Accès au référentiel entre comptes : actions pour l'administrateur dans AccountB

Pour autoriser des utilisateurs ou des groupes dans CompteB à accéder à un référentiel dans CompteA, l'administrateur de CompteB doit créer un groupe dans CompteB. Ce groupe doit être configuré avec une stratégie qui permet aux membres du groupe d'endosser le rôle créé par l'administrateur de CompteA.

Les sections suivantes fournissent les étapes et des exemples.

Étape 1 : créer un IAM groupe pour l'accès au référentiel pour les utilisateurs d'AccountB

La façon la plus simple de gérer les utilisateurs IAM dans CompteB qui peuvent accéder au référentiel dans CompteA consiste à créer un groupe IAM dans CompteB doté de l'autorisation d'endosser le rôle dans CompteA, puis à ajouter les utilisateurs IAM à ce groupe.

Pour créer un groupe pour l'accès entre comptes au référentiel

1. Connectez-vous à la console de AWS gestion en tant qu'IAMutilisateur disposant des autorisations requises pour créer des IAM groupes et des politiques et gérer les IAM utilisateurs dans AccountB.

2. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

3. Dans la console IAM, choisissez Groupes.

4. Choisissez Créer un groupe.

5. Dans Nom du groupe, entrez le nom du groupe (par exemple,DevelopersWithCrossAccountRepositoryAccess). Choisissez Étape suivante.

6. Dans Attacher la stratégie, choisissez Étape suivante. Vous créez la stratégie entre comptes dans la procédure suivante. Terminez la création du groupe.

Étape 2 : créer une politique et ajouter des utilisateurs au IAM groupe

Maintenant que vous disposez d'un groupe, créez la stratégie qui autorise les membres de ce groupe à endosser le rôle qui leur permet d'accéder au référentiel dans CompteA. Ensuite, ajoutez au groupe les utilisateurs IAM figurant dans CompteB auxquels vous voulez autoriser l'accès dans CompteA.

Pour créer une stratégie pour le groupe et y ajouter des utilisateurs

1. Dans la IAM console, choisissez Groupes, puis choisissez le nom du groupe que vous venez de créer (par exemple,DevelopersWithCrossAccountRepositoryAccess).

2. Choisissez l’onglet Permissions (Autorisations). Développez Stratégies en ligne, puis choisissez le lien pour créer une stratégie en ligne. (Si vous configurez un groupe qui possède déjà une stratégie en ligne, choisissez Créer une stratégie de groupe.)

3. Choisissez Custom Policy, puis Select.

4. Dans le champ Nom de la stratégie, entrez un nom de stratégie (par exemple AccessPolicyForSharedRepository).

5. Dans Document de stratégie, collez la stratégie suivante. DansResource, remplacez le ARN par la politique créée par ARN l'administrateur dans AccountA (par exemple, arn:aws:iam : 111122223333 :role/), puis choisissez Appliquer la politique. MyCrossAccountRepositoryContributorRole Pour plus d'informations sur la stratégie créée par l'administrateur dans CompteA, consultez Étape 1 : créer une politique d'accès au référentiel dans AccountA.

   {
     "Version": "2012-10-17",
     "Statement": {
       "Effect": "Allow",
       "Action": "sts:AssumeRole",
       "Resource": "arn:aws:iam::111122223333:role/MyCrossAccountRepositoryContributorRole"
     }
   }

6. Sélectionnez l'onglet Utilisateurs. Choisissez Ajouter des utilisateurs au groupe, puis ajoutez les utilisateurs IAM de CompteB. Par exemple, vous pouvez ajouter au groupe un IAM utilisateur portant le même nom Saanvi_Sarkar d'utilisateur.

   Note

   Les utilisateurs d'AccountB doivent disposer d'un accès programmatique, y compris d'une clé d'accès et d'une clé secrète, pour configurer leurs ordinateurs locaux afin d'accéder au référentiel partagé. CodeCommit Si vous créez des utilisateurs IAM, veillez à enregistrer la clé d'accès et la clé secrète. Pour assurer la sécurité de votre compte AWS , la clé d'accès secrète est accessible uniquement au moment de sa création.