Référence des autorisations CodeCommit - AWS CodeCommit

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référence des autorisations CodeCommit

Les tableaux suivants répertorient chaque opération d' CodeCommit API, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations et le format de l'ARN de la ressource à utiliser pour accorder des autorisations. Les CodeCommit API sont regroupées dans des tableaux en fonction de l'étendue des actions autorisées par cette API. Reportez-vous à ce document lorsque vous configurez Contrôle d'accès et rédigez des politiques d'autorisation que vous pouvez associer à une identité IAM (politiques basées sur l'identité).

Lorsque vous créez une stratégie d'autorisation, vous spécifiez les actions dans le champ Action de la stratégie. Vous spécifiez un ARN, avec ou sans caractère générique (*), comme valeur de ressource dans le champ Resource de la stratégie.

Pour exprimer des conditions dans vos CodeCommit politiques, utilisez des AWS touches de condition larges. Pour obtenir la liste complète des clés à l'échelle d'AWS, veuillez consulter Clés disponibles dans le Guide de l'utilisateur IAM. Pour obtenir des informations complètes sur les actions, les ressources et les clés de condition pour CodeCommit les politiques IAM, consultez la section Actions, ressources et clés de condition pour AWS CodeCommit.

Note

Pour spécifier une action, utilisez le préfixe codecommit: suivi du nom de l'opération d'API (par exemple, codecommit:GetRepository ou codecommit:CreateRepository).

Utilisation de caractères génériques

Pour spécifier plusieurs actions ou ressources, vous pouvez utiliser un caractère générique (*) dans votre ARN. Par exemple, codecommit:* spécifie toutes les CodeCommit actions et codecommit:Get* indique toutes les CodeCommit actions qui commencent par le motGet. L'exemple suivant accorde l'accès à tous les référentiels dont le nom commence par MyDemo.

arn:aws:codecommit:us-west-2:111111111111:MyDemo*

Vous pouvez uniquement utiliser des caractères génériques avec les ressources repository-name répertoriées dans le tableau suivant. Vous ne pouvez pas utiliser de caractères génériques avec les ressources region ou account-id. Pour plus d'informations sur les caractères génériques, consultez la section Identifiants IAM dans le guide de l'utilisateur IAM.

Autorisations requises pour les commandes du client Git

Dans CodeCommit, les autorisations de la politique GitPull IAM s'appliquent à toutes les commandes du client Git à partir desquelles les données sont extraites CodeCommit git fetchgit clone, y compris, etc. De même, les autorisations de la politique GitPush IAM s'appliquent à toutes les commandes du client Git auxquelles les données sont envoyées CodeCommit. Par exemple, si l'autorisation de politique GitPush IAM est définie surAllow, un utilisateur peut demander la suppression d'une branche à l'aide du protocole Git. Ce push n'est pas affecté par les autorisations appliquées à l'DeleteBranchopération pour cet utilisateur IAM. L'autorisation DeleteBranch s'applique aux actions effectuées avec la console, l'AWS CLI, les kits SDK et l'API, mais pas le protocole Git.

GitPullet GitPush sont des autorisations de politique IAM. Ce ne sont pas des actions d'API.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Autorisations requises pour les actions relatives aux commandes du client Git
CodeCommit Autorisations pour Git Autorisations nécessaires Ressources

GitPull

codecommit:GitPull

Nécessaire pour extraire des informations d'un CodeCommit référentiel vers un dépôt local. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API.

arn:aws:codecommit:region:account-id:repository-name

GitPush

codecommit:GitPush

Autorisation requise pour transférer des informations d'un référentiel local vers un référentiel CodeCommit. Il s'agit d'une autorisation de stratégie IAM uniquement, pas d'une action d'API.

Note

Si vous créez une stratégie qui inclut une clé de contexte et une instruction Deny qui inclut cette autorisation, vous devez également inclure un contexte Null. Pour plus d'informations, consultez Limitez les pushs et les fusions vers les succursales AWS CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les succursales

Les autorisations suivantes autorisent ou interdisent les actions sur les branches des CodeCommit référentiels. Ces autorisations concernent uniquement les actions effectuées dans la CodeCommit console et avec l' CodeCommit API, ainsi que les commandes exécutées à l'aide duAWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Par exemple, la commande git show-branch -r affiche une liste des branches distantes pour un référentiel et ses validations à l'aide du protocole Git. Il n'est affecté par aucune autorisation pour l' CodeCommit ListBranchesopération.

