CodeCommit 权限参考 - AWS CodeCommit
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

CodeCommit 权限参考

下表列出了每个 CodeCommit API 操作、您可授予执行权限的对应操作以及用于授予权限的资源 ARN 的格式。根据 API 允许的操作范围CodeCommitAPIs将 分组到表中。在设置访问控制和编写可附加到 IAM 身份的权限策略(基于身份的策略)时,可参考此表。

在创建权限策略时,可以在策略的 Action 字段中指定操作。在策略的 Resource 字段中以 ARN 的形式指定资源值,可以使用或不使用通配符 (*)。

要在 CodeCommit 策略中表示条件,可以使用 AWS 范围条件键。有关 AWS 范围内的密钥的完整列表,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys 中的IAM 用户指南可用密钥.

注意

要指定操作,请在 API 操作名称之前使用 codecommit: 前缀 (例如,codecommit:GetRepositorycodecommit:CreateRepository.

使用通配符

要指定多个操作或资源,可以在 ARN 中使用通配符 (*)。例如, codecommit:* 指定所有 CodeCommit 操作, codecommit:Get* 指定以单词 开头的所有 CodeCommit 操作Get。 以下示例授予对名称以 开头的所有存储库的访问权限MyDemo

arn:aws:codecommit:us-west-2:111111111111:MyDemo*

只能对 使用通配符 repository-name 下表列出了 资源。不能对 使用通配符 region 或者 account-id 资源的费用。有关通配符的更多信息,请参阅 IAM 中的 IAM 用户指南 标识符.

Git 客户端命令所需的权限

在 CodeCommit 中,GitPull IAM 策略权限适用于从 CodeCommit 检索数据的任何 Git 客户端命令,包括 git fetchgit clone 等。同样,GitPush IAM 策略权限适用于将数据发送到 CodeCommit. 的任何 Git 客户端命令。例如,如果 GitPush IAM 策略权限设置为 Allow,则用户可以使用 Git 协议推送分支删除。对该 DeleteBranch 用户的 IAM 操作应用的任何权限都不会影响推送。DeleteBranch 权限适用于使用 控制台AWS CLI、、 SDKs和 API 执行的操作,但不适用于使用 Git 协议执行的操作。

GitPullGitPush 是 IAM 策略权限。它们不是 API 操作。

使用滚动条查看表的其余部分。

CodeCommit 必需的 Git 客户端命令操作权限
CodeCommit 的 Git 权限 所需权限 资源

GitPull

codecommit:GitPull

将信息从 CodeCommit 存储库拉取到本地存储库时是必需的。这只是一种 IAM 策略权限,不是 API 操作。

arn:aws:codecommit:region:account-id:repository-name

GitPush

codecommit:GitPush

将信息从本地存储库推送到 CodeCommit 存储库时是必需的。这只是一种 IAM 策略权限,不是 API 操作。

注意

如果您创建一条策略,其中包含一个上下文键和一个 Deny 语句,该语句包含此权限,则该策略还必须包含 Null 上下文。有关更多信息,请参阅限制推送和合并到 中的分支 AWS CodeCommit.

arn:aws:codecommit:region:account-id:repository-name

对分支执行操作的权限

以下权限允许或拒绝对 CodeCommit 存储库中的分支执行操作。这些权限只与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 AWS CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。例如,git show-branch -r 命令使用 Git 协议显示存储库的远程分支及其提交的列表。它不受任何 CodeCommit ListBranches 操作权限影响。

使用滚动条查看表的其余部分。

CodeCommit API 操作和必需的分支操作权限
CodeCommit API 分支操作 所需权限(API 操作) 资源

CreateBranch

codecommit:CreateBranch

在 CodeCommit 存储库中创建分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name

DeleteBranch

codecommit:DeleteBranch

从 CodeCommit 存储库中删除分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetBranch

codecommit:GetBranch

获取有关 CodeCommit 存储库中某个分支的详细信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

