CodeCommit 权限参考 - Amazon CodeCommit
Git 客户端命令所需的权限分支操作权限针对合并的操作所需的权限针对拉取请求的操作所需的权限针对审批规则模板的操作所需的权限针对单个文件的操作所需的权限针对评论的操作所需的权限针对已提交代码的操作所需的权限针对存储库的操作所需的权限针对标签的操作所需的权限针对触发器的操作所需的权限 CodePipeline 集成操作权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CodeCommit 权限参考

下表列出了每个 CodeCommit API 操作、您可以为其授予权限的相应操作以及用于授予权限的资源 ARN 的格式。根据该 CodeCommit API 允许的操作范围,将这些 API 分为多个表。在设置访问控制和编写可附加到 IAM 身份的权限策略(基于身份的策略)时,请参考此表。

在创建权限策略时,可以在策略的 Action 字段中指定操作。在策略的 Resource 字段中以 ARN 的形式指定资源值,可以使用或不使用通配符 (*)。

要在 CodeCommit 策略中表达条件,请使用 Amazon-wide 条件密钥。有关 Amazon范围密钥的完整列表,请参阅 IAM 用户指南中的可用密钥。有关 IAM 策略 CodeCommit 中的操作、资源和条件键的完整信息,请参阅的操作、资源和条件密钥 Amazon CodeCommit

注意

要指定操作,请在 API 操作名称之前使用 codecommit: 前缀 (例如,codecommit:GetRepositorycodecommit:CreateRepository)。

使用通配符

要指定多个操作或资源,可以在 ARN 中使用通配符 (*)。例如,codecommit:*指定所有 CodeCommit 动作并codecommit:Get*指定所有以单词开头的 CodeCommit 动作Get。以下示例授予对以 MyDemo 名称开头的所有存储库的访问权限。

arn:aws:codecommit:us-west-2:111111111111:MyDemo*

只能对下表中列出的 repository-name 资源使用通配符,不能对 regionaccount-id 资源使用通配符。有关通配符的更多信息,请参阅《IAM 用户指南》中的 IAM 标识符

Git 客户端命令所需的权限

在中 CodeCommit,GitPullIAM 策略权限适用于从中检索数据的任何 Git 客户端命令,包括 CodeCommitgit fetchgit clone、等。同样,GitPushIAM 策略权限适用于向其发送数据的任何 Git 客户端命令 CodeCommit。例如,如果 GitPush IAM policy 权限设置为 Allow,则用户可以使用 Git 协议推送分支删除。针对该 IAM 用户的 DeleteBranch 操作应用的任何权限都不会影响该推送。该DeleteBranch权限适用于使用控制台、软件开发工具包和 API 执行的操作,但不适用于使用 Git 协议执行的操作。 Amazon CLI

GitPullGitPush 是 IAM policy 权限,它们不是 API 操作。

使用滚动条查看表的其余部分。

CodeCommit Git 客户端命令的操作所需的权限
CodeCommit Git 的权限 所需权限 资源

GitPull

codecommit:GitPull

需要将信息从 CodeCommit 存储库提取到本地存储库。这只是一种 IAM 策略权限,不是 API 操作。

arn:aws:codecommit:region:account-id:repository-name

GitPush

codecommit:GitPush

需要将信息从本地存储库推送到 CodeCommit存储库。这只是一种 IAM 策略权限,不是 API 操作。

注意

如果您创建一条策略,其中包含一个上下文键和一个 Deny 语句,该语句包含此权限,则该策略还必须包含 Null 上下文。有关更多信息,请参阅 限制推送和合并到中的分支 Amazon CodeCommit

arn:aws:codecommit:region:account-id:repository-name

分支操作权限

以下权限允许或拒绝对 CodeCommit 存储库中的分支执行操作。这些权限仅适用于在 CodeCommit 控制台和使用 CodeCommit API 执行的操作以及使用执行的 Amazon CLI命令。它们与可以使用 Git 协议执行的类似操作无关。例如,git show-branch -r 命令使用 Git 协议显示存储库的远程分支及其提交的列表。它不受任何 CodeCommit ListBranches操作权限的影响。