Pour plus d'informations sur les politiques applicables aux succursales, consultez Limitez les pushs et les fusions vers les succursales AWS CodeCommit etExemples de politiques gérées par le client.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les branches
CodeCommit Opérations d'API pour les succursales Autorisations requises (Action d'API) Ressources

CreateBranch

codecommit:CreateBranch

Nécessaire pour créer une branche dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

DeleteBranch

codecommit:DeleteBranch

Nécessaire pour supprimer une branche d'un CodeCommit dépôt.

arn:aws:codecommit:region:account-id:repository-name

GetBranch

codecommit:GetBranch

Autorisation requise pour obtenir les détails relatifs à une branche dans un référentiel CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

ListBranches

codecommit:ListBranches

Autorisation requise pour obtenir une liste de branches dans un référentiel CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

MergeBranchesByFastForward

codecommit:MergeBranchesByFastForward

Nécessaire pour fusionner deux branches à l'aide de la stratégie de fusion rapide dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name
MergeBranchesBySquash

codecommit:MergeBranchesBySquash

Nécessaire pour fusionner deux branches à l'aide de la stratégie de fusion Squash dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name
MergeBranchesByThreeWay

codecommit:MergeBranchesByThreeWay

Nécessaire pour fusionner deux branches à l'aide de la stratégie de fusion à trois voies dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name
UpdateDefaultBranch codecommit:UpdateDefaultBranch

Nécessaire pour modifier la branche par défaut dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions relatives aux fusions

Les autorisations suivantes autorisent ou interdisent des actions lors de fusions dans des CodeCommit référentiels. Ces autorisations concernent les actions effectuées avec la CodeCommit console et l' CodeCommitAPI, ainsi que les commandes exécutées à l'aide duAWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Pour plus d’informations sur les autorisations connexes sur les branches, consultez Autorisations pour les actions sur les succursales. Pour plus d’informations sur les autorisations connexes sur les demandes d'extraction, consultez Autorisations pour les actions sur les pull requests.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Autorisations requises pour les actions relatives aux commandes de fusion
CodeCommit Autorisations pour les fusions Autorisations nécessaires Ressources

BatchDescribeMergeConflicts

codecommit:BatchDescribeMergeConflicts

Obligatoire pour renvoyer des informations sur les conflits lors d'une fusion entre des validations dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

CreateUnreferencedMergeCommit

codecommit:CreateUnreferencedMergeCommit

Nécessaire pour créer un commit non référencé entre deux branches ou des validations dans un CodeCommit référentiel dans le but de les comparer et d'identifier les conflits potentiels.

arn:aws:codecommit:region:account-id:repository-name

DescribeMergeConflicts

codecommit:DescribeMergeConflicts

Obligatoire pour renvoyer des informations sur les conflits de fusion entre les versions de base, source et destination d'un fichier lors d'une fusion potentielle dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

GetMergeCommit

codecommit:GetMergeCommit

Obligatoire pour renvoyer des informations sur la fusion entre un commit source et un commit de destination dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

GetMergeOptions

codecommit:GetMergeOptions

Autorisation requise pour renvoyer des informations sur les options de fusion disponibles entre deux branches ou spécificateurs de validation dans un référentiel CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les pull requests

Les autorisations suivantes autorisent ou refusent des actions au niveau des demandes d'extraction dans les référentiels CodeCommit. Ces autorisations concernent les actions effectuées avec la CodeCommit console et l' CodeCommit API, ainsi que les commandes exécutées à l'aide duAWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Pour voir les autorisations connexes pour les commentaires, consultez Autorisations pour les actions sur les commentaires.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les pull requests
CodeCommit Opérations d'API Autorisations requises (Action d'API) Ressources

BatchGetPullRequests

codecommit:BatchGetPullRequests

Obligatoire pour renvoyer des informations sur une ou plusieurs pull requests dans un CodeCommit référentiel. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.

arn:aws:codecommit:region:account-id:repository-name

CreatePullRequest

codecommit:CreatePullRequest

Autorisation requise pour créer une demande d'extraction dans un référentiel CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

CreatePullRequestApprovalRule

codecommit:CreatePullRequestApprovalRule

Autorisation requise pour créer une règle d'approbation pour une demande d'extraction dans un référentiel CodeCommit .

