本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CodeCommit 权限参考
下表列出了每个 CodeCommit API 操作、可授予权限的相应操作以及授予权限时使用的资源 ARN 格式。表中的 CodeCommit API 是根据 API 允许的操作范围分组的。在设置访问控制和编写可附加到 IAM 身份的权限策略(基于身份的策略)时,请参考此表。
在创建权限策略时,可以在策略的 Action
字段中指定操作。在策略的 Resource
字段中以 ARN 的形式指定资源值,可以使用或不使用通配符 (*)。
要在 CodeCommit 策略中表示条件,可以使用 Amazon 范围内的条件键。有关 Amazon 范围内的键的完整列表,请参阅《IAM 用户指南》中的可用键。有关 IAM policy 中 CodeCommit 的操作、资源和条件键的完整信息,请参阅 Amazon CodeCommit 的操作、资源和条件键。
注意
要指定操作,请在 API 操作名称之前使用 codecommit:
前缀 (例如,codecommit:GetRepository
或 codecommit:CreateRepository
)。
使用通配符
要指定多个操作或资源,可以在 ARN 中使用通配符 (*)。例如,codecommit:*
指定所有 CodeCommit 操作,codecommit:Get*
指定以单词 Get
开头的所有 CodeCommit 操作。以下示例授予对以 MyDemo
名称开头的所有存储库的访问权限。
arn:aws:codecommit:us-west-2:111111111111:MyDemo*
只能对下表中列出的 repository-name
资源使用通配符,不能对 region
或 account-id
资源使用通配符。有关通配符的更多信息,请参阅《IAM 用户指南》中的 IAM 标识符。
主题
Git 客户端命令所需的权限
在 CodeCommit 中,GitPull
IAM policy 权限适用于从 CodeCommit 检索数据的任何 Git 客户端命令,包括 git
fetch、git clone 等。同样,GitPush
IAM policy 权限适用于将数据发送到 CodeCommit 的任何 Git 客户端命令。例如,如果 GitPush
IAM policy 权限设置为 Allow
,则用户可以使用 Git 协议推送分支删除。针对该 IAM 用户的 DeleteBranch
操作应用的任何权限都不会影响该推送。DeleteBranch
权限适用于通过控制台、Amazon CLI、软件开发工具包和 API 执行的操作,但不适用于通过 Git 协议执行的操作。
GitPull
和 GitPush
是 IAM policy 权限,它们不是 API 操作。
使用滚动条查看表的其余部分。
CodeCommit 对 Git 客户端命令的操作所需的权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
CodeCommit 对 Git 的权限 | 所需权限 | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GitPull |
将信息从 CodeCommit 存储库拉取到本地存储库时是必需的。这只是一种 IAM 策略权限,不是 API 操作。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GitPush |
将信息从本地存储库推送到 CodeCommit 存储库时是必需的。这只是一种 IAM 策略权限,不是 API 操作。 注意如果您创建一条策略,其中包含一个上下文键和一个 |
arn:aws:codecommit: |
分支操作权限
以下权限允许或拒绝对 CodeCommit 存储库中的分支执行操作。这些权限仅适用于在 CodeCommit 控制台和使用 CodeCommit API 执行的操作,以及使用 Amazon CLI 执行的命令。它们与可以使用 Git 协议执行的类似操作无关。例如,git show-branch -r 命令使用 Git 协议显示存储库的远程分支及其提交的列表。它不受任何 CodeCommit ListBranches
操作权限的影响。
有关为分支创建策略的更多信息,请参阅在 Amazon CodeCommit 中限制针对分支的推送和合并和客户管理型策略示例。
使用滚动条查看表的其余部分。
针对分支的 CodeCommit API 操作和操作所需的权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
针对分支的 CodeCommit API 操作 | 所需权限(API 操作) | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
在 CodeCommit 存储库中创建分支时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
从 CodeCommit 存储库中删除分支时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
获取有关 CodeCommit 存储库中某个分支的详细信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListBranches |
获取 CodeCommit 存储库中分支的列表时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MergeBranchesByFastForward |
在 CodeCommit 存储库中使用快进合并策略合并两个分支时是必需的。 |
arn:aws:codecommit:region :account-id :repository-name |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MergeBranchesBySquash |
在 CodeCommit 存储库中使用压缩合并策略合并两个分支时是必需的。 |
arn:aws:codecommit:region :account-id :repository-name |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MergeBranchesByThreeWay |
在 CodeCommit 存储库中使用三向合并策略合并两个分支时是必需的。 |
arn:aws:codecommit:region :account-id :repository-name |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateDefaultBranch | codecommit:UpdateDefaultBranch 更改 CodeCommit 存储库中的默认分支时是必需的。 |
arn:aws:codecommit: |
针对合并的操作所需的权限
以下权限允许或拒绝对 CodeCommit 存储库中的合并执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。有关分支的相关权限,请参阅分支操作权限。有关拉取请求的相关权限,请参阅针对拉取请求的操作所需的权限。
使用滚动条查看表的其余部分。
针对合并命令的操作所需的 CodeCommit 权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
合并的 CodeCommit 权限 | 所需权限 | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关 CodeCommit 存储库中的提交之间的合并冲突的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
在 CodeCommit 存储库中的两个分支或提交之间创建未引用的提交以进行比较和找出任何潜在冲突时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关 CodeCommit 存储库中的潜在合并中的文件的基本、源和目标版本之间的合并冲突的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关 CodeCommit 存储库中的源和目标提交之间的合并的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关 CodeCommit 存储库中的两个分支或提交说明符之间的可用合并选项的信息时是必需的。 |
