本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置IAM用户
按照以下说明为IAM用户做好使用准备 CodeArtifact。
预置 IAM 用户
-
创建IAM用户,或使用与您关联的用户 AWS 账户。有关更多信息,请参阅IAM用户指南中的创建用户和AWS IAM策略概述。IAM
-
向IAM用户授予访问权限 CodeArtifact。
选项 1:创建自定义IAM策略。使用自定义IAM策略,您可以提供所需的最低权限并更改身份验证令牌的持续时间。有关更多信息以及示例策略,请参阅基于身份的策略示例 AWS CodeArtifact。
选项 2:使用
AWSCodeArtifactAdminAccess
AWS 托管策略。下面的代码段显示了此策略的内容。重要
此政策向所有人授予访问权限 CodeArtifact APIs。建议您始终使用完成任务所需的最低权限。有关更多信息,请参阅《IAM用户指南》中的IAM最佳实践。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "codeartifact:*" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "sts:GetServiceBearerToken", "Resource": "*", "Condition": { "StringEquals": { "sts:AWSServiceName": "codeartifact.amazonaws.com" } } } ] }
注意
必须将sts:GetServiceBearerToken
权限添加到IAM用户或角色策略中。虽然可以将其添加到 CodeArtifact 域或存储库资源策略中,但该权限不会影响资源策略。
需要sts:GetServiceBearerToken
获得许可才能调用 CodeArtifactGetAuthorizationToken
API。这将API返回一个令牌,在使用软件包管理器(例如npm
或with)时必须pip
使用该令牌 CodeArtifact。要在 CodeArtifact 仓库中使用包管理器,您的IAM用户或角色必须允许sts:GetServiceBearerToken
,如前面的策略示例所示。
如果您尚未安装计划使用的包管理器或生成工具 CodeArtifact,请参阅安装程序包管理器或构建工具。