ListBranches

codecommit:ListBranches

获取 CodeCommit 存储库中分支的列表时是必需的。

arn:aws:codecommit:region:account-id:repository-name

MergeBranchesByFastForward

codecommit:MergeBranchesByFastForward

在 CodeCommit 存储库中使用快进合并策略合并两个分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name
MergeBranchesBySquash

codecommit:MergeBranchesBySquash

在 CodeCommit 存储库中使用压缩合并策略合并两个分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name
MergeBranchesByThreeWay

codecommit:MergeBranchesByThreeWay

在 CodeCommit 存储库中使用三向合并策略合并两个分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdateDefaultBranch codecommit:UpdateDefaultBranch

更改 CodeCommit 存储库中的默认分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name

合并操作的权限

以下权限允许或拒绝对 CodeCommit 存储库中的合并执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 AWS CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。有关分支的相关权限,请参阅对分支执行操作的权限. 有关拉取请求的相关权限,请参阅对拉取请求执行操作的权限.

使用滚动条查看表的其余部分。

CodeCommit合并命令操作所需的 权限
CodeCommit合并的 权限 所需权限 资源

BatchDescribeMergeConflicts

codecommit:BatchDescribeMergeConflicts

返回有关 CodeCommit 存储库中的提交之间的合并冲突的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

CreateUnreferencedMergeCommit

codecommit:CreateUnreferencedMergeCommit

在 CodeCommit 存储库中的两个分支或提交之间创建未引用的提交以进行比较和找出任何潜在冲突时是必需的。

arn:aws:codecommit:region:account-id:repository-name

DescribeMergeConflicts

codecommit:DescribeMergeConflicts

返回有关 CodeCommit 存储库中的潜在合并中的文件的基本、源和目标版本之间的合并冲突的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetMergeCommit

codecommit:GetMergeCommit

返回有关 CodeCommit 存储库中的源和目标提交之间的合并的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetMergeOptions

codecommit:GetMergeOptions

返回有关 CodeCommit 存储库中的两个分支或提交说明符之间的可用合并选项的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

对拉取请求执行操作的权限

以下权限允许或拒绝对 CodeCommit 存储库中的拉取请求执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 AWS CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。有关相关评论权限,请参阅对注释执行操作的权限.

使用滚动条查看表的其余部分。

CodeCommit API 操作和必需的拉取请求操作权限
CodeCommit API 操作 所需权限(API 操作) 资源

BatchGetPullRequests

codecommit:BatchGetPullRequests

返回有关 CodeCommit 存储库中一个或多个拉取请求的信息时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

CreatePullRequest

codecommit:CreatePullRequest

在 CodeCommit 存储库中创建拉取请求时是必需的。

arn:aws:codecommit:region:account-id:repository-name

CreatePullRequestApprovalRule

codecommit:CreatePullRequestApprovalRule

在 CodeCommit 存储库中为拉取请求创建审批规则时是必需的。

arn:aws:codecommit:region:account-id:repository-name

DeletePullRequestApprovalRule

codecommit:DeletePullRequestApprovalRule

在 CodeCommit 存储库中删除拉取请求的审批规则时是必需的。

arn:aws:codecommit:region:account-id:repository-name

DescribePullRequestEvents 返回有关 CodeCommit 存储库中的一个或多个拉取请求事件的信息时是必需的。 arn:aws:codecommit:region:account-id:repository-name
EvaluatePullRequestApprovalRules

codecommit:EvaluatePullRequestApprovalRules

评估拉取请求是否满足 CodeCommit 存储库中关联的审批规则指定的所有条件时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommentsForPullRequest

codecommit:GetCommentsForPullRequest

返回对拉取请求的评论时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommitsFromMergeBase

codecommit:GetCommitsFromMergeBase

返回潜在合并上下文中各提交之间的差异的相关信息时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

GetMergeConflicts

codecommit:GetMergeConflicts

返回有关拉取请求中的源分支和目标分支之间的合并冲突的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetPullRequest

codecommit:GetPullRequest

返回有关拉取请求的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetPullRequestApprovalStates

codecommit:GetPullRequestApprovalStates

返回有关指定拉取请求的审批状态的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetPullRequestOverrideState

codecommit:GetPullRequestOverrideState

返回有关是否已为拉取请求留出(覆盖)审批规则的信息时是必需的,如果是,则返回覆盖规则的用户或身份的 Amazon 资源名称 (ARN) 及其对拉取请求的要求。

arn:aws:codecommit:region:account-id:repository-name

ListPullRequests

codecommit:ListPullRequests

返回有关存储库的拉取请求的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

MergePullRequestByFastForward codecommit:MergePullRequestByFastForward

关闭拉取请求并尝试使用快进合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name

MergePullRequestBySquash codecommit:MergePullRequestBySquash

关闭拉取请求并尝试使用压缩合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name

MergePullRequestByThreeWay codecommit:MergePullRequestByThreeWay

关闭拉取请求并尝试使用三向合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name

OverridePullRequestApprovalRules codecommit:OverridePullRequestApprovalRules

在 CodeCommit 存储库中为拉取请求留出所有审批规则要求时是必需的。

arn:aws:codecommit:region:account-id:repository-name

PostCommentForPullRequest codecommit:PostCommentForPullRequest

在 CodeCommit 存储库中对拉取请求发布评论时是必需的。

arn:aws:codecommit:region:account-id:repository-name

UpdatePullRequestApprovalRuleContent codecommit:UpdatePullRequestApprovalRuleContent

在 CodeCommit 存储库中更改拉取请求的审批规则结构时是必需的。

arn:aws:codecommit:region:account-id:repository-name

UpdatePullRequestApprovalState codecommit:UpdatePullRequestApprovalState

在 CodeCommit 存储库中更改拉取请求的审批状态时是必需的。

arn:aws:codecommit:region:account-id:repository-name

UpdatePullRequestDescription codecommit:UpdatePullRequestDescription

更改 CodeCommit 存储库中拉取请求的说明时是必需的。

arn:aws:codecommit:region:account-id:repository-name

UpdatePullRequestStatus codecommit:UpdatePullRequestStatus

更改 CodeCommit 存储库中拉取请求的状态时是必需的。

arn:aws:codecommit:region:account-id:repository-name

UpdatePullRequestTitle codecommit:UpdatePullRequestTitle

更改 CodeCommit 存储库中拉取请求的标题时是必需的。

arn:aws:codecommit:region:account-id:repository-name

对审批规则模板执行操作的权限

以下权限允许或拒绝对 CodeCommit 存储库中的审批规则模板执行操作。这些权限只与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 AWS CLI. 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。有关拉取请求的相关权限,请参阅对拉取请求执行操作的权限.