arn:aws:codecommit: |
针对拉取请求的操作所需的权限
以下权限允许或拒绝对 CodeCommit 存储库中的拉取请求执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。有关相关评论权限,请参阅针对评论的操作所需的权限。
使用滚动条查看表的其余部分。
针对拉取请求的 CodeCommit API 操作和操作所需的权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
CodeCommit API 操作 | 所需权限(API 操作) | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
BatchGetPullRequests |
返回有关 CodeCommit 存储库中一个或多个拉取请求的信息时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
在 CodeCommit 存储库中创建拉取请求时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreatePullRequestApprovalRule |
为 CodeCommit 存储库中的拉取请求创建审批规则时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeletePullRequestApprovalRule |
删除 CodeCommit 存储库中拉取请求的审批规则时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribePullRequestEvents | 返回有关 CodeCommit 存储库中的一个或多个拉取请求事件的信息时是必需的。 | arn:aws:codecommit:region :account-id :repository-name |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
EvaluatePullRequestApprovalRules |
评估拉取请求是否满足 CodeCommit 存储库中关联的审批规则指定的所有条件时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回对拉取请求的评论时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetCommitsFromMergeBase |
返回潜在合并上下文中各提交之间的差异的相关信息时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetMergeConflicts |
返回有关拉取请求中源分支和目标分支之间的合并冲突的信息时是必需的。 |
arn:aws:codecommit:region :account-id :repository-name |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关拉取请求的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关指定拉取请求的审批状态的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关是否已为拉取请求搁置(覆盖)审批规则的信息时是必需的,如果是,则返回覆盖规则的用户或身份的 Amazon 资源名称 (ARN) 及其对拉取请求的要求。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListPullRequests |
返回有关存储库的拉取请求的信息时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MergePullRequestByFastForward | codecommit:MergePullRequestByFastForward 关闭拉取请求并尝试使用快进合并策略将源分支合并到拉取请求的目标分支时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MergePullRequestBySquash | codecommit:MergePullRequestBySquash 关闭拉取请求并尝试使用压缩合并策略将源分支合并到拉取请求的目标分支时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MergePullRequestByThreeWay | codecommit:MergePullRequestByThreeWay 关闭拉取请求并尝试使用三向合并策略将源分支合并到拉取请求的目标分支时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
OverridePullRequestApprovalRules | codecommit:OverridePullRequestApprovalRules
为 CodeCommit 存储库中的拉取请求搁置所有审批规则要求时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PostCommentForPullRequest | codecommit:PostCommentForPullRequest
对 CodeCommit 存储库中的拉取请求发布评论时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdatePullRequestApprovalRuleContent | codecommit:UpdatePullRequestApprovalRuleContent
更改 CodeCommit 存储库中拉取请求的审批规则结构时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdatePullRequestApprovalState | codecommit:UpdatePullRequestApprovalState
更改 CodeCommit 存储库中拉取请求的审批状态时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdatePullRequestDescription | codecommit:UpdatePullRequestDescription
更改 CodeCommit 存储库中拉取请求的说明时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdatePullRequestStatus | codecommit:UpdatePullRequestStatus
更改 CodeCommit 存储库中拉取请求的状态时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdatePullRequestTitle | codecommit:UpdatePullRequestTitle
更改 CodeCommit 存储库中拉取请求的标题时是必需的。 |
arn:aws:codecommit: |
针对审批规则模板的操作所需的权限
以下权限允许或拒绝对 CodeCommit 存储库中的审批规则模板执行操作。这些权限仅与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。有关拉取请求的相关权限,请参阅针对拉取请求的操作所需的权限。
使用滚动条查看表的其余部分。
针对审批规则模板的 CodeCommit API 操作和操作所需的权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
针对审批规则模板的 CodeCommit API 操作 | 所需权限 | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
将模板与 Amazon Web Services 账户中的指定存储库关联时是必需的。关联后,此操作会根据在指定存储库中创建的每个拉取请求的模板条件,自动创建与之匹配的审批规则。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