有关为分支创建策略的更多信息,请参阅限制推送和合并到中的分支 Amazon CodeCommit客户管理型策略示例

使用滚动条查看表的其余部分。

CodeCommit API 操作和分支上操作所需的权限
CodeCommit 分支机构的 API 操作 所需权限(API 操作) 资源

CreateBranch

codecommit:CreateBranch

在 CodeCommit 存储库中创建分支所必需的。

arn:aws:codecommit:region:account-id:repository-name

DeleteBranch

codecommit:DeleteBranch

需要从 CodeCommit 存储库中删除分支。

arn:aws:codecommit:region:account-id:repository-name

GetBranch

codecommit:GetBranch

获取有关 CodeCommit存储库中分支的详细信息所必需的。

arn:aws:codecommit:region:account-id:repository-name
ListBranches

codecommit:ListBranches

获取 CodeCommit存储库中分支列表所必需的。

arn:aws:codecommit:region:account-id:repository-name
MergeBranchesByFastForward

codecommit:MergeBranchesByFastForward

需要在 CodeCommit 仓库中使用快进合并策略合并两个分支。

 arn:aws:codecommit:region:account-id:repository-name
MergeBranchesBySquash

codecommit:MergeBranchesBySquash

需要在 CodeCommit 存储库中使用 squash 合并策略合并两个分支。

 arn:aws:codecommit:region:account-id:repository-name
MergeBranchesByThreeWay

codecommit:MergeBranchesByThreeWay

需要在 CodeCommit 存储库中使用三向合并策略合并两个分支。

 arn:aws:codecommit:region:account-id:repository-name
UpdateDefaultBranch codecommit:UpdateDefaultBranch

需要更改 CodeCommit 存储库中的默认分支。

arn:aws:codecommit:region:account-id:repository-name

针对合并的操作所需的权限

以下权限允许或拒绝对 CodeCommit 仓库中的合并执行操作。这些权限适用于使用控制台和 API 执行的操作以及使用 CodeCommit 控制台和 CodeCommit API 执行的 Amazon CLI命令。它们与可以使用 Git 协议执行的类似操作无关。有关分支的相关权限,请参阅分支操作权限。有关拉取请求的相关权限,请参阅针对拉取请求的操作所需的权限

使用滚动条查看表的其余部分。

CodeCommit 合并命令的操作所需的权限
CodeCommit 合并权限 所需权限 资源

BatchDescribeMergeConflicts

codecommit:BatchDescribeMergeConflicts

需要返回有关 CodeCommit 仓库中提交之间合并时发生冲突的信息。

arn:aws:codecommit:region:account-id:repository-name

CreateUnreferencedMergeCommit

codecommit:CreateUnreferencedMergeCommit

需要在两个分支之间创建未引用的提交,或者在 CodeCommit 存储库中的提交之间创建未引用的提交,以便比较它们并识别任何潜在的冲突。

arn:aws:codecommit:region:account-id:repository-name

DescribeMergeConflicts

codecommit:DescribeMergeConflicts

需要返回有关 CodeCommit 存储库中可能合并的文件的基础版本、源版本和目标版本之间的合并冲突的信息。

arn:aws:codecommit:region:account-id:repository-name

GetMergeCommit

codecommit:GetMergeCommit

返回有关 CodeCommit 存储库中源提交和目标提交之间合并的信息所必需的。

arn:aws:codecommit:region:account-id:repository-name

GetMergeOptions

codecommit:GetMergeOptions

需要返回有关 CodeCommit存储库中两个分支之间可用合并选项或提交说明符的信息。

arn:aws:codecommit:region:account-id:repository-name

针对拉取请求的操作所需的权限

以下权限允许或拒绝对 CodeCommit仓库中的拉取请求执行操作。这些权限适用于使用控制台和 API 执行的操作以及使用 CodeCommit 控制台和 CodeCommit API 执行的 Amazon CLI命令。它们与可以使用 Git 协议执行的类似操作无关。有关相关评论权限,请参阅针对评论的操作所需的权限

使用滚动条查看表的其余部分。

CodeCommit API 操作和拉取请求操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

BatchGetPullRequests

codecommit:BatchGetPullRequests

返回有关 CodeCommit 存储库中一个或多个拉取请求的信息所必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