arn:aws:codecommit:region:account-id:repository-name

DeletePullRequestApprovalRule

codecommit:DeletePullRequestApprovalRule

Autorisation requise pour supprimer une règle d'approbation pour une demande d'extraction dans un référentiel CodeCommit .

arn:aws:codecommit:region:account-id:repository-name

DescribePullRequestEvents Obligatoire pour renvoyer des informations sur un ou plusieurs événements de pull request dans un CodeCommit référentiel. arn:aws:codecommit:region:account-id:repository-name
EvaluatePullRequestApprovalRules

codecommit:EvaluatePullRequestApprovalRules

Autorisation requise pour évaluer si une demande d'extraction a satisfait toutes les conditions spécifiées dans ses règles d'approbation associées dans un référentiel CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

GetCommentsForPullRequest

codecommit:GetCommentsForPullRequest

Autorisation requise pour renvoyer des commentaires effectués sur une demande d'extraction.

arn:aws:codecommit:region:account-id:repository-name

GetCommitsFromMergeBase

codecommit:GetCommitsFromMergeBase

Autorisation requise pour renvoyer des informations sur la différence entre les validations dans le contexte d'une fusion potentielle. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.

arn:aws:codecommit:region:account-id:repository-name

GetMergeConflicts

codecommit:GetMergeConflicts

Obligatoire pour renvoyer des informations sur les conflits de fusion entre la branche source et la branche de destination dans une pull request.

arn:aws:codecommit:region:account-id:repository-name

GetPullRequest

codecommit:GetPullRequest

Autorisation requise pour renvoyer des informations sur une demande d'extraction.

arn:aws:codecommit:region:account-id:repository-name

GetPullRequestApprovalStates

codecommit:GetPullRequestApprovalStates

Autorisation requise pour renvoyer des informations sur les états d'approbation d'une demande d'extraction spécifiée.

arn:aws:codecommit:region:account-id:repository-name

GetPullRequestOverrideState

codecommit:GetPullRequestOverrideState

Obligatoire pour renvoyer des informations indiquant si les règles d'approbation ont été annulées (annulées) pour une pull request, et dans l'affirmative, le nom de ressource Amazon (ARN) de l'utilisateur ou l'identité qui ont préséance sur les règles et leurs exigences pour la pull request.

arn:aws:codecommit:region:account-id:repository-name

ListPullRequests

codecommit:ListPullRequests

Autorisation requise pour renvoyer des informations sur les demandes d'extraction d'un référentiel.

arn:aws:codecommit:region:account-id:repository-name

MergePullRequestByFastForward codecommit:MergePullRequestByFastForward

Autorisation requise pour fermer une demande d'extraction et tenter de fusionner la branche source en tant que branche de destination d'une demande d'extraction à l'aide de la stratégie de fusion rapide.

arn:aws:codecommit:region:account-id:repository-name

MergePullRequestBySquash codecommit:MergePullRequestBySquash

Autorisation requise pour fermer une demande d'extraction et tenter de fusionner la branche source en tant que branche de destination d'une demande d'extraction à l'aide de la stratégie de fusion par écrasement.

arn:aws:codecommit:region:account-id:repository-name

MergePullRequestByThreeWay codecommit:MergePullRequestByThreeWay

Autorisation requise pour fermer une demande d'extraction et tenter de fusionner la branche source en tant que branche de destination d'une demande d'extraction à l'aide de la stratégie de fusion tripartite.

arn:aws:codecommit:region:account-id:repository-name

OverridePullRequestApprovalRules codecommit:OverridePullRequestApprovalRules

Nécessaire pour mettre de côté toutes les exigences relatives aux règles d'approbation pour une pull request dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

PostCommentForPullRequest codecommit:PostCommentForPullRequest

Autorisation requise pour publier un commentaire sur une demande d'extraction dans un référentiel CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

UpdatePullRequestApprovalRuleContent codecommit:UpdatePullRequestApprovalRuleContent

Nécessaire pour modifier la structure d'une règle d'approbation pour une pull request dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

UpdatePullRequestApprovalState codecommit:UpdatePullRequestApprovalState

Nécessaire pour modifier l'état d'une approbation sur une pull request dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

UpdatePullRequestDescription codecommit:UpdatePullRequestDescription

Autorisation requise pour modifier la description d'une demande d'extraction dans un référentiel CodeCommit .

