Accès au référentiel entre comptes : actions pour l'administrateur dans AccountB

Pour autoriser des utilisateurs ou des groupes dans CompteB à accéder à un référentiel dans CompteA, l'administrateur de CompteB doit créer un groupe dans CompteB. Ce groupe doit être configuré avec une stratégie qui permet aux membres du groupe d'endosser le rôle créé par l'administrateur de CompteA.

Les sections suivantes fournissent les étapes et des exemples.

Étape 1 : créer un IAM groupe pour l'accès au référentiel pour les utilisateurs d'AccountB

Le moyen le plus simple de gérer IAM les utilisateurs autorisés à accéder au référentiel AccountA dans AccountA consiste à créer un groupe IAM dans AccountB autorisé à assumer le rôle dans AccountA, puis à ajouter les utilisateurs à ce groupe. IAM

Pour créer un groupe pour l'accès entre comptes au référentiel

1. Connectez-vous à la console de AWS gestion en tant qu'IAMutilisateur disposant des autorisations requises pour créer des IAM groupes et des politiques et gérer les IAM utilisateurs dans AccountB.

2. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

3. Dans la console IAM, choisissez Groupes.

4. Choisissez Créer un groupe.

5. Dans Nom du groupe, entrez le nom du groupe (par exemple, DevelopersWithCrossAccountRepositoryAccess). Choisissez Next Step.

6. Dans Attacher la stratégie, choisissez Étape suivante. Vous créez la stratégie entre comptes dans la procédure suivante. Terminez la création du groupe.

Étape 2 : créer une politique et ajouter des utilisateurs au IAM groupe

Maintenant que vous disposez d'un groupe, créez la stratégie qui autorise les membres de ce groupe à endosser le rôle qui leur permet d'accéder au référentiel dans CompteA. Ajoutez ensuite au groupe les IAM utilisateurs de AccountB auxquels vous souhaitez autoriser l'accès dans AccountA.

Pour créer une stratégie pour le groupe et y ajouter des utilisateurs

1. Dans la IAM console, choisissez Groupes, puis choisissez le nom du groupe que vous venez de créer (par exemple, DevelopersWithCrossAccountRepositoryAccess).

2. Choisissez l’onglet Permissions (Autorisations). Développez Stratégies en ligne, puis choisissez le lien pour créer une stratégie en ligne. (Si vous configurez un groupe qui possède déjà une stratégie en ligne, choisissez Créer une stratégie de groupe.)

3. Choisissez Custom Policy, puis Select.

4. Dans Nom de la stratégie, entrez le nom de la stratégie (par exemple, AccessPolicyForSharedRepository).

5. Dans Document de stratégie, collez la stratégie suivante. DansResource, remplacez le ARN par la politique créée par ARN l'administrateur dans AccountA (par exemple, arn:aws:iam : :111122223333:rôle/MyCrossAccountRepositoryContributorRole), puis choisissez Appliquer la politique. Pour plus d'informations sur la stratégie créée par l'administrateur dans CompteA, consultez Étape 1 : créer une politique d'accès au référentiel dans AccountA.

   {
     "Version": "2012-10-17",
     "Statement": {
       "Effect": "Allow",
       "Action": "sts:AssumeRole",
       "Resource": "arn:aws:iam::111122223333:role/MyCrossAccountRepositoryContributorRole"
     }
   }

6. Sélectionnez l'onglet Utilisateurs. Choisissez Ajouter des utilisateurs au groupe, puis ajoutez les utilisateurs AccountBIAM. Par exemple, vous pouvez ajouter un IAM utilisateur avec le nom d'utilisateur Saanvi_Sarkar au groupe.

   Note

   Les utilisateurs d'AccountB doivent disposer d'un accès programmatique, y compris d'une clé d'accès et d'une clé secrète, pour configurer leurs ordinateurs locaux afin d'accéder au référentiel partagé. CodeCommit Si vous créez des IAM utilisateurs, veillez à enregistrer la clé d'accès et la clé secrète. Pour assurer la sécurité de votre compte AWS , la clé d'accès secrète est accessible uniquement au moment de sa création.