AWS CodeCommit ya no está disponible para los nuevos clientes. Los clientes existentes de AWS CodeCommit pueden seguir utilizando el servicio con normalidad. Más información"
Políticas administradas de AWS para CodeCommit
Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que le brinden a su equipo solo los permisos necesarios. Para comenzar rápidamente, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información acerca de las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Los servicios de AWS mantienen y actualizan las políticas administradas de AWS. No puede cambiar los permisos en las políticas gestionadas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWScuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan los permisos de una política administrada de AWS, por lo tanto, las actualizaciones de las políticas no deteriorarán los permisos existentes.
Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política administrada de AWS ReadOnlyAccess proporciona acceso de solo lectura a todos los servicios y los recursos de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.
AWS aborda muchos casos de uso comunes dando políticas de IAM independientes creadas y administradas por AWS. Estas políticas administradas de AWS conceden los permisos necesarios para los casos de uso comunes. Las políticas administradas de CodeCommit también proporcionan permisos para realizar operaciones en otros servicios, como IAM, Amazon SNS y eventos de Amazon CloudWatch, según sea necesario para las responsabilidades de los usuarios a los que se conceda la política en cuestión. Por ejemplo, la política AWSCodeCommitFullAccess es una política de usuario de nivel administrativo que permite a los usuarios crear y administrar reglas de eventos de CloudWatch para los repositorios (reglas cuyos nombres llevan el prefijo codecommit) y temas de Amazon SNS para notificaciones sobre eventos relacionados con el repositorio (temas cuyos nombres llevan el prefijo codecommit), así como administrar repositorios en CodeCommit.
Las siguientes políticas administradas por AWS, que pueden asociarse a los usuarios de la cuenta, son específicas de CodeCommit.
Temas
Política administrada de AWS: AWSCodeCommitFullAccess
Puede adjuntar la política AWSCodeCommitFullAccess a las identidades de IAM. La política concede acceso total a CodeCommit. Aplique esta política únicamente a los usuarios de nivel administrativo a los que desea conceder un control completo sobre los repositorios de CodeCommit y los recursos relacionados de su cuenta de Amazon Web Services, incluida la posibilidad de eliminar repositorios.
La política AWSCodeCommitFullAccess contiene la siguiente declaración de política:
Política administrada de AWS: AWSCodeCommitPowerUser
Puede adjuntar la política AWSCodeCommitPowerUser a las identidades de IAM. Esta política permite a los usuarios acceder a todas las funciones de CodeCommit y a los recursos relacionados con los repositorios, pero no les permite eliminar repositorios de CodeCommit ni crear o eliminar recursos relacionados con los repositorios en otros servicios de AWS, como eventos de Amazon CloudWatch. Le recomendamos que aplique esta política a la mayoría de los usuarios.
La política AWSCodeCommitPowerUser contiene la siguiente declaración de política:
Política administrada de AWS: AWSCodeCommitReadOnly
Puede adjuntar la política AWSCodeCommitReadOnly a las identidades de IAM. Esta política concede acceso de solo lectura a CodeCommit y los recursos relacionados con el repositorio en otros servicios de AWS, así como la posibilidad de crear y administrar sus propios recursos relacionados con CodeCommit (como, por ejemplo, credenciales de Git y claves SSH para su usuario de IAM para utilizarlas cuando se obtiene acceso a los repositorios). Aplique esta política a los usuarios a los que desea conceder la capacidad de leer el contenido de un repositorio, pero no realizar ningún cambio en su contenido.
La política AWSCodeCommitReadOnly contiene la siguiente declaración de política:
Políticas administradas y notificaciones de CodeCommit
AWS CodeCommit admite notificaciones, que pueden notificar a los usuarios los cambios importantes en los repositorios. La políticas administradas de CodeCommit incluyen instrucciones de políticas para la funcionalidad de notificación. Para obtener más información, consulte ¿Qué son las notificaciones?
Permisos relacionados con las notificaciones en políticas administradas de acceso total
La política administrada AWSCodeCommitFullAccess incluye las siguientes instrucciones para permitir el acceso completo a las notificaciones. Los usuarios con esta política administrada aplicada también pueden crear y administrar temas de Amazon SNS para notificaciones, suscribirse y cancelar la suscripción de los usuarios a los temas, mostrar los temas que se pueden elegir como destinos para las reglas de notificación y mostrar Amazon Q Developer en los clientes de aplicaciones de chat configurados para Slack.
