquelles les données sont extraites CodeCommit git fetchgit clone, y compris, etc. De même, les autorisations de la politique GitPush IAM s'appliquent à toutes les commandes du client Git auxquelles les données sont envoyées CodeCommit. Par exemple, si l'autorisation de politique GitPush IAM est définie surAllow, un utilisateur peut demander la suppression d'une branche à l'aide du protocole Git. Ce push n'est pas affecté par les autorisations appliquées à l'DeleteBranchopération pour cet utilisateur IAM. L'DeleteBranchautorisation s'applique aux actions effectuées avec la console AWS CLI, les SDK et l'API, mais pas avec le protocole Git.

GitPullet GitPush sont des autorisations de politique IAM. Ce ne sont pas des actions d'API.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Autorisations requises pour les actions relatives aux commandes du client Git
CodeCommit Autorisations pour Git	Autorisations nécessaires	Ressources
GitPull	codecommit:GitPull Nécessaire pour extraire des informations d'un CodeCommit référentiel vers un dépôt local. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API.	arn:aws:codecommit:region:account-id:repository-name
GitPush	codecommit:GitPush Nécessaire pour transférer des informations d'un dépôt local vers un CodeCommit référentiel. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API. Note Si vous créez une stratégie qui inclut une clé de contexte et une instruction Deny qui inclut cette autorisation, vous devez également inclure un contexte Null. Pour plus d’informations, consultez Limitez les pushs et les fusions vers les succursales AWS CodeCommit.	arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les succursales

Les autorisations suivantes autorisent ou interdisent les actions sur les branches des CodeCommit référentiels. Ces autorisations concernent uniquement les actions effectuées dans la CodeCommit console et avec l' CodeCommit API, ainsi que les commandes exécutées à l'aide du AWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Par exemple, la commande git show-branch -r affiche une liste des branches distantes pour un référentiel et ses validations à l'aide du protocole Git. Il n'est affecté par aucune autorisation pour l' CodeCommit ListBranchesopération.

Pour plus d'informations sur les politiques applicables aux succursales, consultez Limitez les pushs et les fusions vers les succursales AWS CodeCommit etExemples de politiques gérées par le client.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les branches
CodeCommit Opérations d'API pour les succursales	Autorisations requises (Action d'API)	Ressources
CreateBranch	codecommit:CreateBranch Nécessaire pour créer une branche dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
DeleteBranch	codecommit:DeleteBranch Nécessaire pour supprimer une branche d'un CodeCommit dépôt.	arn:aws:codecommit:region:account-id:repository-name
GetBranch	codecommit:GetBranch Nécessaire pour obtenir des informations sur une branche d'un CodeCommit dépôt.	arn:aws:codecommit:region:account-id:repository-name
ListBranches	codecommit:ListBranches Nécessaire pour obtenir la liste des branches d'un CodeCommit dépôt.	arn:aws:codecommit:region:account-id:repository-name
MergeBranchesByFastForward	codecommit:MergeBranchesByFastForward Nécessaire pour fusionner deux branches à l'aide de la stratégie de fusion rapide dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
MergeBranchesBySquash	codecommit:MergeBranchesBySquash Nécessaire pour fusionner deux branches à l'aide de la stratégie de fusion Squash dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
MergeBranchesByThreeWay	codecommit:MergeBranchesByThreeWay Nécessaire pour fusionner deux branches à l'aide de la stratégie de fusion à trois voies dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
UpdateDefaultBranch	codecommit:UpdateDefaultBranch Nécessaire pour modifier la branche par défaut dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions relatives aux fusions

Les autorisations suivantes autorisent ou interdisent des actions lors de fusions dans des CodeCommit référentiels. Ces autorisations concernent les actions effectuées avec la CodeCommit console et l' CodeCommitAPI, ainsi que les commandes exécutées à l'aide du AWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Pour plus d’informations sur les autorisations connexes sur les branches, consultez Autorisations pour les actions sur les succursales. Pour plus d’informations sur les autorisations connexes sur les demandes d'extraction, consultez Autorisations pour les actions sur les pull requests.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Autorisations requises pour les actions relatives aux commandes de fusion
CodeCommit Autorisations pour les fusions	Autorisations nécessaires	Ressources
BatchDescribeMergeConflicts	codecommit:BatchDescribeMergeConflicts Obligatoire pour renvoyer des informations sur les conflits lors d'une fusion entre des validations dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
CreateUnreferencedMergeCommit	codecommit:CreateUnreferencedMergeCommit Nécessaire pour créer un commit non référencé entre deux branches ou des validations dans un CodeCommit référentiel dans le but de les comparer et d'identifier les conflits potentiels.	arn:aws:codecommit:region:account-id:repository-name
DescribeMergeConflicts	codecommit:DescribeMergeConflicts Obligatoire pour renvoyer des informations sur les conflits de fusion entre les versions de base, source et destination d'un fichier lors d'une fusion potentielle dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
GetMergeCommit	codecommit:GetMergeCommit Obligatoire pour renvoyer des informations sur la fusion entre un commit source et un commit de destination dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
GetMergeOptions	codecommit:GetMergeOptions Obligatoire pour renvoyer des informations sur les options de fusion disponibles entre deux branches ou les spécifications de validation dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les pull requests