将模板与 Amazon Web Services 账户中的一个或多个指定存储库关联时是必需的。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
取消模板与 Amazon Web Services 账户中的一个或多个指定存储库的关联时是必需的。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
创建随后可与 Amazon 账户中的一个或多个存储库关联的审批规则模板时是必需的。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
删除 Amazon Web Services 账户中的指定模板时是必需的。它不会删除已使用模板创建的拉取请求的审批规则。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
取消指定模板与 Amazon Web Services 账户中的存储库的关联时是必需的。它不会删除已使用模板创建的拉取请求的审批规则。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关 Amazon Web Services 账户中审批规则模板的信息时是必需的。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
列出 Amazon Web Services 账户中的审批规则模板时是必需的。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
列出与 Amazon Web Services 账户中的指定存储库关联的所有审批规则模板时是必需的。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
列出与 Amazon Web Services 账户中的指定审批规则模板关联的所有存储库时是必需的。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
更新 Amazon Web Services 账户中的审批规则模板的内容时是必需的。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
更新 Amazon Web Services 账户中的审批规则模板的描述时是必需的。 |
* |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
更新 Amazon Web Services 账户中的审批规则模板的名称时是必需的。 |
* |
针对单个文件的操作所需的权限
以下权限允许或拒绝对 CodeCommit 存储库中的单个文件执行操作。这些权限仅与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。例如,git push
命令通过使用 Git 协议将新文件和更改后的文件推送到 CodeCommit 存储库。它不受任何 CodeCommit PutFile
操作权限的影响。
使用滚动条查看表的其余部分。
针对单个文件的 CodeCommit API 操作和操作所需的权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
针对单个文件的 CodeCommit API 操作 | 所需权限 | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
在 CodeCommit 控制台中删除 CodeCommit 存储库中指定分支中的指定文件时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
在 CodeCommit 控制台中查看 CodeCommit 存储库中单个文件的编码内容时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
在 CodeCommit 控制台中查看 CodeCommit 存储库中单个文件及其元数据的编码内容时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
在 CodeCommit 控制台中查看 CodeCommit 存储库中指定文件夹的内容时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
对于通过 CodeCommit 控制台、CodeCommit API 或 Amazon CLI 将新文件或修改后的文件添加到 CodeCommit 存储库是必需的。 |
arn:aws:codecommit: |
针对评论的操作所需的权限
以下权限允许或拒绝对 CodeCommit 存储库中的评论执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。有关对拉取请求中的评论的相关权限,请参阅针对拉取请求的操作所需的权限。
使用滚动条查看表的其余部分。
针对存储库中的评论的 CodeCommit API 操作和所需的权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
CodeCommit API 操作 | 所需权限(API 操作) | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
删除对存储库中的更改、文件或提交做出的评论的内容时是必需的。评论无法删除,但如果用户拥有此权限,则可以删除评论内容。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关对 CodeCommit 存储库中的更改、文件或提交做出的评论的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关对 CodeCommit 存储库中的更改、文件或提交做出的评论的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关对某一 CodeCommit 存储库中的两个提交之间的对比做出的评论的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
对某一 CodeCommit 存储库中的两个提交之间的对比创建评论时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PostCommentReply |
对评论之间的比较或拉取请求的评论创建回复时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutCommentReaction |
创建或更新对评论的表情符号反应时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateComment |
对评论之间的比较或拉取请求的评论进行编辑时是必需的。只有评论作者可以编辑评论。 |
arn:aws:codecommit: |
针对已提交代码的操作所需的权限
以下权限允许或拒绝对已提交到 CodeCommit 存储库的代码执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。例如,git commit 命令使用 Git 协议为存储库中的分支创建提交。它不受任何 CodeCommit CreateCommit
操作权限的影响。
显式拒绝这些权限中的某些权限可能会在 CodeCommit 控制台中导致意外后果。例如,将 GetTree
设置为 Deny
将阻止用户在控制台中浏览存储库的内容,但不会阻止用户查看存储库中文件的内容 (例如,用户可以打开并浏览以电子邮件方式发来的文件链接)。将 GetBlob
设置为 Deny
将阻止用户查看文件的内容,但不会阻止用户浏览存储库的结构。将 GetCommit
设置为 Deny
将阻止用户检索有关提交的详细信息。将 GetObjectIdentifier
设置为 Deny
将阻止大部分代码浏览功能。如果在策略中将所有这三个操作都设为 Deny
,则具有该策略的用户无法在 CodeCommit 控制台中浏览代码。
使用滚动条查看表的其余部分。
针对已提交代码的 CodeCommit API 操作和操作所需的权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
CodeCommit API 操作 | 所需权限(API 操作) | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
