Menggunakan kebijakan berbasis identitas (Kebijakan IAM) untuk CodeCommit - AWS CodeCommit
Izin yang diperlukan untuk menggunakan konsol CodeCommitMenampilkan sumber daya di konsol

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan berbasis identitas (Kebijakan IAM) untuk CodeCommit

Contoh kebijakan berbasis identitas berikut menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (pengguna, grup, dan peran) untuk memberikan izin untuk melakukan operasi pada sumber daya. CodeCommit

penting

Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia untuk mengelola akses ke CodeCommit sumber daya Anda. Untuk informasi selengkapnya, lihat Ikhtisar mengelola izin akses ke sumber daya Anda CodeCommit .

Topik

Berikut ini adalah contoh kebijakan izin berbasis identitas: 

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codecommit:BatchGetRepositories"
      ],
      "Resource" : [
        "arn:aws:codecommit:us-east-2:111111111111:MyDestinationRepo",
        "arn:aws:codecommit:us-east-2:111111111111:MyDemo*"
      ]
    }
  ]
}

Kebijakan ini memiliki satu pernyataan yang memungkinkan pengguna untuk mendapatkan informasi tentang CodeCommit repositori bernama MyDestinationRepo dan semua CodeCommit repositori yang dimulai dengan nama MyDemo di Wilayah. us-east-2

Izin yang diperlukan untuk menggunakan konsol CodeCommit

Untuk melihat izin yang diperlukan untuk setiap operasi CodeCommit API, dan untuk informasi selengkapnya tentang CodeCommit operasi, lihatReferensi izin CodeCommit.

Untuk memungkinkan pengguna menggunakan CodeCommit konsol, administrator harus memberi mereka izin untuk CodeCommit tindakan. Misalnya, Anda dapat melampirkan kebijakan AWSCodeCommitPowerUserterkelola atau yang setara dengan pengguna atau grup.

Selain izin yang diberikan kepada pengguna berdasarkan kebijakan berbasis identitas, CodeCommit memerlukan izin untuk tindakan (). AWS Key Management Service AWS KMS Pengguna IAM tidak perlu izin Allow eksplisit untuk tindakan ini, tetapi pengguna tidak boleh memiliki kebijakan terlampir yang menetapkan izin berikut untuk Deny:

        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"

Untuk informasi selengkapnya tentang enkripsi dan CodeCommit, lihatAWS KMS dan enkripsi.

Menampilkan sumber daya di konsol

CodeCommit Konsol memerlukan ListRepositories izin untuk menampilkan daftar repositori untuk akun Amazon Web Services Anda di Wilayah AWS tempat Anda masuk. Konsol juga termasuk fungsi Pergi ke sumber daya untuk secara cepat melakukan pencarian sensitif huruf besar/kecil untuk sumber daya. Pencarian ini dilakukan di akun Amazon Web Services Anda di Wilayah AWS tempat Anda masuk. Sumber daya berikut ditampilkan di seluruh layanan berikut:

  • AWS CodeBuild: Bangun proyek

  • AWS CodeCommit: Repositori

  • AWS CodeDeploy: Aplikasi

  • AWS CodePipeline: Alur

Untuk melakukan pencarian ini di sumber daya di semua layanan, Anda harus memiliki izin berikut:

  • CodeBuild: ListProjects

  • CodeCommit: ListRepositories

  • CodeDeploy: ListApplications

  • CodePipeline: ListPipelines

Hasil tidak dikembalikan untuk sumber daya layanan jika Anda tidak memiliki izin untuk layanan tersebut. Bahkan jika Anda memiliki izin untuk melihat sumber daya, sumber daya tertentu tidak akan dikembalikan jika ada Deny eksplisit untuk melihat sumber daya tersebut.