Les autorisations suivantes autorisent ou interdisent les actions sur les pull requests dans les CodeCommit référentiels. Ces autorisations concernent les actions effectuées avec la CodeCommit console et l' CodeCommit API, ainsi que les commandes exécutées à l'aide du AWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Pour voir les autorisations connexes pour les commentaires, consultez Autorisations pour les actions sur les commentaires.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les pull requests
CodeCommit Opérations d'API	Autorisations requises (Action d'API)	Ressources
BatchGetPullRequests	codecommit:BatchGetPullRequests Obligatoire pour renvoyer des informations sur une ou plusieurs pull requests dans un CodeCommit référentiel. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.	arn:aws:codecommit:region:account-id:repository-name
CreatePullRequest	codecommit:CreatePullRequest Nécessaire pour créer une pull request dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
CreatePullRequestApprovalRule	codecommit:CreatePullRequestApprovalRule Nécessaire pour créer une règle d'approbation pour une pull request dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
DeletePullRequestApprovalRule	codecommit:DeletePullRequestApprovalRule Nécessaire pour supprimer une règle d'approbation pour une pull request dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
DescribePullRequestEvents	Obligatoire pour renvoyer des informations sur un ou plusieurs événements de pull request dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
EvaluatePullRequestApprovalRules	codecommit:EvaluatePullRequestApprovalRules Nécessaire pour évaluer si une pull request répond à toutes les conditions spécifiées dans les règles d'approbation associées dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
GetCommentsForPullRequest	codecommit:GetCommentsForPullRequest Autorisation requise pour renvoyer des commentaires effectués sur une demande d'extraction.	arn:aws:codecommit:region:account-id:repository-name
GetCommitsFromMergeBase	codecommit:GetCommitsFromMergeBase Autorisation requise pour renvoyer des informations sur la différence entre les validations dans le contexte d'une fusion potentielle. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.	arn:aws:codecommit:region:account-id:repository-name
GetMergeConflicts	codecommit:GetMergeConflicts Obligatoire pour renvoyer des informations sur les conflits de fusion entre la branche source et la branche de destination dans une pull request.	arn:aws:codecommit:region:account-id:repository-name
GetPullRequest	codecommit:GetPullRequest Autorisation requise pour renvoyer des informations sur une demande d'extraction.	arn:aws:codecommit:region:account-id:repository-name
GetPullRequestApprovalStates	codecommit:GetPullRequestApprovalStates Autorisation requise pour renvoyer des informations sur les états d'approbation d'une demande d'extraction spécifiée.	arn:aws:codecommit:region:account-id:repository-name
GetPullRequestOverrideState	codecommit:GetPullRequestOverrideState Obligatoire pour renvoyer des informations indiquant si les règles d'approbation ont été annulées (annulées) pour une pull request, et dans l'affirmative, le nom de ressource Amazon (ARN) de l'utilisateur ou l'identité qui ont préséance sur les règles et leurs exigences pour la pull request.	arn:aws:codecommit:region:account-id:repository-name
ListPullRequests	codecommit:ListPullRequests Autorisation requise pour renvoyer des informations sur les demandes d'extraction d'un référentiel.	arn:aws:codecommit:region:account-id:repository-name
MergePullRequestByFastForward	codecommit:MergePullRequestByFastForward Autorisation requise pour fermer une demande d'extraction et tenter de fusionner la branche source en tant que branche de destination d'une demande d'extraction à l'aide de la stratégie de fusion rapide.	arn:aws:codecommit:region:account-id:repository-name
MergePullRequestBySquash	codecommit:MergePullRequestBySquash Autorisation requise pour fermer une demande d'extraction et tenter de fusionner la branche source en tant que branche de destination d'une demande d'extraction à l'aide de la stratégie de fusion par écrasement.	arn:aws:codecommit:region:account-id:repository-name
MergePullRequestByThreeWay	codecommit:MergePullRequestByThreeWay Autorisation requise pour fermer une demande d'extraction et tenter de fusionner la branche source en tant que branche de destination d'une demande d'extraction à l'aide de la stratégie de fusion tripartite.	arn:aws:codecommit:region:account-id:repository-name
OverridePullRequestApprovalRules	codecommit:OverridePullRequestApprovalRules Nécessaire pour mettre de côté toutes les exigences relatives aux règles d'approbation pour une pull request dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
PostCommentForPullRequest	codecommit:PostCommentForPullRequest Obligatoire pour publier un commentaire sur une pull request dans un CodeCommit dépôt.	arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestApprovalRuleContent	codecommit:UpdatePullRequestApprovalRuleContent Nécessaire pour modifier la structure d'une règle d'approbation pour une pull request dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestApprovalState	codecommit:UpdatePullRequestApprovalState Nécessaire pour modifier l'état d'une approbation sur une pull request dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestDescription	codecommit:UpdatePullRequestDescription Nécessaire pour modifier la description d'une pull request dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestStatus	codecommit:UpdatePullRequestStatus Nécessaire pour modifier le statut d'une pull request dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestTitle	codecommit:UpdatePullRequestTitle Nécessaire pour modifier le titre d'une pull request dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les modèles de règles d'approbation