arn:aws:codecommit:region:account-id:repository-name

UpdatePullRequestStatus codecommit:UpdatePullRequestStatus

Autorisation requise pour modifier le statut d'une demande d'extraction dans un référentiel CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

UpdatePullRequestTitle codecommit:UpdatePullRequestTitle

Autorisation requise pour modifier le titre d'une demande d'extraction dans un référentiel CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les modèles de règles d'approbation

Les autorisations suivantes autorisent ou interdisent les actions sur les modèles de règles d'approbation dans les référentiels CodeCommit . Ces autorisations concernent uniquement les actions effectuées dans la CodeCommit console, l' CodeCommit API et les commandes exécutées à l'aide duAWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Pour plus d’informations sur les autorisations connexes sur les demandes d'extraction, consultez Autorisations pour les actions sur les pull requests.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les modèles de règles d'approbation
CodeCommit Opérations d'API pour les modèles de règles d'approbation Autorisations nécessaires Ressources

AssociateApprovalRuleTemplateWithRepository

codecommit:AssociateApprovalRuleTemplateWithRepository

Nécessaire pour associer un modèle à un référentiel spécifié dans un compte Amazon Web Services. Une fois le modèle associé, cette opération crée automatiquement des règles d'approbation qui correspondent aux conditions du modèle pour chaque demande d'extraction créée dans le référentiel spécifié.

*

BatchAssociateApprovalRuleTemplateWithRepositories

codecommit:BatchAssociateApprovalRuleTemplateWithRepositories

Nécessaire pour associer un modèle à un ou plusieurs référentiels spécifiés dans un compte Amazon Web Services.

*

BatchDisassociateApprovalRuleTemplateFromRepositories

codecommit:BatchDisassociateApprovalRuleTemplateFromRepositories

Nécessaire pour dissocier un modèle d'un ou de plusieurs référentiels spécifiés dans un compte Amazon Web Services.

*

CreateApprovalRuleTemplate

codecommit:CreateApprovalRuleTemplate

Autorisation requise pour créer un modèle de règles d'approbation qui peut ensuite être associé à un ou plusieurs référentiels de votre compte AWS.

*

DeleteApprovalRuleTemplate

codecommit:DeleteApprovalRuleTemplate

Nécessaire pour supprimer le modèle spécifié dans un compte Amazon Web Services. Cela ne supprime pas les règles d'approbation sur les demandes d'extraction déjà créées avec le modèle.

*

DisassociateApprovalRuleTemplateFromRepository

codecommit:DisassociateApprovalRuleTemplateFromRepository

Nécessaire pour dissocier le modèle spécifié d'un référentiel dans un compte Amazon Web Services. Cela ne supprime pas les règles d'approbation sur les demandes d'extraction déjà créées avec le modèle.

*

GetApprovalRuleTemplate

codecommit:GetApprovalRuleTemplate

Obligatoire pour renvoyer des informations sur un modèle de règle d'approbation dans un compte Amazon Web Services.

*

ListApprovalRuleTemplates

codecommit:ListApprovalRuleTemplates

Obligatoire pour répertorier les modèles de règles d'approbation dans un compte Amazon Web Services.

*

ListAssociatedApprovalRuleTemplatesForRepository

codecommit:ListAssociatedApprovalRuleTemplatesForRepository

Obligatoire pour répertorier tous les modèles de règles d'approbation associés à un référentiel spécifié dans un compte Amazon Web Services.

*

ListRepositoriesForApprovalRuleTemplate

codecommit:ListRepositoriesForApprovalRuleTemplate

Obligatoire pour répertorier tous les référentiels associés à un modèle de règle d'approbation spécifié dans un compte Amazon Web Services.

*

UpdateApprovalRuleTemplateContent

codecommit:UpdateApprovalRuleTemplateContent

Nécessaire pour mettre à jour le contenu d'un modèle de règle d'approbation dans un compte Amazon Web Services.

*

UpdateApprovalRuleTemplateDescription

codecommit:UpdateApprovalRuleTemplateDescription

Nécessaire pour mettre à jour la description d'un modèle de règle d'approbation dans un compte Amazon Web Services.

*

UpdateApprovalRuleTemplateName

codecommit:UpdateApprovalRuleTemplateName

Nécessaire pour mettre à jour le nom d'un modèle de règle d'approbation dans un compte Amazon Web Services.

