O AWS CodeCommit não está mais disponível para novos clientes. Os clientes atuais do AWS CodeCommit podem continuar usando o serviço normalmente. Saiba mais"
Políticas gerenciadas pela AWS para o CodeCommit
Para adicionar permissões a usuários, grupos e perfis, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no Guia do usuário do IAM.
Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspendem suas permissões existentes.
Além disso, a AWS é compatível com políticas gerenciadas por perfis de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess política gerenciada pela AWS fornece acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço executa um novo atributo, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.
AWS A aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. Essas políticas gerenciadas da AWS concedem as permissões necessárias para casos de uso comuns. As políticas gerenciadas para o CodeCommit também fornecem permissões para realizar operações em outros serviços, como o IAM, o Amazon SNS e o Amazon CloudWatch Events, conforme necessário para as responsabilidades dos usuários que receberam a política em questão. Por exemplo, a política AWSCodeCommitFullAccess é uma política de usuário em nível administrativo que permite aos usuários criarem e gerenciarem regras do CloudWatch Events para repositórios (regras cujos nomes iniciam por codecommit) e tópicos do Amazon SNS para notificações sobre eventos relacionados ao repositório (tópicos cujos nomes iniciam por codecommit), bem como administrar repositórios no CodeCommit.
As seguintes políticas gerenciadas pela AWS, que podem ser anexadas a usuários na sua conta, são específicas do CodeCommit.
Tópicos
Política gerenciada pela AWS: AWSCodeCommitFullAccess
É possível anexar a política AWSCodeCommitFullAccess às suas identidades do IAM. Esta política concede o acesso total ao CodeCommit. Aplique esta política somente em usuários em nível administrativo a quem você deseja conceder controle total sobre repositórios do CodeCommit e recursos relacionados na sua conta da Amazon Web Services, incluindo a capacidade de excluir repositórios.
A política AWSCodeCommitFullAccess contém a seguinte declaração de política:
Política gerenciada pela AWS: AWSCodeCommitPowerUser
É possível anexar a política AWSCodeCommitPowerUser às suas identidades do IAM. Esta política permite acessar todas as funcionalidades do CodeCommit e os recursos relacionados ao repositório, mas não permite a exclusão de repositórios do CodeCommit e a criação ou exclusão de recursos relacionados ao repositório em outros serviços da AWS, como o Amazon CloudWatch Events. Recomendamos que você aplique essa política à maioria dos usuários.
A política AWSCodeCommitPowerUser contém a seguinte declaração de política:
Política gerenciada pela AWS: AWSCodeCommitReadOnly
É possível anexar a política AWSCodeCommitReadOnly às suas identidades do IAM. Esta política concede acesso de somente leitura ao CodeCommit e recursos relacionados ao repositório em outros serviços da AWS, bem como a capacidade de criar e gerenciar seus próprios recursos relacionados ao CodeCommit (como credenciais do Git e chaves SSH para o usuário do IAM usar ao acessar repositórios). Aplique essa política aos usuários a quem você deseja conceder a capacidade de ler o conteúdo de um repositório, mas não de fazer alterações a seus conteúdos.
A política AWSCodeCommitReadOnly contém a seguinte declaração de política:
Notificações e políticas gerenciadas pelo CodeCommit
AWS CodeCommitO oferece suporte a notificações que podem notificar os usuários sobre alterações importantes nos repositórios. As políticas gerenciadas pelo CodeCommit incluem declarações de políticas para a funcionalidade de notificação. Para obter mais informações, consulte O que são notificações?.
Permissões relacionadas a notificações em políticas gerenciadas de acesso total
A política gerenciada AWSCodeCommitFullAccess inclui as declarações a seguir para permitir acesso total às notificações. Os usuários com essa política gerenciada aplicada também podem criar e gerenciar tópicos do Amazon SNS para notificações, assinar e cancelar a assinatura de usuários dos tópicos, listar tópicos a serem escolhidos como destinos para regras de notificação e listar clientes do Amazon Q Developer configurados no Slack.