Les autorisations suivantes autorisent ou refusent des actions sur les modèles de règles d'approbation dans les CodeCommit référentiels. Ces autorisations concernent uniquement les actions effectuées dans la CodeCommit console, l' CodeCommit API et les commandes exécutées à l'aide du AWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Pour plus d’informations sur les autorisations connexes sur les demandes d'extraction, consultez Autorisations pour les actions sur les pull requests.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les modèles de règles d'approbation
CodeCommit Opérations d'API pour les modèles de règles d'approbation	Autorisations nécessaires	Ressources
AssociateApprovalRuleTemplateWithRepository	codecommit:AssociateApprovalRuleTemplateWithRepository Nécessaire pour associer un modèle à un référentiel spécifié dans un compte Amazon Web Services. Une fois le modèle associé, cette opération crée automatiquement des règles d'approbation qui correspondent aux conditions du modèle pour chaque demande d'extraction créée dans le référentiel spécifié.	*
BatchAssociateApprovalRuleTemplateWithRepositories	codecommit:BatchAssociateApprovalRuleTemplateWithRepositories Nécessaire pour associer un modèle à un ou plusieurs référentiels spécifiés dans un compte Amazon Web Services.	*
BatchDisassociateApprovalRuleTemplateFromRepositories	codecommit:BatchDisassociateApprovalRuleTemplateFromRepositories Nécessaire pour dissocier un modèle d'un ou de plusieurs référentiels spécifiés dans un compte Amazon Web Services.	*
CreateApprovalRuleTemplate	codecommit:CreateApprovalRuleTemplate Autorisation requise pour créer un modèle de règles d'approbation qui peut ensuite être associé à un ou plusieurs référentiels de votre compte AWS .	*
DeleteApprovalRuleTemplate	codecommit:DeleteApprovalRuleTemplate Nécessaire pour supprimer le modèle spécifié dans un compte Amazon Web Services. Cela ne supprime pas les règles d'approbation sur les demandes d'extraction déjà créées avec le modèle.	*
DisassociateApprovalRuleTemplateFromRepository	codecommit:DisassociateApprovalRuleTemplateFromRepository Nécessaire pour dissocier le modèle spécifié d'un référentiel dans un compte Amazon Web Services. Cela ne supprime pas les règles d'approbation sur les demandes d'extraction déjà créées avec le modèle.	*
GetApprovalRuleTemplate	codecommit:GetApprovalRuleTemplate Obligatoire pour renvoyer des informations sur un modèle de règle d'approbation dans un compte Amazon Web Services.	*
ListApprovalRuleTemplates	codecommit:ListApprovalRuleTemplates Obligatoire pour répertorier les modèles de règles d'approbation dans un compte Amazon Web Services.	*
ListAssociatedApprovalRuleTemplatesForRepository	codecommit:ListAssociatedApprovalRuleTemplatesForRepository Obligatoire pour répertorier tous les modèles de règles d'approbation associés à un référentiel spécifié dans un compte Amazon Web Services.	*
ListRepositoriesForApprovalRuleTemplate	codecommit:ListRepositoriesForApprovalRuleTemplate Obligatoire pour répertorier tous les référentiels associés à un modèle de règle d'approbation spécifié dans un compte Amazon Web Services.	*
UpdateApprovalRuleTemplateContent	codecommit:UpdateApprovalRuleTemplateContent Nécessaire pour mettre à jour le contenu d'un modèle de règle d'approbation dans un compte Amazon Web Services.	*
UpdateApprovalRuleTemplateDescription	codecommit:UpdateApprovalRuleTemplateDescription Nécessaire pour mettre à jour la description d'un modèle de règle d'approbation dans un compte Amazon Web Services.	*
UpdateApprovalRuleTemplateName	codecommit:UpdateApprovalRuleTemplateName Nécessaire pour mettre à jour le nom d'un modèle de règle d'approbation dans un compte Amazon Web Services.	*