*

Autorisations pour les actions sur des fichiers individuels

Les autorisations suivantes autorisent ou refusent des actions sur des fichiers individuels dans les référentiels CodeCommit. Ces autorisations concernent uniquement les actions effectuées dans la CodeCommit console, l' CodeCommit API et les commandes exécutées à l'aide duAWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Par exemple, la commande git push transmet (push) des fichiers nouveaux et modifiés vers un référentiel CodeCommit à l'aide du protocole Git. Il n'est affecté par aucune autorisation pour l' CodeCommit PutFileopération.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur des fichiers individuels
CodeCommit Opérations d'API pour des fichiers individuels Autorisations nécessaires Ressources

DeleteFile

codecommit:DeleteFile

Nécessaire pour supprimer un fichier spécifié d'une branche spécifiée d'un CodeCommit référentiel à partir de la CodeCommit console.

arn:aws:codecommit:region:account-id:repository-name

GetBlob

codecommit:GetBlob

Nécessaire pour afficher le contenu codé d'un fichier individuel dans un CodeCommit référentiel depuis la CodeCommit console.

arn:aws:codecommit:region:account-id:repository-name

GetFile

codecommit:GetFile

Nécessaire pour afficher le contenu encodé d'un fichier individuel et ses métadonnées dans un CodeCommit référentiel depuis la CodeCommit console.

arn:aws:codecommit:region:account-id:repository-name

GetFolder

codecommit:GetFolder

Nécessaire pour afficher le contenu d'un dossier spécifié dans un CodeCommit référentiel depuis la CodeCommit console.

arn:aws:codecommit:region:account-id:repository-name

PutFile

codecommit:PutFile

Nécessaire pour ajouter un fichier nouveau ou modifié à un CodeCommit référentiel à partir de la CodeCommit console, de l' CodeCommit API ou duAWS CLI.

arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les commentaires

Les autorisations suivantes autorisent ou interdisent les actions sur les commentaires dans les CodeCommit référentiels. Ces autorisations concernent les actions effectuées avec la CodeCommit console et l' CodeCommitAPI, ainsi que les commandes exécutées à l'aide duAWS CLI. Pour voir les autorisations connexes pour les commentaires dans les demandes d'extraction, consultez Autorisations pour les actions sur les pull requests.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les commentaires dans les référentiels
CodeCommit Opérations d'API Autorisations requises (Action d'API) Ressources

DeleteCommentContent

codecommit:DeleteCommentContent

Autorisation requise pour supprimer le contenu d'un commentaire effectué sur une modification, un fichier ou une validation dans un référentiel. Les commentaires ne peuvent pas être supprimés, mais le contenu d'un commentaire peut être supprimé par l'utilisateur s'il y est autorisé.

arn:aws:codecommit:region:account-id:repository-name

GetComment

codecommit:GetComment

Obligatoire pour renvoyer des informations sur un commentaire effectué sur une modification, un fichier ou un commit dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

GetCommentReactions

codecommit:GetCommentReactions

Obligatoire pour renvoyer des informations sur les réactions des emoji à un commentaire effectué sur une modification, un fichier ou un commit dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

GetCommentsForComparedCommit

codecommit:GetCommentsForComparedCommit

Obligatoire pour renvoyer des informations sur les commentaires faits lors de la comparaison entre deux validations dans un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

PostCommentForComparedCommit

codecommit:PostCommentForComparedCommit

Nécessaire pour créer un commentaire sur la comparaison entre deux validations dans un CodeCommit dépôt.

arn:aws:codecommit:region:account-id:repository-name

PostCommentReply

codecommit:PostCommentReply

Autorisation requise pour créer une réponse à un commentaire sur une comparaison entre les validations ou sur une demande d'extraction.

arn:aws:codecommit:region:account-id:repository-name

PutCommentReaction

codecommit:PutCommentReaction

Nécessaire pour créer ou mettre à jour une réaction emoji à un commentaire.

arn:aws:codecommit:region:account-id:repository-name

UpdateComment

codecommit:UpdateComment

Autorisation requise pour modifier un commentaire sur une comparaison entre des validations ou sur une demande d'extraction. Les commentaires ne peuvent être modifiés que par leur auteur.

arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur le code validé

Les autorisations suivantes autorisent ou refusent des actions au niveau du code validé dans les référentiels CodeCommit. Ces autorisations concernent les actions effectuées avec la CodeCommit console et l' CodeCommit API, ainsi que les commandes exécutées à l'aide duAWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git. Par exemple, la commande git commit crée une validation pour une branche dans un référentiel au moyen du protocole Git. Il n'est affecté par aucune autorisation pour l' CodeCommit CreateCommitopération.

