Como usar políticas baseadas em identidade (políticas do IAM) no CodeCommit - AWS CodeCommit
Permissões necessárias para usar o console do CodeCommitVisualizar recursos no console

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar políticas baseadas em identidade (políticas do IAM) no CodeCommit

Os seguintes exemplos referem-se a políticas baeadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a identidades do IAM (usuários, grupos e perfis) e conceder permissões para realizar operações em recursos do CodeCommit.

Importante

Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do CodeCommit. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos do CodeCommit.

Tópicos

O seguinte é um exemplo de uma política de permissões com base em identidade: 

{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "codecommit:BatchGetRepositories"
      ],
      "Resource" : [
        "arn:aws:codecommit:us-east-2:111111111111:MyDestinationRepo",
        "arn:aws:codecommit:us-east-2:111111111111:MyDemo*"
      ]
    }
  ]
}

Essa política tem uma declaração que permite a um usuário obter informações sobre o repositório do CodeCommit denominado MyDestinationRepo e todos os repositórios do CodeCommit que começam com o nome MyDemo na região us-east-2.

Permissões necessárias para usar o console do CodeCommit

Para ver as permissões necessárias para cada operação de API do CodeCommit e obter mais informações sobre operações do CodeCommit, consulte Referência de permissões do CodeCommit.

Para permitir que os usuários usem o console do CodeCommit, o administrador deve conceder a eles permissões para ações do CodeCommit. Por exemplo, é possível anexar a política gerenciada AWSCodeCommitPowerUser ou seu equivalente a um usuário ou grupo.

Além das permissões concedidas aos usuários pelas políticas baseadas em identidade, o CodeCommit requer permissões para ações do AWS Key Management Service (AWS KMS). Um usuário do IAM não precisa de permissões Allow explícitas para essas ações, mas não deve ter uma política anexada que defina as seguintes permissões como Deny:

        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"

Para obter mais informações sobre o IAM e o CodeCommit, consulte AWS KMS e criptografia.

Visualizar recursos no console

O console do CodeCommit requer a permissão do ListRepositories para exibir uma lista de repositórios para a sua conta da Amazon Web Services na Região da AWS em que você está conectado. O console também inclui uma função Go to resource (Acessar recurso) para realizar uma pesquisa por recursos que diferencia letras maiúsculas de minúsculas. Essa pesquisa é realizada na sua conta da Amazon Web Services na Região da AWS na qual você está conectado. Os seguintes recursos são exibidos nos seguintes serviços:

  • AWS CodeBuild: projetos de compilação

  • AWS CodeCommit: repositórios

  • AWS CodeDeploy: aplicativos

  • AWS CodePipeline: pipelines

Para realizar essa pesquisa nos recursos em todos os serviços, você deve ter as seguintes permissões:

  • CodeBuild: ListProjects

  • CodeCommit: ListRepositories

  • CodeDeploy: ListApplications

  • CodePipeline: ListPipelines

Os resultados não serão retornados para os recursos de um serviço se você não tiver permissões para esse serviço. Mesmo se você tiver permissões para visualizar recursos, recursos específicos não serão retornados se houver um Deny explícito para visualizar esses recursos.