使用滚动条查看表的其余部分。

CodeCommit对审批规则模板执行操作的 API 操作和所需权限
CodeCommit审批规则模板的 API 操作 所需权限 资源

AssociateApprovalRuleTemplateWithRepository

codecommit:AssociateApprovalRuleTemplateWithRepository

将模板与 AWS 账户中的指定存储库关联时是必需的。关联后,此操作会根据在指定存储库中创建的每个拉取请求的模板条件,自动创建与之匹配的审批规则。

*

BatchAssociateApprovalRuleTemplateWithRepositories

codecommit:BatchAssociateApprovalRuleTemplateWithRepositories

将模板与 AWS 账户中的一个或多个指定存储库关联时是必需的。

*

BatchDisassociateApprovalRuleTemplateFromRepositories

codecommit:BatchDisassociateApprovalRuleTemplateFromRepositories

取消模板与 AWS 账户中的一个或多个指定存储库的关联时是必需的。

*

CreateApprovalRuleTemplate

codecommit:CreateApprovalRuleTemplate

创建随后可与 AWS 账户中的一个或多个存储库关联的审批规则模板时是必需的。

*

DeleteApprovalRuleTemplate

codecommit:DeleteApprovalRuleTemplate

删除 AWS 账户中的指定模板时是必需的。它不会删除已使用模板创建的拉取请求的审批规则。

*

DisassociateApprovalRuleTemplateFromRepository

codecommit:DisassociateApprovalRuleTemplateFromRepository

取消指定模板与 AWS 账户中的存储库的关联时是必需的。它不会删除已使用模板创建的拉取请求的审批规则。

*

GetApprovalRuleTemplate

codecommit:GetApprovalRuleTemplate

返回有关 AWS 账户中审批规则模板的信息时是必需的。

*

ListApprovalRuleTemplates

codecommit:ListApprovalRuleTemplates

列出 AWS 账户中的审批规则模板时是必需的。

*

ListAssociatedApprovalRuleTemplatesForRepository

codecommit:ListAssociatedApprovalRuleTemplatesForRepository

列出与 AWS 账户中的指定存储库关联的所有审批规则模板时是必需的。

*

ListRepositoriesForApprovalRuleTemplate

codecommit:ListRepositoriesForApprovalRuleTemplate

列出与 AWS 账户中的指定审批规则模板关联的所有存储库时是必需的。

*

UpdateApprovalRuleTemplateContent

codecommit:UpdateApprovalRuleTemplateContent

更新 AWS 账户中的审批规则模板的内容时是必需的。

*

UpdateApprovalRuleTemplateDescription

codecommit:UpdateApprovalRuleTemplateDescription

更新 AWS 账户中的审批规则模板的描述时是必需的。

*

UpdateApprovalRuleTemplateName

codecommit:UpdateApprovalRuleTemplateName

更新 AWS 账户中的审批规则模板的名称时是必需的。

*

对单个文件执行操作的权限

以下权限允许或拒绝对 CodeCommit 存储库中的单个文件执行操作。这些权限只与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 AWS CLI. 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。例如,git push 命令通过使用 Git 协议将新文件和更改后的文件推送到 CodeCommit 存储库。它不受任何 CodeCommit PutFile 操作权限影响。

使用滚动条查看表的其余部分。

CodeCommit单个文件上的 API 操作和必需的操作权限
CodeCommit对单个文件的 API 操作 所需权限 资源

DeleteFile

codecommit:DeleteFile

在 CodeCommit 控制台中删除 CodeCommit 存储库中指定分支中的指定文件时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetBlob

codecommit:GetBlob

在 CodeCommit 控制台中查看 CodeCommit 存储库中单个文件的编码内容时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetFile

codecommit:GetFile

在 CodeCommit 控制台中查看 CodeCommit 存储库中单个文件及其元数据的编码内容时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetFolder

codecommit:GetFolder

在 CodeCommit 控制台中查看 CodeCommit 存储库中指定文件夹的内容时是必需的。

arn:aws:codecommit:region:account-id:repository-name

PutFile

codecommit:PutFile

对于从 CodeCommit 控制台、CodeCommit API 或 CodeCommit 将新文件或修改后的文件添加到 AWS CLI. 存储库是必需的。

arn:aws:codecommit:region:account-id:repository-name

对注释执行操作的权限

以下权限允许或拒绝对 CodeCommit 存储库中的评论执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 AWS CLI 执行的命令有关。有关对拉取请求中的评论的相关权限,请参阅对拉取请求执行操作的权限.