CreatePullRequest

codecommit:CreatePullRequest

在 CodeCommit存储库中创建拉取请求所必需的。

arn:aws:codecommit:region:account-id:repository-name
CreatePullRequestApprovalRule

codecommit:CreatePullRequestApprovalRule

为 CodeCommit 存储库中的拉取请求创建批准规则所必需的。

arn:aws:codecommit:region:account-id:repository-name
DeletePullRequestApprovalRule

codecommit:DeletePullRequestApprovalRule

需要删除 CodeCommit 存储库中拉取请求的批准规则。

arn:aws:codecommit:region:account-id:repository-name
DescribePullRequestEvents 返回有关 CodeCommit 存储库中一个或多个拉取请求事件的信息所必需的。 arn:aws:codecommit:region:account-id:repository-name
EvaluatePullRequestApprovalRules

codecommit:EvaluatePullRequestApprovalRules

用于评估拉取请求是否满足 CodeCommit存储库中关联的批准规则中指定的所有条件。

arn:aws:codecommit:region:account-id:repository-name

GetCommentsForPullRequest

codecommit:GetCommentsForPullRequest

返回对拉取请求的评论时是必需的。

arn:aws:codecommit:region:account-id:repository-name
GetCommitsFromMergeBase

codecommit:GetCommitsFromMergeBase

返回潜在合并上下文中各提交之间的差异的相关信息时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
GetMergeConflicts

codecommit:GetMergeConflicts

返回有关拉取请求中源分支和目标分支之间的合并冲突的信息时是必需的。

 arn:aws:codecommit:region:account-id:repository-name

GetPullRequest

codecommit:GetPullRequest

返回有关拉取请求的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetPullRequestApprovalStates

codecommit:GetPullRequestApprovalStates

返回有关指定拉取请求的审批状态的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetPullRequestOverrideState

codecommit:GetPullRequestOverrideState

返回有关是否已为拉取请求搁置(覆盖)审批规则的信息时是必需的,如果是,则返回覆盖规则的用户或身份的 Amazon 资源名称 (ARN) 及其对拉取请求的要求。

arn:aws:codecommit:region:account-id:repository-name
ListPullRequests

codecommit:ListPullRequests

返回有关存储库的拉取请求的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name
MergePullRequestByFastForward codecommit:MergePullRequestByFastForward

关闭拉取请求并尝试使用快进合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name
MergePullRequestBySquash codecommit:MergePullRequestBySquash

关闭拉取请求并尝试使用压缩合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name
MergePullRequestByThreeWay codecommit:MergePullRequestByThreeWay

关闭拉取请求并尝试使用三向合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name
OverridePullRequestApprovalRules codecommit:OverridePullRequestApprovalRules

需要在 CodeCommit 存储库中搁置拉取请求的所有批准规则要求。

arn:aws:codecommit:region:account-id:repository-name
PostCommentForPullRequest codecommit:PostCommentForPullRequest

需要在 CodeCommit仓库中对拉取请求发表评论。

arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestApprovalRuleContent codecommit:UpdatePullRequestApprovalRuleContent

需要更改 CodeCommit 存储库中拉取请求的批准规则的结构。

arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestApprovalState codecommit:UpdatePullRequestApprovalState

需要更改 CodeCommit 仓库中拉取请求的批准状态。

arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestDescription codecommit:UpdatePullRequestDescription

更改 CodeCommit 存储库中拉取请求的描述所必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestStatus codecommit:UpdatePullRequestStatus

更改 CodeCommit存储库中拉取请求的状态所必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestTitle codecommit:UpdatePullRequestTitle

更改 CodeCommit存储库中拉取请求的标题所必需的。

arn:aws:codecommit:region:account-id:repository-name

针对审批规则模板的操作所需的权限

以下权限允许或拒绝对 CodeCommit 存储库中的批准规则模板执行操作。这些权限仅适用于在 CodeCommit控制台、 CodeCommit API 中执行的操作以及使用执行的 Amazon CLI命令。它们与可以使用 Git 协议执行的类似操作无关。有关拉取请求的相关权限,请参阅针对拉取请求的操作所需的权限

