跨账户存储库访问: 管理员在中的操作 AccountB - AWS CodeCommit

跨账户存储库访问: 管理员在中的操作 AccountB

如何允许用户或组 AccountB 以访问 AccountA, AccountB 管理员必须在 AccountB。必须为该组配置策略,以允许组成员承担由 AccountA 管理员。

以下各节提供了步骤和示例。

第1步: 创建 IAM 存储库访问组 AccountB 用户

最简单的管理方式是 IAM 用户 AccountB 可以访问 AccountA 存储库是创建 IAM 组 AccountB 有权在 AccountA,然后添加 IAM 用户到该组。

创建用于跨账户存储库访问的组

  1. 登录 AWS 管理控制台作为 IAM 具有创建所需的权限的用户 IAM 团体和策略,并管理 IAM 用户 AccountB.

  2. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  3. 在 IAM 控制台中,选择

  4. 选择 Create New Group (创建新组)

  5. 英寸 组名称,输入组的名称(例如: DevelopersWithCrossAccountRepositoryAccess)。选择 下一步.

  6. Attach Policy 中,选择 Next Step。您在下一个过程中创建跨账户策略。完成组的创建。

第2步: 创建策略并将用户添加到 IAM 组

既然您有组,请创建政策,允许此组的成员担任授予其在中访问存储库的权限的角色 AccountA。然后将 IAM 用户 AccountB 允许访问 AccountA.

为组创建策略并向组添加用户

  1. 在 IAM 控制台,选择 ,然后选择您刚刚创建的组的名称(例如: DevelopersWithCrossAccountRepositoryAccess).

  2. 选择 Permissions 选项卡。展开内联策略,然后选择用于创建内联策略的链接。(如果您配置的是已拥有内联策略的组,请选择创建组策略。)

  3. 选择 Custom Policy (自定义策略),然后选择 Select (选择)

  4. 英寸 策略名称,输入策略的名称(例如: AccessPolicyForSharedRepository).

  5. Policy Document (策略文档) 中,粘贴以下策略。英寸 Resource,将ARN替换为中的管理员创建的策略的ARN AccountA (例如,arn:aws:iam::111122223333:角色/MyCrossAccountRepositoryContributorRole),然后选择 应用策略. 有关管理员在中创建的策略的更多信息 AccountA,请参阅 第1步: 在中为存储库访问创建策略 AccountA.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::111122223333:role/MyCrossAccountRepositoryContributorRole" } }
  6. 选择 Users 选项卡。选择 将用户添加到组,然后添加 AccountB IAM 用户。例如,您可以添加 IAM 使用用户名的用户 Saanvi_Sarkar 到组。

    注意

    中的用户 AccountB 必须具有程序化访问权限(包括访问密钥和密钥),才能配置本地计算机以访问共享的 CodeCommit 存储库。如果您要创建 IAM 用户,请确保保存访问密钥和私有密钥。为确保您的 AWS 账户的安全,秘密访问密钥仅在您创建它时可用。