使用滚动条查看表的其余部分。

CodeCommit API 操作和必需的存储库评论权限
CodeCommit API 操作 所需权限(API 操作) 资源

DeleteCommentContent

codecommit:DeleteCommentContent

删除对存储库中的更改、文件或提交做出的评论的内容时是必需的。评论无法删除,但如果用户拥有此权限,则可以删除评论内容。

arn:aws:codecommit:region:account-id:repository-name

GetComment

codecommit:GetComment

返回有关对 CodeCommit 存储库中的更改、文件或提交做出的评论的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommentReactions

codecommit:GetCommentReactions

返回有关对CodeCommit存储库中的更改、文件或提交做出的评论的表情符号反应的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommentsForComparedCommit

codecommit:GetCommentsForComparedCommit

返回有关对某一 CodeCommit 存储库中的两个提交之间的比较做出的评论的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

PostCommentForComparedCommit

codecommit:PostCommentForComparedCommit

对某一 CodeCommit 存储库中的两个提交之间的比较创建评论时是必需的。

arn:aws:codecommit:region:account-id:repository-name

PostCommentReply

codecommit:PostCommentReply

对评论之间的比较或拉取请求的评论创建回复时是必需的。

arn:aws:codecommit:region:account-id:repository-name

PutCommentReaction

codecommit:PutCommentReaction

创建或更新对评论的表情符号反应所必需的。

arn:aws:codecommit:region:account-id:repository-name

UpdateComment

codecommit:UpdateComment

对评论之间的比较或拉取请求的评论进行编辑时是必需的。只有评论作者可以编辑评论。

arn:aws:codecommit:region:account-id:repository-name

对已提交代码执行操作的权限

以下权限允许或拒绝对已提交到 CodeCommit 存储库的代码执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 AWS CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。例如,git commit 命令使用 Git 协议为存储库中的分支创建提交。它不受任何 CodeCommit CreateCommit 操作权限的影响。

显式拒绝这些权限中的某些权限可能会在 CodeCommit 控制台中导致意外后果。例如,将 GetTree 设置为 Deny 将阻止用户在控制台中浏览存储库的内容,但不会阻止用户查看存储库中文件的内容 (例如,用户可以打开并浏览以电子邮件方式发来的文件链接)。将 GetBlob 设置为 Deny 将阻止用户查看文件的内容,但不会阻止用户浏览存储库的结构。将 GetCommit 设置为 Deny 将阻止用户检索有关提交的详细信息。将 GetObjectIdentifier 设置为 Deny 将阻止大部分代码浏览功能。如果在策略中将所有这三个操作都设为 Deny,则具有该策略的用户无法在 CodeCommit 控制台中浏览代码。

使用滚动条查看表的其余部分。

CodeCommitAPI 操作和必需的已提交代码操作权限
CodeCommit API 操作 所需权限(API 操作) 资源

BatchGetCommits

codecommit:BatchGetCommits

返回有关 CodeCommit 存储库中的一个或多个提交的信息时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

CreateCommit

codecommit:CreateCommit

创建提交时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommit

codecommit:GetCommit

返回有关提交的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommitHistory

codecommit:GetCommitHistory

返回有关存储库中提交历史记录的信息时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

GetDifferences

codecommit:GetDifferences

返回有关提交说明符 (如分支、标签、HEAD、提交 ID 或其他完全限定引用) 差异的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetObjectIdentifier codecommit:GetObjectIdentifier

将 blob、树和提交解析为其标识符时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

GetReferences codecommit:GetReferences

返回所有引用 (如分支和标签) 时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

GetTree codecommit:GetTree

在 CodeCommit 控制台中查看 CodeCommit 存储库中指定树的内容时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

对存储库执行操作的权限

以下权限允许或拒绝对 CodeCommit 存储库执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 AWS CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。