Le refus explicite de certaines de ces autorisations peut avoir des conséquences inattendues sur la CodeCommit console. Par exemple, la définition de GetTree sur Deny empêche les utilisateurs de naviguer dans le contenu d'un référentiel sur la console, mais ne les empêche pas d'afficher le contenu d'un fichier dans le référentiel (par exemple, si un lien vers le fichier leur est envoyé dans un e-mail). La définition de GetBlob sur Deny empêche les utilisateurs d'afficher le contenu de fichiers, mais ne les empêche pas de naviguer dans la structure d'un référentiel. La définition de GetCommit sur Deny empêche les utilisateurs d'extraire des détails sur des validations. La définition de GetObjectIdentifier sur Deny bloque la plupart des fonctionnalités de navigation dans le code. Si vous définissez ces trois actions sur une stratégie, un utilisateur doté de cette politique ne peut pas parcourir le code dans la CodeCommit console. Deny

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur le code validé
CodeCommit Opérations d'API Autorisations requises (Action d'API) Ressources

BatchGetCommits

codecommit:BatchGetCommits

Autorisation requise pour renvoyer des informations sur une ou plusieurs validations dans un référentiel CodeCommit . Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.

arn:aws:codecommit:region:account-id:repository-name

CreateCommit

codecommit:CreateCommit

Requise pour créer une validation.

arn:aws:codecommit:region:account-id:repository-name

GetCommit

codecommit:GetCommit

Autorisation requise pour renvoyer des informations sur une validation.

arn:aws:codecommit:region:account-id:repository-name

GetCommitHistory

codecommit:GetCommitHistory

Autorisation requise pour renvoyer des informations sur l'historique de validations dans un référentiel. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.

arn:aws:codecommit:region:account-id:repository-name

GetDifferences

codecommit:GetDifferences

Autorisation requise pour renvoyer des informations sur les différences dans des spécificateurs de validation (par exemple, branche, balise, HEAD, ID de validation ou autre référence complète).

arn:aws:codecommit:region:account-id:repository-name

GetObjectIdentifier codecommit:GetObjectIdentifier

Autorisation requise pour obtenir des objets BLOB, des arborescences et des validations par rapport à leur identifiant. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.

arn:aws:codecommit:region:account-id:repository-name

GetReferences codecommit:GetReferences

Autorisation requise pour renvoyer toutes les références, telles que des branches et des balises. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.

arn:aws:codecommit:region:account-id:repository-name

GetTree codecommit:GetTree

Nécessaire pour afficher le contenu d'une arborescence spécifiée dans un CodeCommit référentiel depuis la CodeCommit console. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.

arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les référentiels

Les autorisations suivantes autorisent ou interdisent les actions sur les CodeCommit référentiels. Ces autorisations concernent les actions effectuées avec la CodeCommit console et l' CodeCommit API, ainsi que les commandes exécutées à l'aide duAWS CLI. Elles ne concernent pas les actions similaires qui peuvent être effectuées à l'aide du protocole Git.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les référentiels
CodeCommit Opérations d'API Autorisations requises (Action d'API) Ressources

BatchGetRepositories

codecommit:BatchGetRepositories

Nécessaire pour obtenir des informations sur plusieurs CodeCommit référentiels dans un compte Amazon Web Services. DansResource, vous devez spécifier les noms de tous les CodeCommit référentiels pour lesquels des informations sont autorisées (ou refusées) à un utilisateur.

arn:aws:codecommit:region:account-id:repository-name

CreateRepository

codecommit:CreateRepository

Nécessaire pour créer un CodeCommit référentiel.

arn:aws:codecommit:region:account-id:repository-name

DeleteRepository

codecommit:DeleteRepository

Nécessaire pour supprimer un CodeCommit dépôt.

arn:aws:codecommit:region:account-id:repository-name

GetRepository

codecommit:GetRepository

Autorisation requise pour obtenir des informations sur un référentiel CodeCommit unique.

arn:aws:codecommit:region:account-id:repository-name

ListRepositories codecommit:ListRepositories

Nécessaire pour obtenir la liste des noms et des identifiants système de plusieurs CodeCommit référentiels pour un compte Amazon Web Services. La seule valeur autorisée pour Resource pour cette action est tous les référentiels (*).