{ "Sid": "CodeStarNotificationsReadWriteAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:DeleteNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codecommit:*"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource," "codestar-notifications:ListEventTypes" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsSNSTopicCreateAccess", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:SetTopicAttributes" ], "Resource": "arn:aws:sns:*:*:codestar-notifications*" }, { "Sid": "CodeStarNotificationsChatbotAccess", "Effect": "Allow", "Action": [ "chatbot:DescribeSlackChannelConfigurations", "chatbot:ListMicrosoftTeamsChannelConfigurations" ], "Resource": "*" }
Permissões relacionadas a notificações em políticas gerenciadas somente leitura
A política gerenciada AWSCodeCommitReadOnlyAccess inclui as declarações a seguir para permitir acesso somente leitura às notificações. Os usuários com essa política gerenciada aplicada podem visualizar notificações de recursos, mas não podem criá-los, gerenciá-los ou assiná-los.
{ "Sid": "CodeStarNotificationsPowerUserAccess", "Effect": "Allow", "Action": [ "codestar-notifications:DescribeNotificationRule" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codecommit:*"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListEventTypes", "codestar-notifications:ListTargets" ], "Resource": "*" }
Permissões relacionadas a notificações em outras políticas gerenciadas
A política gerenciada AWSCodeCommitPowerUser inclui as instruções a seguir para permitir que os usuários criem, editem e assinem notificações. Os usuários não podem excluir regras de notificação nem gerenciar tags de recursos.
{ "Sid": "CodeStarNotificationsReadWriteAccess", "Effect": "Allow", "Action": [ "codestar-notifications:CreateNotificationRule", "codestar-notifications:DescribeNotificationRule", "codestar-notifications:UpdateNotificationRule", "codestar-notifications:DeleteNotificationRule", "codestar-notifications:Subscribe", "codestar-notifications:Unsubscribe" ], "Resource": "*", "Condition" : { "StringLike" : {"codestar-notifications:NotificationsForResource" : "arn:aws:codecommit*"} } }, { "Sid": "CodeStarNotificationsListAccess", "Effect": "Allow", "Action": [ "codestar-notifications:ListNotificationRules", "codestar-notifications:ListTargets", "codestar-notifications:ListTagsforResource", "codestar-notifications:ListEventTypes" ], "Resource": "*" }, { "Sid": "SNSTopicListAccess", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Sid": "CodeStarNotificationsChatbotAccess", "Effect": "Allow", "Action": [ "chatbot:DescribeSlackChannelConfigurations", "chatbot:ListMicrosoftTeamsChannelConfigurations" ], "Resource": "*" }
Para obter mais informações sobre o IAM e as notificações, consulte Identity and Access Management para Notificações do AWS CodeStar.
Políticas gerenciadas AWS CodeCommit e Amazon CodeGuru Reviewer
O CodeCommit é compatível com o Amazon CodeGuru Reviewer, um serviço automatizado de revisão de código que usa análise de programas e machine learning para detectar problemas comuns e recomendar correções em seu código Java ou Python. As políticas gerenciadas do CodeCommit incluem declarações de políticas para a funcionalidade do CodeGuru Reviewer. Para obter mais informações, consulte O que é o Amazon CodeGuru Reviewer.
Permissões relacionadas ao CodeGuru Reviewer em AWSCodeCommitFullAccess
A política gerenciada AWSCodeCommitFullAccess inclui as seguintes declarações para permitir que o CodeGuru Reviewer seja associado e desassociado a repositórios do CodeCommit. Os usuários com essa política gerenciada aplicada também podem visualizar o status da associação entre os repositórios do CodeCommit e o CodeGuru Reviewer, e visualizar o status dos trabalhos de revisão para solicitações pull.
{ "Sid": "AmazonCodeGuruReviewerFullAccess", "Effect": "Allow", "Action": [ "codeguru-reviewer:AssociateRepository", "codeguru-reviewer:DescribeRepositoryAssociation", "codeguru-reviewer:ListRepositoryAssociations", "codeguru-reviewer:DisassociateRepository", "codeguru-reviewer:DescribeCodeReview", "codeguru-reviewer:ListCodeReviews" ], "Resource": "*" }, { "Sid": "AmazonCodeGuruReviewerSLRCreation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/codeguru-reviewer.amazonaws.com/AWSServiceRoleForAmazonCodeGuruReviewer", "Condition": { "StringLike": { "iam:AWSServiceName": "codeguru-reviewer.amazonaws.com" } } }, { "Sid": "CloudWatchEventsManagedRules", "Effect": "Allow", "Action": [ "events:PutRule", "events:PutTargets", "events:DeleteRule", "events:RemoveTargets" ], "Resource": "*", "Condition": { "StringEquals": { "events:ManagedBy": "codeguru-reviewer.amazonaws.com" } } }
Permissões relacionadas ao CodeGuru Reviewer em AWSCodeCommitPowerUser
A política gerenciada AWSCodeCommitPowerUser inclui as seguintes declarações para permitir que os usuários associem e desassociem repositórios com o CodeGuru Reviewer, visualizem o status da associação e o status dos trabalhos de revisão para solicitações pull.