BatchGetCommits |
返回有关 CodeCommit 存储库中的一个或多个提交的信息时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateCommit |
创建提交时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关提交的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetCommitHistory |
返回有关存储库中提交历史记录的信息时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetDifferences |
返回有关提交说明符 (如分支、标签、HEAD、提交 ID 或其他完全限定引用) 差异的信息时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetObjectIdentifier | codecommit:GetObjectIdentifier 将 blob、树和提交解析为其标识符时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetReferences | codecommit:GetReferences 返回所有引用 (如分支和标签) 时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetTree | codecommit:GetTree 在 CodeCommit 控制台中查看 CodeCommit 存储库中指定树的内容时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。 |
arn:aws:codecommit: |
针对存储库的操作所需的权限
以下权限允许或拒绝对 CodeCommit 存储库执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。
使用滚动条查看表的其余部分。
针对存储库的 CodeCommit API 操作和操作所需的权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
CodeCommit API 操作 | 所需权限(API 操作) | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
获取有关 Amazon Web Services 账户中的多个 CodeCommit 存储库的信息时是必需的。在 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
创建 CodeCommit 存储库时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
删除 CodeCommit 存储库时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetRepository |
获取有关单个 CodeCommit 存储库的信息时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListRepositories | codecommit:ListRepositories 获取 Amazon Web Services 账户的多个 CodeCommit 存储库的名称和系统 ID 列表时是必需的。对于该操作来说, |
* |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateRepositoryDescription | codecommit:UpdateRepositoryDescription 更改 CodeCommit 存储库的说明时是必需的。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateRepositoryName | codecommit:UpdateRepositoryName 更改 CodeCommit 存储库的名称时是必需的。在 |
arn:aws:codecommit: |
针对标签的操作所需的权限
以下权限允许或拒绝对 CodeCommit 资源的 Amazon 标签执行操作。
使用滚动条查看表的其余部分。
针对标签的 CodeCommit API 操作和操作所需的权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
CodeCommit API 操作 | 所需权限(API 操作) | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关为 CodeCommit 中的资源配置的 Amazon 标签的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
为 CodeCommit 中的资源添加或编辑 Amazon 标签时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
从 CodeCommit 中的资源删除 Amazon 标签时是必需的。 |
arn:aws:codecommit: |
针对触发器的操作所需的权限
以下权限允许或拒绝对 CodeCommit 存储库的触发器执行操作。
使用滚动条查看表的其余部分。
针对触发器的 CodeCommit API 操作和操作所需的权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
CodeCommit API 操作 | 所需权限(API 操作) | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关为存储库配置的触发器的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
创建、编辑或删除存储库触发器时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
通过向为触发器配置的主题或函数发送数据来测试存储库触发器的功能时是必需的。 |
arn:aws:codecommit: |
针对 CodePipeline 集成的操作所需的权限
为了使 CodePipeline 在源操作中使用 CodeCommit 存储库作为管道,您必须向 CodePipeline 的服务角色授予下表中列出的所有权限。如果未在服务角色中设置这些权限或将这些权限设为 Deny
,则在对存储库进行更改时,管道不会自动运行,并且无法手动发布更改。
使用滚动条查看表的其余部分。
针对 CodePipeline 集成的 CodeCommit API 操作和操作所需的权限 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
CodeCommit API 操作 | 所需权限(API 操作) | 资源 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
获取有关 CodeCommit 存储库中某个分支的详细信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
返回有关到 CodePipeline 服务角色的提交的信息时是必需的。 |
arn:aws:codecommit: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UploadArchive |
允许 CodePipeline 服务角色将存储库更改上传到管道中时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetUploadArchiveStatus |
确定存档的上传状态:是正在进行、完成、已取消还是出现错误时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。 |
arn:aws:codecommit: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CancelUploadArchive | codecommit:CancelUploadArchive 取消将存档上传到管道的操作时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。 |
arn:aws:codecommit: |