使用轮换凭证连接到 Amazon CodeCommit 存储库 - Amazon CodeCommit
步骤 1:完成先决条件步骤 2:获取角色名称或访问凭证步骤 3:安装 git-remote-codecommit 并配置 Amazon CLI步骤 4:访问 CodeCommit 存储库
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用轮换凭证连接到 Amazon CodeCommit 存储库

您可以授予用户访问您的 Amazon CodeCommit 存储库的权限,而无需为其配置 IAM 用户或使用访问密钥和秘密密钥。要向联合身份分配权限,您可以创建角色并为角色定义权限。当联合身份进行身份验证时,该身份将与角色相关联并被授予由此角色定义的权限。有关联合身份验证的角色的信息,请参阅《IAM 用户指南》中的 为第三方身份提供商创建角色。您还可以配置基于角色的访问权限,以便 IAM 用户访问不同 Amazon Web Services 账户中的 CodeCommit 存储库(一种称为跨账户存取的技术)。有关配置对存储库的跨账户存取的演练,请参阅使用角色配置对 Amazon CodeCommit 存储库的跨账户访问

当用户想要或必须通过以下方式进行身份验证时,您可以为这些用户配置访问权限:

  • 安全断言标记语言 (SAML)

  • 多重身份验证 (MFA)

  • 联合身份验证

  • Login with Amazon

  • Amazon Cognito

  • Facebook

  • Google

  • OpenID Connect (OIDC) 兼容身份提供商

注意

以下信息仅适用于使用 git-remote-codecommit 或 Amazon CLI 凭证助手连接到 CodeCommit 存储库的情况。由于对 CodeCommit 进行临时访问或联合访问的建议方法是设置 git-remote-codecommit,因此本主题提供了使用该实用程序的示例。有关更多信息,请参阅使用 git-remote-codecommit 建立到 Amazon CodeCommit 的 HTTPS 连接的设置步骤

您无法使用 SSH 或 Git 凭证及 HTTPS 通过轮换或临时访问凭证连接到 CodeCommit 存储库。

如果满足以下所有要求,则不需要完成这些步骤:

已将满足上述要求的 Amazon EC2 实例设为代表您将临时访问凭证传达给 CodeCommit。

注意

您可以在 Amazon EC2 实例上配置和使用 git-remote-codecommit

要允许用户临时访问您的 CodeCommit 存储库,请完成以下步骤。

步骤 1:完成先决条件

完成设置步骤,为用户提供使用轮换凭证访问您的 CodeCommit 存储库的权限:

使用Amazon CodeCommit 的身份验证和访问控制中的信息指定要授予用户的 CodeCommit 权限。

步骤 2:获取角色名称或访问凭证

如果您希望您的用户通过代入角色来访问存储库,请为您的用户提供该角色的 Amazon 资源名称 (ARN)。否则,根据您设置访问权限的方式,您的用户可以通过以下方式之一获得轮换凭证:

步骤 3:安装 git-remote-codecommit 并配置 Amazon CLI

您必须通过安装 git-remote-codecommit 并在 Amazon CLI 中配置一个配置文件来配置本地计算机以使用访问凭证。

  1. 按照设置 中的说明设置 Amazon CLI。使用 aws configure 命令配置一个或多个配置文件。考虑创建一个命名配置文件,以便在使用轮换凭证连接到 CodeCommit 存储库时使用。

  2. 您可以使用下列方法之一将凭证与用户的 Amazon CLI 命名配置文件关联。

    • 如果您通过代入角色来访问 CodeCommit,请使用代入该角色所需的信息配置一个命名配置文件。例如,如果您希望在 Amazon Web Services 账户 111111111111 中代入一个名为 CodeCommitAccess 的角色,则可以配置一个默认配置文件(在使用其他 Amazon 资源时使用)和一个命名配置文件(在代入该角色时使用)。以下命令创建一个名为 CodeAccess 的命名配置文件,该配置文件代入一个名为 CodeCommitAccess 的角色。用户名 Maria_Garcia 与会话关联,默认配置文件设置为其 Amazon 凭证的来源:

      aws configure set role_arn arn:aws:iam::111111111111:role/CodeCommitAccess --profile CodeAccess
aws configure set source_profile default --profile CodeAccess
aws configure set role_session_name "Maria_Garcia" --profile CodeAccess

      如果要验证更改,请手动查看或编辑 ~/.aws/config 文件(适用于 Linux)或 %UserProfile%.aws\config 文件(适用于 Windows),并查看命名配置文件下的信息。例如,您的文件可能如下所示:

      [default]
region = us-east-1
output = json

[profile CodeAccess]
source_profile = default
role_session_name = Maria_Garcia
role_arn = arn:aws:iam::111111111111:role/CodeCommitAccess

      配置您的命名配置文件后,您可以使用此命名配置文件通过 git-remote-codecommit 实用程序克隆 CodeCommit 存储库。例如,要克隆名为 MyDemoRepo 的存储库,请运行以下命令:

      git clone codecommit://CodeAccess@MyDemoRepo

    • 如果您使用的是 Web 联合身份验证和 OpenID Connect (OIDC),请配置代表您进行 Amazon Security Token Service (Amazon STS) AssumeRoleWithWebIdentity API 调用的命名配置文件以刷新临时凭证。使用 aws configure set 命令或手动编辑 ~/.aws/credentials 文件(适用于 Linux)或 %UserProfile%.aws\credentials 文件(适用于 Windows),以添加具有所需设置值的 Amazon CLI 命名配置文件。例如,要创建一个代入 CodeCommitAccess 角色且使用 Web 身份令牌文件 ~/my-credentials/my-token-file 的配置文件,请运行以下命令:

      [CodeCommitWebIdentity]
role_arn = arn:aws:iam::111111111111:role/CodeCommitAccess
web_identity_token_file=~/my-credentials/my-token-file
role_session_name = Maria_Garcia

    有关更多信息,请参阅《Amazon Command Line Interface 用户指南》中的配置 Amazon Command Line Interface使用 Amazon CLI 中的 IAM 角色

步骤 4:访问 CodeCommit 存储库

如果您的用户已按照连接存储库中的说明连接到 CodeCommit 存储库,那么该用户就可以使用 git-remote-codecommit 提供的扩展功能和 Git 调用 git clonegit pushgit pull 来对他或她有权访问的 CodeCommit 存储库执行克隆、推送和提取操作。例如,要克隆存储库:

git clone codecommit://CodeAccess@MyDemoRepo

Git 提交、推送和拉取命令使用常规 Git 语法。

如果用户使用 Amazon CLI 并指定与轮换访问凭证关联的 Amazon CLI 命名配置文件,则所返回结果的范围限定为该配置文件。