での ID ベースのポリシーの使用 (IAM ポリシー) CodeCommit - AWS CodeCommit
CodeCommit コンソールの使用に必要な許可コンソールでのリソースの表示

AWS CodeCommit は、新しいお客様では利用できなくなりました。 AWS CodeCommit の既存のお客様は、通常どおりサービスを引き続き使用できます。詳細はこちら

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

での ID ベースのポリシーの使用 (IAM ポリシー) CodeCommit

次の ID ベースのポリシーの例は、アカウント管理者が ID (ユーザー、グループ、ロール) IAM にアクセス許可ポリシーをアタッチして、 CodeCommit リソースに対してオペレーションを実行するアクセス許可を付与する方法を示しています。

重要

まず、 CodeCommit リソースへのアクセスを管理するための基本的な概念とオプションを説明する入門トピックを確認することをお勧めします。詳細については、「 CodeCommit リソースへのアクセス許可の管理の概要」を参照してください。

トピック

以下は、アイデンティティベースのアクセス許可ポリシーの例です。

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codecommit:BatchGetRepositories"
      ],
      "Resource" : [
        "arn:aws:codecommit:us-east-2:111111111111:MyDestinationRepo",
        "arn:aws:codecommit:us-east-2:111111111111:MyDemo*"
      ]
    }
  ]
}

このポリシーには、 という名前の CodeCommitリポジトリMyDestinationRepoと、us-east-2リージョンMyDemoの名前で始まるすべての CodeCommit リポジトリに関する情報を取得できる 1 つのステートメントがあります。

CodeCommit コンソールの使用に必要な許可

各 CodeCommit APIオペレーションに必要なアクセス許可、および CodeCommit オペレーションの詳細については、「」を参照してくださいCodeCommit アクセス許可リファレンス

ユーザーが CodeCommit コンソールを使用できるようにするには、管理者は CodeCommit アクションのアクセス許可を付与する必要があります。例えば、AWSCodeCommitPowerUser管理ポリシーまたは同等のポリシーをユーザーまたはグループにアタッチできます。

ID ベースのポリシーによってユーザーに付与されるアクセス許可に加えて、 CodeCommit には AWS Key Management Service (AWS KMS) アクションのアクセス許可が必要です。IAM ユーザーは、これらのアクションに対して明示的なAllowアクセス許可を必要としませんが、次のアクセス許可を に設定するポリシーをアタッチすることはできませんDeny

        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"

暗号化と の詳細については CodeCommit、「」を参照してくださいAWS KMS および暗号化

コンソールでのリソースの表示

CodeCommit コンソールには、サインイン AWS リージョン している で Amazon Web Services アカウントのリポジトリのリストを表示するListRepositoriesアクセス許可が必要です。このコンソールには、大文字と小文字を区別しない検索をリソースに対して迅速に実行するための [Go to resource (リソースに移動)] 機能も含まれています。この検索は、サインイン AWS リージョン している の Amazon Web Services アカウントで実行されます。次のリソースは、以下のサービス全体で表示されます。

  • AWS CodeBuild: ビルドプロジェクト

  • AWS CodeCommit: リポジトリ

  • AWS CodeDeploy: アプリケーション

  • AWS CodePipeline: パイプライン

この検索をすべてのサービスのリソースにわたって実行するには、次のアクセス権限が必要です。

  • CodeBuild: ListProjects

  • CodeCommit: ListRepositories

  • CodeDeploy: ListApplications

  • CodePipeline: ListPipelines

あるサービスに対するアクセス権限がない場合、そのサービスのリソースに関して結果は返されません。リソースを表示するためのアクセス権限がある場合でも、特定のリソースの表示に対する明示的な Deny がある場合にはそれらのリソースは返されません。