*

UpdateRepositoryDescription codecommit:UpdateRepositoryDescription

Nécessaire pour modifier la description d'un CodeCommit dépôt.

arn:aws:codecommit:region:account-id:repository-name

UpdateRepositoryName codecommit:UpdateRepositoryName

Nécessaire pour modifier le nom d'un CodeCommit dépôt. DansResource, vous devez spécifier à la fois les CodeCommit référentiels autorisés à être modifiés et les nouveaux noms de référentiels.

arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les tags

Les autorisations suivantes autorisent ou interdisent les actions sur les AWS balises des CodeCommit ressources.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les balises
CodeCommit Opérations d'API Autorisations requises (Action d'API) Ressources

ListTagsForResource

codecommit:ListTagsForResource

Autorisation requise pour renvoyer des informations sur les balises AWS configurées sur une ressource CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

TagResource

codecommit:TagResource

Autorisation requise pour ajouter ou modifier des balises AWS pour une ressource dans CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

UntagResource

codecommit:UntagResource

Nécessaire pour supprimer les AWS balises d'une ressource dans CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions sur les déclencheurs

Les autorisations suivantes autorisent ou refusent des actions au niveau des déclencheurs pour les référentiels CodeCommit.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions sur les déclencheurs
CodeCommit Opérations d'API Autorisations requises (Action d'API) Ressources

GetRepositoryTriggers

codecommit:GetRepositoryTriggers

Autorisation requise pour renvoyer des informations sur les déclencheurs configurés pour un référentiel.

arn:aws:codecommit:region:account-id:repository-name

PutRepositoryTriggers

codecommit:PutRepositoryTriggers

Autorisation requise pour créer, modifier ou supprimer des déclencheurs pour un référentiel.

arn:aws:codecommit:region:account-id:repository-name

TestRepositoryTriggers

codecommit:TestRepositoryTriggers

Autorisation requise pour tester les fonctionnalités d'un déclencheur de référentiel en envoyant des données à la rubrique ou la fonction configurée pour le déclencheur.

arn:aws:codecommit:region:account-id:repository-name

Autorisations pour les actions relatives à CodePipeline l'intégration

CodePipeline Pour utiliser un CodeCommit référentiel dans une action source pour un pipeline, vous devez accorder toutes les autorisations répertoriées dans le tableau suivant au rôle de service pour CodePipeline. Si ces autorisations ne sont pas définies dans le rôle de service ou sont définies sur Deny, le pipeline ne s'exécute pas automatiquement lorsqu'une modification est apportée au référentiel et les modifications ne peuvent pas être libérées manuellement.

Utilisez les barres de défilement pour voir le reste du tableau.

CodeCommit Opérations d'API et autorisations requises pour les actions d' CodePipeline intégration
CodeCommit Opérations d'API Autorisations requises (Action d'API) Ressources

GetBranch

codecommit:GetBranch

Autorisation requise pour obtenir les détails relatifs à une branche dans un référentiel CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

GetCommit

codecommit:GetCommit

Obligatoire pour renvoyer des informations sur un commit dans le rôle de service pour CodePipeline.

arn:aws:codecommit:region:account-id:repository-name

UploadArchive

codecommit:UploadArchive

Nécessaire pour autoriser le rôle de service CodePipeline à télécharger les modifications du référentiel dans un pipeline. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.

arn:aws:codecommit:region:account-id:repository-name

GetUploadArchiveStatus

codecommit:GetUploadArchiveStatus

Autorisation requise pour déterminer l'état du chargement d'une archive afin de déterminer si elle est en cours, terminée ou annulée, ou si une erreur s'est produite. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API que vous pouvez appeler.

arn:aws:codecommit:region:account-id:repository-name

CancelUploadArchive codecommit:CancelUploadArchive

Autorisation requise pour annuler le chargement d'une archive vers un pipeline. Il s'agit uniquement d'une autorisation de politique IAM, et non d'une action d'API pouvant être appelée.

arn:aws:codecommit:region:account-id:repository-name