ロールを使用して AWS CodeCommit リポジトリにクロスアカウントアクセスを設定する - AWS CodeCommit

ロールを使用して AWS CodeCommit リポジトリにクロスアカウントアクセスを設定する

別の AWS アカウントの IAM ユーザーおよびグループの CodeCommit リポジトリへのアクセスを設定できます。このプロセスはよく、クロスアカウントアクセスと呼ばれます。このセクションでは、AWS アカウント (AccountA と表示) の 米国東部 (オハイオ) リージョンの MySharedDemoRepo という名のリポジトリに対する、別の AWS アカウント (AccountB と表示) の DevelopersWithCrossAccountRepositoryAccess という名の IAM グループに属する IAM ユーザーのクロスアカウントアクセスを設定する例と手順について説明します。

このセクションは、3 つのパートに分かれています。

  • AccountA の管理者用アクション。

  • AccountB の管理者用アクション。

  • AccountB のユーザーリポジトリ用アクション。

クロスアカウントアクセスを設定するには

  • AccountA の管理者は、CodeCommit でリポジトリを作成および管理し、IAM でロールを作成するためのアクセス許可がある IAM ユーザーとしてサインインします。管理ポリシーを使用している場合、この IAM ユーザーに IAM FullAccess および AWSCodeCommitFullAccess を適用します。

    AccountA におけるアカウント ID の例は、111122223333 とします。

  • AccountB の管理者は、IAM ユーザーとグループを作成および管理し、ユーザーとグループにポリシーを設定するためのアクセス許可がある IAM ユーザーとしてサインインします。管理ポリシーを使用している場合、この IAM ユーザーに IAM FullAccess を適用します。

    AccountB におけるアカウント ID の例は、888888888888 とします。

  • AccountB のリポジトリユーザーは、開発者のアクティビティをエミュレートするために、AccountA で CodeCommit リポジトリにアクセスできるように作成された IAM グループのメンバーの IAM ユーザーとしてサインインします。このアカウントは以下のように設定する必要があります。

    • AWS マネジメントコンソールへのアクセス

    • AWS リソースに接続するときに使用するアクセスキーとシークレットキー、および AccountA のリポジトリにアクセスするときに引き受けるロールの ARN。

    • リポジトリのクローンが作成されるローカルコンピュータ上の git-remote-codecommit ユーティリティ。このユーティリティには、Python とそのインストーラ pip が必要です。このユーティリティは、Python パッケージインデックスウェブサイトの git-remote-codecommit からダウンロードできます。

    詳細については、「git-remote-codecommit を使用した AWS CodeCommit への HTTPS 接続の設定手順」および「IAM ユーザー」を参照してください。