Autorisations pour les actions sur des fichiers individuels

Les autorisations suivantes autorisent ou interdisent des actions sur des fichiers individuels dans les CodeCommit référentiels. Ces autorisations concernent uniquement les actions effectuées dans la CodeCommit console, l' CodeCommit API et les commandes exécutées à l'aide du AWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Par exemple, la git push commande envoie les nouveaux fichiers et les fichiers modifiés vers un CodeCommit référentiel à l'aide du protocole Git. Il n'est affecté par aucune autorisation pour l' CodeCommit PutFileopération.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur des fichiers individuels
CodeCommit Opérations d'API pour des fichiers individuels	Autorisations nécessaires	Ressources
DeleteFile	codecommit:DeleteFile Nécessaire pour supprimer un fichier spécifié d'une branche spécifiée d'un CodeCommit référentiel à partir de la CodeCommit console.	arn:aws:codecommit:region:account-id:repository-name
GetBlob	codecommit:GetBlob Nécessaire pour afficher le contenu codé d'un fichier individuel dans un CodeCommit référentiel à partir de la CodeCommit console.	arn:aws:codecommit:region:account-id:repository-name
GetFile	codecommit:GetFile Nécessaire pour afficher le contenu encodé d'un fichier individuel et ses métadonnées dans un CodeCommit référentiel depuis la CodeCommit console.	arn:aws:codecommit:region:account-id:repository-name
GetFolder	codecommit:GetFolder Nécessaire pour afficher le contenu d'un dossier spécifié dans un CodeCommit référentiel à partir de la CodeCommit console.	arn:aws:codecommit:region:account-id:repository-name
PutFile	codecommit:PutFile Nécessaire pour ajouter un fichier nouveau ou modifié à un CodeCommit référentiel à partir de la CodeCommit console, de l' CodeCommit API ou du AWS CLI.	arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les commentaires

Les autorisations suivantes autorisent ou interdisent les actions sur les commentaires dans les CodeCommit référentiels. Ces autorisations concernent les actions effectuées avec la CodeCommit console et l' CodeCommitAPI, ainsi que les commandes exécutées à l'aide du AWS CLI. Pour voir les autorisations connexes pour les commentaires dans les demandes d'extraction, consultez Autorisations pour les actions sur les pull requests.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les commentaires dans les référentiels
CodeCommit Opérations d'API	Autorisations requises (Action d'API)	Ressources
DeleteCommentContent	codecommit:DeleteCommentContent Autorisation requise pour supprimer le contenu d'un commentaire effectué sur une modification, un fichier ou une validation dans un référentiel. Les commentaires ne peuvent pas être supprimés, mais le contenu d'un commentaire peut être supprimé par l'utilisateur s'il y est autorisé.	arn:aws:codecommit:region:account-id:repository-name
GetComment	codecommit:GetComment Obligatoire pour renvoyer des informations sur un commentaire effectué sur une modification, un fichier ou un commit dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
GetCommentReactions	codecommit:GetCommentReactions Obligatoire pour renvoyer des informations sur les réactions des emoji à un commentaire effectué sur une modification, un fichier ou un commit dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
GetCommentsForComparedCommit	codecommit:GetCommentsForComparedCommit Obligatoire pour renvoyer des informations sur les commentaires faits lors de la comparaison entre deux validations dans un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
PostCommentForComparedCommit	codecommit:PostCommentForComparedCommit Nécessaire pour créer un commentaire sur la comparaison entre deux validations dans un CodeCommit dépôt.	arn:aws:codecommit:region:account-id:repository-name
PostCommentReply	codecommit:PostCommentReply Autorisation requise pour créer une réponse à un commentaire sur une comparaison entre les validations ou sur une demande d'extraction.	arn:aws:codecommit:region:account-id:repository-name
PutCommentReaction	codecommit:PutCommentReaction Nécessaire pour créer ou mettre à jour une réaction emoji à un commentaire.	arn:aws:codecommit:region:account-id:repository-name
UpdateComment	codecommit:UpdateComment Autorisation requise pour modifier un commentaire sur une comparaison entre des validations ou sur une demande d'extraction. Les commentaires ne peuvent être modifiés que par leur auteur.	arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur le code validé

