IAM ユーザーのプロビジョニング - CodeArtifact

IAM ユーザーのプロビジョニング

以下の手順に従って、CodeArtifact を使用するための IAM ユーザーを準備します。

IAM ユーザーをプロビジョニングするには

  1. IAM ユーザーを作成するか、AWS アカウント に関連付けられた既存のユーザーを使用します。詳細については、「IAM User Guide」の「Creating an IAM user」および「Overview of AWS IAM policies」を参照してください。

  2. IAM ユーザーに CodeArtifact へのアクセス許可を付与します。

    • オプション 1:カスタム IAM ポリシーを作成します。カスタム IAM ポリシーでは、最低限必要なアクセス許可を提供し、認証トークンの持続時間を変更できます。詳細とポリシー例については、「AWS CodeArtifact のアイデンティティベースのポリシー例」を参照してください。

    • オプション 2: AWSCodeArtifactAdminAccess AWS 管理ポリシーを使用する。次のスニペットは、このポリシーの内容を示しています。

      重要

      このポリシーにより、CodeArtifact API へのフルアクセスが付与されます。常に必要最小限のアクセス許可を使用してタスクを達成してください。詳細については、「IAM ユーザーガイド」の「IAM ベストプラクティス」を参照してください。

      JSON
      {
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Action": [
            "codeartifact:*"
         ],
         "Effect": "Allow",
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "sts:GetServiceBearerToken",
         "Resource": "*",
            "Condition": {
               "StringEquals": {
                  "sts:AWSServiceName": "codeartifact.amazonaws.com"
               }
            }
      }
    ]
}
注記

IAM ユーザーまたはロールポリシーに sts:GetServiceBearerToken アクセス許可を追加する必要があります。アクセス許可は、CodeArtifact ドメインまたはリポジトリリソースポリシーに追加できますが、リソースポリシーには効果がありません。

CodeArtifact GetAuthorizationToken API を呼び出すには、sts:GetServiceBearerToken アクセス許可が必要です。この API は、CodeArtifact で npm または pip のようなパッケージマネージャーを使用するときに、使用する必要があるトークンを返します。CodeArtifact リポジトリでパッケージマネージャーを使用するには、IAM ユーザーまたはロールが、上記のポリシー例に示すように sts:GetServiceBearerToken を許可する必要があります。

CodeArtifact で使用する予定のパッケージマネージャーまたはビルドツールをインストールしていない場合は、パッケージマネージャーまたはビルドツールをインストールする を参照してください。