{ "Sid": "CodeStarNotificationsReadWriteAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:DeleteNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codecommit:*"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource," "codestar-notifications:ListEventTypes" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsSNSTopicCreateAccess", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:SetTopicAttributes" ], "Resource": "arn:aws:sns:*:*:codestar-notifications*" }, { "Sid": "CodeStarNotificationsChatbotAccess", "Effect": "Allow", "Action": [ "chatbot:DescribeSlackChannelConfigurations", "chatbot:ListMicrosoftTeamsChannelConfigurations" ], "Resource": "*" }
Permisos relacionados con las notificaciones en políticas administradas de solo lectura
La política administrada AWSCodeCommitReadOnlyAccess incluye las siguientes instrucciones para permitir el acceso de solo lectura a las notificaciones. Los usuarios con esta política administrada aplicada pueden ver notificaciones de recursos, pero no pueden crearlas, administrarlas ni suscribirse a ellas.
{ "Sid": "CodeStarNotificationsPowerUserAccess", "Effect": "Allow", "Action": [ "codestar-notifications:DescribeNotificationRule" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codecommit:*"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListEventTypes", "codestar-notifications:ListTargets" ], "Resource": "*" }
Permisos relacionados con las notificaciones en otras políticas administradas
La política AWSCodeCommitPowerUser administrada incluye las siguientes instrucciones para que los usuarios puedan crear notificaciones, editarlas y suscribirse a ellas. Los usuarios no pueden eliminar reglas de notificación ni administrar etiquetas para recursos.
{ "Sid": "CodeStarNotificationsReadWriteAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:DeleteNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codecommit*"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource", "codestar-notifications:ListEventTypes" ], "Resource": "*" }, { "Sid": "SNSTopicListAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsChatbotAccess", "Effect": "Allow", "Action": [ "chatbot:DescribeSlackChannelConfigurations", "chatbot:ListMicrosoftTeamsChannelConfigurations" ], "Resource": "*" }
Para obtener más información acerca de IAM y las notificaciones consulte Administración de identidades y accesos para Notificaciones de AWS CodeStar.
Políticas administradas de AWS CodeCommit y revisor de Amazon CodeGuru
CodeCommit admite el revisor de Amazon CodeGuru, un servicio automatizado de revisión de código que utiliza el análisis de programas y el machine learning para detectar problemas comunes y recomendar correcciones en el código Java o Python. Las políticas administradas para CodeCommit incluyen instrucciones de política para la funcionalidad de revisor de CodeGuru. Para más información, consulte ¿Qué es el revisor de Amazon CodeGuru?
Permisos relacionados con el revisor de CodeGuru en AWSCodeCommitFullAccess
La política administrada de AWSCodeCommitFullAccess incluye las siguientes instrucciones para permitir que CodeGuru se asocie y desasocie con los repositorios de CodeCommit. Los usuarios con esta política gestionada aplicada también pueden ver el estado de asociación entre los repositorios de CodeCommit y CodeGuru Reviewer y ver el estado de los trabajos de revisión de las solicitudes de cambios.
{ "Sid": "AmazonCodeGuruReviewerFullAccess", "Effect": "Allow", "Action": [ "codeguru-reviewer:AssociateRepository", "codeguru-reviewer:DescribeRepositoryAssociation", "codeguru-reviewer:ListRepositoryAssociations", "codeguru-reviewer:DisassociateRepository", "codeguru-reviewer:DescribeCodeReview", "codeguru-reviewer:ListCodeReviews" ], "Resource": "*" }, { "Sid": "AmazonCodeGuruReviewerSLRCreation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/codeguru-reviewer.amazonaws.com/AWSServiceRoleForAmazonCodeGuruReviewer", "Condition": { "StringLike": { "iam:AWSServiceName": "codeguru-reviewer.amazonaws.com" } } }, { "Sid": "CloudWatchEventsManagedRules", "Effect": "Allow", "Action": [ "events:PutRule", "events:PutTargets", "events:DeleteRule", "events:RemoveTargets" ], "Resource": "*", "Condition": { "StringEquals": { "events:ManagedBy": "codeguru-reviewer.amazonaws.com" } } }
Permisos relacionados con el revisor de CodeGuru en AWSCodeCommitPowerUser
La política administrada de AWSCodeCommitPowerUser incluye las instrucciones siguientes para permitir a los usuarios asociar y desasociar repositorios con el revisor de CodeGuru, ver el estado de asociación y de los trabajos de revisión para las solicitudes de extracción.