{ "Sid": "AmazonCodeGuruReviewerFullAccess", "Effect": "Allow", "Action": [ "codeguru-reviewer:AssociateRepository", "codeguru-reviewer:DescribeRepositoryAssociation", "codeguru-reviewer:ListRepositoryAssociations", "codeguru-reviewer:DisassociateRepository", "codeguru-reviewer:DescribeCodeReview", "codeguru-reviewer:ListCodeReviews" ], "Resource": "*" }, { "Sid": "AmazonCodeGuruReviewerSLRCreation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/codeguru-reviewer.amazonaws.com/AWSServiceRoleForAmazonCodeGuruReviewer", "Condition": { "StringLike": { "iam:AWSServiceName": "codeguru-reviewer.amazonaws.com" } } }, { "Sid": "CloudWatchEventsManagedRules", "Effect": "Allow", "Action": [ "events:PutRule", "events:PutTargets", "events:DeleteRule", "events:RemoveTargets" ], "Resource": "*", "Condition": { "StringEquals": { "events:ManagedBy": "codeguru-reviewer.amazonaws.com" } } }
Permissões relacionadas ao CodeGuru Reviewer em AWSCodeCommitReadOnly
A política gerenciada AWSCodeCommitReadOnlyAccess inclui as seguintes declarações para permitir acesso somente de leitura ao status da associação do CodeGuru Reviewer e visualizar o status dos trabalhos de revisão para solicitações pull. Os usuários com essa política gerenciada aplicada não podem associar ou desassociar repositórios.
{ "Sid": "AmazonCodeGuruReviewerReadOnlyAccess", "Effect": "Allow", "Action": [ "codeguru-reviewer:DescribeRepositoryAssociation", "codeguru-reviewer:ListRepositoryAssociations", "codeguru-reviewer:DescribeCodeReview", "codeguru-reviewer:ListCodeReviews" ], "Resource": "*" }
Função vinculada ao serviço do Amazon CodeGuru Reviewer
Ao associar um repositório ao CodeGuru Reviewer, uma função vinculada ao serviço é criada para que o CodeGuru Reviewer possa detectar problemas e recomendar correções para código Java ou Python em solicitações pull. A função vinculada ao serviço é denominada AWSServiceRoleForAmazonCodeGuruReviewer. Para obter mais informações, consulte Usar funções vinculadas ao serviço do Amazon CodeGuru Reviewer.
Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.
Atualizações do CodeCommit para políticas gerenciadas pela AWS
Visualizar detalhes sobre atualizações para políticas gerenciadas pela AWS para o CodeCommit desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS em AWS CodeCommitHistórico de documentação do Guia do usuário do .
| Alteração | Descrição | Data |
|---|---|---|
|
Política gerenciada pela AWS: AWSCodeCommitFullAccess e Política gerenciada pela AWS: AWSCodeCommitPowerUser: atualizações em políticas existentes |
O CodeCommit adicionou uma permissão a essas políticas para oferecer suporte a um tipo de notificação adicional usando o Amazon Q Developer em aplicações de chat. As políticas AWSCodeCommitPowerUser e AWSCodeCommitFullAccess foram alteradas para adicionar uma permissão, |
16 de maio de 2023 |
|
Política gerenciada pela AWS: AWSCodeCommitReadOnly: atualização para uma política existente |
O CodeCommit removeu uma permissão duplicada da política. O AWSCodeCommitReadOnly foi alterado para remover uma permissão duplicada, |
18 de agosto de 2021 |
|
O CodeCommit começou a monitorar alterações |
O CodeCommit começou a rastrear alterações para suas políticas gerenciadas pela AWS. |
18 de agosto de 2021 |