使用滚动条查看表的其余部分。

CodeCommitAPI 操作和必需的存储库操作权限
CodeCommit API 操作 所需权限(API 操作) 资源

BatchGetRepositories

codecommit:BatchGetRepositories

获取有关 CodeCommit 账户中的多个 AWS 存储库的信息时是必需的。在 Resource 中,必须指定允许(或拒绝)用户访问其信息的所有 CodeCommit 存储库的名称。

arn:aws:codecommit:region:account-id:repository-name

CreateRepository

codecommit:CreateRepository

创建 CodeCommit 存储库时是必需的。

arn:aws:codecommit:region:account-id:repository-name

DeleteRepository

codecommit:DeleteRepository

删除 CodeCommit 存储库时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetRepository

codecommit:GetRepository

获取有关单个 CodeCommit 存储库的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

ListRepositories codecommit:ListRepositories

获取 IDs 账户CodeCommit的多个AWS存储库的名称和系统列表时是必需的。对于该操作来说,Resource 唯一允许的值是所有存储库 (*).

*

UpdateRepositoryDescription codecommit:UpdateRepositoryDescription

更改 CodeCommit 存储库的说明时是必需的。

arn:aws:codecommit:region:account-id:repository-name

UpdateRepositoryName codecommit:UpdateRepositoryName

更改 CodeCommit 存储库的名称时是必需的。在 Resource 中,必须同时指定允许更改的 CodeCommit 存储库和新存储库的名称。

arn:aws:codecommit:region:account-id:repository-name

对标签执行操作的权限

以下权限允许或拒绝对 AWS 资源的 CodeCommit 标签执行操作。

使用滚动条查看表的其余部分。

CodeCommit标签操作的 API 操作和所需权限
CodeCommit API 操作 所需权限(API 操作) 资源

ListTagsForResource

codecommit:ListTagsForResource

返回有关在 AWS 中为资源配置的 CodeCommit. 标签的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

TagResource

codecommit:TagResource

在 AWS 中为资源添加或编辑 CodeCommit. 标签时是必需的。

arn:aws:codecommit:region:account-id:repository-name

UntagResource

codecommit:UntagResource

在 AWS 中从资源中移除 CodeCommit. 标签时是必需的。

arn:aws:codecommit:region:account-id:repository-name

对触发器执行操作的权限

以下权限允许或拒绝对 CodeCommit 存储库的触发器执行操作。

使用滚动条查看表的其余部分。

CodeCommitAPI 操作和必需的触发器操作权限
CodeCommit API 操作 所需权限(API 操作) 资源

GetRepositoryTriggers

codecommit:GetRepositoryTriggers

返回有关为存储库配置的触发器的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

PutRepositoryTriggers

codecommit:PutRepositoryTriggers

创建、编辑或删除存储库触发器时是必需的。

arn:aws:codecommit:region:account-id:repository-name

TestRepositoryTriggers

codecommit:TestRepositoryTriggers

通过向为触发器配置的主题或函数发送数据来测试存储库触发器的功能时是必需的。

arn:aws:codecommit:region:account-id:repository-name

集成操作的权限 CodePipeline

为了使 CodePipeline 在源操作中使用 CodeCommit 存储库作为管道,您必须向 CodePipeline. 的服务角色授予下表中列出的所有权限。如果未在服务角色中设置这些权限或将这些权限设为 Deny,则在对存储库进行更改时,管道不会自动运行,并且无法手动发布更改。

使用滚动条查看表的其余部分。

CodeCommit API 操作和必需的 CodePipeline 集成操作权限
CodeCommit API 操作 所需权限(API 操作) 资源

GetBranch

codecommit:GetBranch

获取有关 CodeCommit 存储库中某个分支的详细信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommit

codecommit:GetCommit

返回有关到 服务角色的提交的信息时是必需的。CodePipeline.

arn:aws:codecommit:region:account-id:repository-name

UploadArchive

codecommit:UploadArchive

允许 CodePipeline 服务角色将存储库更改上传到管道中时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

GetUploadArchiveStatus

codecommit:GetUploadArchiveStatus

确定存档的上传状态:是正在进行、完成、已取消还是出现错误时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

CancelUploadArchive codecommit:CancelUploadArchive

取消将存档上传到管道的操作时是必需的。这只是一种 IAM 策略权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name