{ "Sid": "AmazonCodeGuruReviewerFullAccess", "Effect": "Allow", "Action": [ "codeguru-reviewer:AssociateRepository", "codeguru-reviewer:DescribeRepositoryAssociation", "codeguru-reviewer:ListRepositoryAssociations", "codeguru-reviewer:DisassociateRepository", "codeguru-reviewer:DescribeCodeReview", "codeguru-reviewer:ListCodeReviews" ], "Resource": "*" }, { "Sid": "AmazonCodeGuruReviewerSLRCreation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/codeguru-reviewer.amazonaws.com/AWSServiceRoleForAmazonCodeGuruReviewer", "Condition": { "StringLike": { "iam:AWSServiceName": "codeguru-reviewer.amazonaws.com" } } }, { "Sid": "CloudWatchEventsManagedRules", "Effect": "Allow", "Action": [ "events:PutRule", "events:PutTargets", "events:DeleteRule", "events:RemoveTargets" ], "Resource": "*", "Condition": { "StringEquals": { "events:ManagedBy": "codeguru-reviewer.amazonaws.com" } } }
Permisos relacionados con el revisor de CodeGuru en AWSCodeCommitReadOnly
La política administrada de AWSCodeCommitReadOnlyAccess incluye las siguientes instrucciones para permitir el acceso de solo lectura al estado de la asociación del revisor de CodeGuru y ver el estado de los trabajos de revisión de las solicitudes de extracción. Los usuarios a los que se ha aplicado esta política administrada no pueden asociar ni desasociar repositorios.
{ "Sid": "AmazonCodeGuruReviewerReadOnlyAccess", "Effect": "Allow", "Action": [ "codeguru-reviewer:DescribeRepositoryAssociation", "codeguru-reviewer:ListRepositoryAssociations", "codeguru-reviewer:DescribeCodeReview", "codeguru-reviewer:ListCodeReviews" ], "Resource": "*" }
Rol vinculado al servicio del revisor de Amazon CodeGuru
Cuando asocia un repositorio con el revisor de CodeGuru, se crea un rol vinculado a servicio para que el revisor de CodeGuru pueda detectar los problemas y recomendar correcciones para el código Java o Python en las solicitudes de extracción. El rol vinculado a un servicio se denomina AWSServiceRoleForAmazonCodeGuruReviewer. Para obtener más información, consulte Uso de roles vinculados a servicios para el revisor de Amazon CodeGuru.
Para más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Actualizaciones de CodeCommit para las políticas administradas de AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para CodeCommit desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en AWS CodeCommitHistorial de revisiones de la guía del usuario de .
| Cambio | Descripción | Fecha |
|---|---|---|
|
Política administrada de AWS: AWSCodeCommitFullAccess y Política administrada de AWS: AWSCodeCommitPowerUser: actualización de políticas existentes |
CodeCommit ha añadido un permiso a estas políticas para admitir un tipo de notificación adicional usando Amazon Q Developer en las aplicaciones de chat. Se han modificado las políticas AWSCodeCommitPowerUser y AWSCodeCommitFullAccess para añadir un permiso, |
16 de mayo de 2023 |
|
Política administrada de AWS: AWSCodeCommitReadOnly: actualización de una política actual |
CodeCommit ha eliminado un permiso duplicado de la política. Se ha cambiado el archivo AWSCodeCommitReadOnly para eliminar un permiso duplicado, |
18 de agosto de 2021 |
|
CodeCommit ha comenzado a realizar un seguimiento de los cambios |
CodeCommit ha comenzado a realizar un seguimiento de los cambios de las políticas administradas de AWS. |
18 de agosto de 2021 |