Les autorisations suivantes autorisent ou interdisent les actions sur le code envoyé dans les CodeCommit référentiels. Ces autorisations concernent les actions effectuées avec la CodeCommit console et l' CodeCommit API, ainsi que les commandes exécutées à l'aide du AWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Par exemple, la commande git commit crée une validation pour une branche dans un référentiel au moyen du protocole Git. Il n'est affecté par aucune autorisation pour l' CodeCommit CreateCommitopération.

Le refus explicite de certaines de ces autorisations peut avoir des conséquences inattendues sur la CodeCommit console. Par exemple, la définition de GetTree sur Deny empêche les utilisateurs de naviguer dans le contenu d'un référentiel sur la console, mais ne les empêche pas d'afficher le contenu d'un fichier dans le référentiel (par exemple, si un lien vers le fichier leur est envoyé dans un e-mail). La définition de GetBlob sur Deny empêche les utilisateurs d'afficher le contenu de fichiers, mais ne les empêche pas de naviguer dans la structure d'un référentiel. La définition de GetCommit sur Deny empêche les utilisateurs d'extraire des détails sur des validations. La définition de GetObjectIdentifier sur Deny bloque la plupart des fonctionnalités de navigation dans le code. Si vous définissez ces trois actions sur une stratégie, un utilisateur doté de cette politique ne peut pas parcourir le code dans la CodeCommit console. Deny

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur le code validé
CodeCommit Opérations d'API	Autorisations requises (Action d'API)	Ressources
BatchGetCommits	codecommit:BatchGetCommits Obligatoire pour renvoyer des informations sur un ou plusieurs commits dans un CodeCommit référentiel. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.	arn:aws:codecommit:region:account-id:repository-name
CreateCommit	codecommit:CreateCommit Requise pour créer une validation.	arn:aws:codecommit:region:account-id:repository-name
GetCommit	codecommit:GetCommit Autorisation requise pour renvoyer des informations sur une validation.	arn:aws:codecommit:region:account-id:repository-name
GetCommitHistory	codecommit:GetCommitHistory Autorisation requise pour renvoyer des informations sur l'historique de validations dans un référentiel. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.	arn:aws:codecommit:region:account-id:repository-name
GetDifferences	codecommit:GetDifferences Autorisation requise pour renvoyer des informations sur les différences dans des spécificateurs de validation (par exemple, branche, balise, HEAD, ID de validation ou autre référence complète).	arn:aws:codecommit:region:account-id:repository-name
GetObjectIdentifier	codecommit:GetObjectIdentifier Autorisation requise pour obtenir des objets BLOB, des arborescences et des validations par rapport à leur identifiant. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.	arn:aws:codecommit:region:account-id:repository-name
GetReferences	codecommit:GetReferences Autorisation requise pour renvoyer toutes les références, telles que des branches et des balises. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.	arn:aws:codecommit:region:account-id:repository-name
GetTree	codecommit:GetTree Nécessaire pour afficher le contenu d'une arborescence spécifiée dans un CodeCommit référentiel à partir de la CodeCommit console. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.	arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les référentiels

