Acesso ao repositório entre contas: ações para o administrador na AccountA - AWS CodeCommit
Etapa 1: criar uma política para acesso ao repositório na AccountAEtapa 2: criar uma função para acesso ao repositório na AccountA

O AWS CodeCommit não está mais disponível para novos clientes. Os clientes atuais do AWS CodeCommit podem continuar usando o serviço normalmente. Saiba mais"

Acesso ao repositório entre contas: ações para o administrador na AccountA

Para permitir que os usuários ou grupos na AccountB acessem um repositório na AccountA, o administrador da AccountA deve:

  • Criar uma política na AccountA que concede acesso ao repositório.

  • Criar uma função na AccountA que possa ser assumida por grupos e usuários do IAM na AccountB.

  • Anexe a política ao perfil.

As seções a seguir apresentam etapas e exemplos.

Etapa 1: criar uma política para acesso ao repositório na AccountA

Você pode criar uma política na AccountA que conceda acesso ao repositório na AccountA aos usuários na AccountB. Dependendo do nível de acesso que deseja conceder, execute uma das seguintes ações:

  • Configure a política para permitir que os usuários da AccountB acessem a um repositório específico, mas não permita a visualização da lista de todos os repositórios na AccountA.

  • Configure o acesso adicional para permitir que os usuários da AccountB escolham o repositório em uma lista de todos os repositórios na AccountA.

Para criar uma política para acesso ao repositório

  1. Faça login no Console de Gerenciamento da AWS como um usuário do IAM com permissões para criar políticas na AccountA.

  2. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  3. No painel de navegação, selecione Políticas.

  4. Selecione Criar política.

  5. Escolha a guia JSON e cole o documento de política JSON a seguir na caixa de texto JSON. Substitua us-east-2 pela Região da AWS do repositório, 111122223333 pelo ID de conta da AccountA e MySharedDemoRepo pelo nome do repositório do CodeCommit na AccountA:

    JSON
    {
"Version":"2012-10-17",		 	 	 
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "codecommit:BatchGet*",
            "codecommit:Create*",
            "codecommit:DeleteBranch",
            "codecommit:Get*",
            "codecommit:List*",
            "codecommit:Describe*",
            "codecommit:Put*",
            "codecommit:Post*",
            "codecommit:Merge*",
            "codecommit:Test*",
            "codecommit:Update*",
            "codecommit:GitPull",
            "codecommit:GitPush"
        ],
        "Resource": [
            "arn:aws:codecommit:us-east-2:111122223333:MySharedDemoRepo"
        ]
    }
]
}

    Se você quiser que os usuários assumam essa função para poderem visualizar uma lista de repositórios na página inicial do console do CodeCommit, adicione uma declaração adicional a essa política da seguinte forma:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codecommit:BatchGet*",
                "codecommit:Create*",
                "codecommit:DeleteBranch",
                "codecommit:Get*",
                "codecommit:List*",
                "codecommit:Describe*",
                "codecommit:Put*",
                "codecommit:Post*",
                "codecommit:Merge*",
                "codecommit:Test*",
                "codecommit:Update*",
                "codecommit:GitPull",
                "codecommit:GitPush"
            ],
            "Resource": [
                "arn:aws:codecommit:us-east-2:111122223333:MySharedDemoRepo"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "codecommit:ListRepositories",
            "Resource": "*"
        }
    ]
}

    Esse acesso facilita para os usuários que assumem essa função com essa política a localização do repositório ao qual eles têm acesso. Eles podem escolher o nome do repositório na lista e serem direcionados para a página inicial do repositório compartilhado (Code). Os usuários não podem acessar qualquer um dos outros repositórios exibidos na lista, mas podem visualizar os repositórios na AccountA na página Dashboard.

    Se você não quer permitir que os usuários que assumirem a função possam visualizar uma lista de todos os repositórios na AccountA, use o primeiro exemplo de política, mas certifique-se de enviar a esses usuários um link direto para a página inicial do repositório compartilhado no console do CodeCommit.

  6. Selecione Revisar política. O validador de políticas reporta erros de sintaxe (por exemplo, se você esquecer de substituir o ID da conta da Amazon Web Services e o nome do repositório de exemplo pelo seu ID da conta da Amazon Web Services e nome do repositório).

  7. Na página Review policy (Revisar política), insira um nome para a política (por exemplo, CrossAccountAccessForMySharedDemoRepo). Você também pode fornecer uma descrição opcional para esta política. Selecione Criar política.

Etapa 2: criar uma função para acesso ao repositório na AccountA

Após configurar uma política, crie uma função que grupos e usuários do IAM na AccountB possam assumir e anexe a política a essa função.

Para criar uma função para acesso ao repositório

  1. No console do IAM, selecione Roles (Funções).

  2. Selecione Criar perfil.

  3. Selecionar Outra conta da Amazon Web Services.

  4. Em ID da conta, insira o ID da conta da Amazon Web Services para a AccountB (por exemplo, 888888888888). Escolha Próximo: Permissões.

  5. Em Attach permissions policies, selecione a política que você criou no procedimento anterior (AcessoEntreVáriasContasParaMeuRepoDemoComp). Escolha Próximo: revisar.

  6. Em Role name (Nome da função), insira um nome para a função (por exemplo, MyCrossAccountRepositoryContributorRole). Você também pode inserir uma descrição opcional para ajudar outras pessoas a entenderem a finalidade da função.

  7. Selecione Criar perfil.

  8. Abra a função recém-criada e copie o ARN da função (por exemplo, arn:aws:iam::111122223333:role/MyCrossAccountRepositoryContributorRole). Você precisa fornecer esse ARN para o administrador da AccountB.