Les autorisations suivantes autorisent ou interdisent les actions sur les CodeCommit référentiels. Ces autorisations concernent les actions effectuées avec la CodeCommit console et l' CodeCommit API, ainsi que les commandes exécutées à l'aide du AWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les référentiels
CodeCommit Opérations d'API	Autorisations requises (Action d'API)	Ressources
BatchGetRepositories	codecommit:BatchGetRepositories Nécessaire pour obtenir des informations sur plusieurs CodeCommit référentiels dans un compte Amazon Web Services. DansResource, vous devez spécifier les noms de tous les CodeCommit référentiels pour lesquels des informations sont autorisées (ou refusées) à un utilisateur.	arn:aws:codecommit:region:account-id:repository-name
CreateRepository	codecommit:CreateRepository Nécessaire pour créer un CodeCommit référentiel.	arn:aws:codecommit:region:account-id:repository-name
DeleteRepository	codecommit:DeleteRepository Nécessaire pour supprimer un CodeCommit dépôt.	arn:aws:codecommit:region:account-id:repository-name
GetRepository	codecommit:GetRepository Nécessaire pour obtenir des informations sur un CodeCommit référentiel unique.	arn:aws:codecommit:region:account-id:repository-name
ListRepositories	codecommit:ListRepositories Nécessaire pour obtenir la liste des noms et des identifiants système de plusieurs CodeCommit référentiels pour un compte Amazon Web Services. La seule valeur autorisée pour Resource pour cette action est tous les référentiels (*).	*
UpdateRepositoryDescription	codecommit:UpdateRepositoryDescription Nécessaire pour modifier la description d'un CodeCommit dépôt.	arn:aws:codecommit:region:account-id:repository-name
UpdateRepositoryName	codecommit:UpdateRepositoryName Nécessaire pour modifier le nom d'un CodeCommit dépôt. DansResource, vous devez spécifier à la fois les CodeCommit référentiels autorisés à être modifiés et les nouveaux noms de référentiels.	arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les tags

Les autorisations suivantes autorisent ou interdisent les actions sur les AWS balises des CodeCommit ressources.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les balises
CodeCommit Opérations d'API	Autorisations requises (Action d'API)	Ressources
ListTagsForResource	codecommit:ListTagsForResource Obligatoire pour renvoyer des informations sur les AWS balises configurées sur une ressource dans CodeCommit.	arn:aws:codecommit:region:account-id:repository-name
TagResource	codecommit:TagResource Obligatoire pour ajouter ou modifier des AWS balises pour une ressource dans CodeCommit.	arn:aws:codecommit:region:account-id:repository-name
UntagResource	codecommit:UntagResource Nécessaire pour supprimer les AWS balises d'une ressource dans CodeCommit.	arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les déclencheurs

Les autorisations suivantes autorisent ou interdisent les actions sur les déclencheurs des CodeCommit référentiels.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les déclencheurs
CodeCommit Opérations d'API	Autorisations requises (Action d'API)	Ressources
GetRepositoryTriggers	codecommit:GetRepositoryTriggers Autorisation requise pour renvoyer des informations sur les déclencheurs configurés pour un référentiel.	arn:aws:codecommit:region:account-id:repository-name
PutRepositoryTriggers	codecommit:PutRepositoryTriggers Autorisation requise pour créer, modifier ou supprimer des déclencheurs pour un référentiel.	arn:aws:codecommit:region:account-id:repository-name
TestRepositoryTriggers	codecommit:TestRepositoryTriggers Autorisation requise pour tester les fonctionnalités d'un déclencheur de référentiel en envoyant des données à la rubrique ou la fonction configurée pour le déclencheur.	arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions relatives à CodePipeline l'intégration

CodePipeline Pour utiliser un CodeCommit référentiel dans une action source pour un pipeline, vous devez accorder toutes les autorisations répertoriées dans le tableau suivant au rôle de service pour CodePipeline. Si ces autorisations ne sont pas définies dans le rôle de service ou sont définies sur Deny, le pipeline ne s'exécute pas automatiquement lorsqu'une modification est apportée au référentiel et les modifications ne peuvent pas être libérées manuellement.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions d' CodePipeline intégration
CodeCommit Opérations d'API	Autorisations requises (Action d'API)	Ressources
GetBranch	codecommit:GetBranch Nécessaire pour obtenir des informations sur une branche d'un CodeCommit dépôt.	arn:aws:codecommit:region:account-id:repository-name
GetCommit	codecommit:GetCommit Obligatoire pour renvoyer des informations relatives à un commit dans le rôle de service pour CodePipeline.	arn:aws:codecommit:region:account-id:repository-name
UploadArchive	codecommit:UploadArchive Nécessaire pour autoriser le rôle de service CodePipeline à télécharger les modifications du référentiel dans un pipeline. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.	arn:aws:codecommit:region:account-id:repository-name
GetUploadArchiveStatus	codecommit:GetUploadArchiveStatus Autorisation requise pour déterminer l'état du chargement d'une archive afin de déterminer si elle est en cours, terminée ou annulée, ou si une erreur s'est produite. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.	arn:aws:codecommit:region:account-id:repository-name
CancelUploadArchive	codecommit:CancelUploadArchive Autorisation requise pour annuler le chargement d'une archive vers un pipeline. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API pouvant être appelée.	arn:aws:codecommit:region:account-id:repository-name