使用滚动条查看表的其余部分。

CodeCommit API 操作和批准规则模板上操作所需的权限
CodeCommit 批准规则模板的 API 操作 所需权限 资源

AssociateApprovalRuleTemplateWithRepository

codecommit:AssociateApprovalRuleTemplateWithRepository

将模板与 Amazon Web Services 账户中的指定存储库关联时是必需的。关联后,此操作会根据在指定存储库中创建的每个拉取请求的模板条件,自动创建与之匹配的审批规则。

*

BatchAssociateApprovalRuleTemplateWithRepositories

codecommit:BatchAssociateApprovalRuleTemplateWithRepositories

将模板与 Amazon Web Services 账户中的一个或多个指定存储库关联时是必需的。

*

BatchDisassociateApprovalRuleTemplateFromRepositories

codecommit:BatchDisassociateApprovalRuleTemplateFromRepositories

取消模板与 Amazon Web Services 账户中的一个或多个指定存储库的关联时是必需的。

*

CreateApprovalRuleTemplate

codecommit:CreateApprovalRuleTemplate

创建随后可与 Amazon 账户中的一个或多个存储库关联的审批规则模板时是必需的。

*

DeleteApprovalRuleTemplate

codecommit:DeleteApprovalRuleTemplate

删除 Amazon Web Services 账户中的指定模板时是必需的。它不会删除已使用模板创建的拉取请求的审批规则。

*

DisassociateApprovalRuleTemplateFromRepository

codecommit:DisassociateApprovalRuleTemplateFromRepository

取消指定模板与 Amazon Web Services 账户中的存储库的关联时是必需的。它不会删除已使用模板创建的拉取请求的审批规则。

*

GetApprovalRuleTemplate

codecommit:GetApprovalRuleTemplate

返回有关 Amazon Web Services 账户中审批规则模板的信息时是必需的。

*

ListApprovalRuleTemplates

codecommit:ListApprovalRuleTemplates

列出 Amazon Web Services 账户中的审批规则模板时是必需的。

*

ListAssociatedApprovalRuleTemplatesForRepository

codecommit:ListAssociatedApprovalRuleTemplatesForRepository

列出与 Amazon Web Services 账户中的指定存储库关联的所有审批规则模板时是必需的。

*

ListRepositoriesForApprovalRuleTemplate

codecommit:ListRepositoriesForApprovalRuleTemplate

列出与 Amazon Web Services 账户中的指定审批规则模板关联的所有存储库时是必需的。

*

UpdateApprovalRuleTemplateContent

codecommit:UpdateApprovalRuleTemplateContent

更新 Amazon Web Services 账户中的审批规则模板的内容时是必需的。

*

UpdateApprovalRuleTemplateDescription

codecommit:UpdateApprovalRuleTemplateDescription

更新 Amazon Web Services 账户中的审批规则模板的描述时是必需的。

*

UpdateApprovalRuleTemplateName

codecommit:UpdateApprovalRuleTemplateName

更新 Amazon Web Services 账户中的审批规则模板的名称时是必需的。

*

针对单个文件的操作所需的权限

以下权限允许或拒绝对 CodeCommit存储库中的单个文件执行操作。这些权限仅适用于在 CodeCommit控制台、 CodeCommit API 中执行的操作以及使用执行的 Amazon CLI命令。它们与可以使用 Git 协议执行的类似操作无关。例如,该git push命令使用 Git 协议将新文件和更改过的文件推送到 CodeCommit存储库。它不受任何 CodeCommit PutFile操作权限的影响。

使用滚动条查看表的其余部分。

CodeCommit API 操作和对单个文件执行操作所需的权限
CodeCommit 单个文件的 API 操作 所需权限 资源

DeleteFile

codecommit:DeleteFile

需要从 CodeCommit 控制台从 CodeCommit 存储库的指定分支中删除指定文件。

arn:aws:codecommit:region:account-id:repository-name

GetBlob

codecommit:GetBlob

需要从 CodeCommit 控制台查看 CodeCommit 存储库中单个文件的编码内容。

arn:aws:codecommit:region:account-id:repository-name

GetFile

codecommit:GetFile

需要从 CodeCommit 控制台查看 CodeCommit 存储库中单个文件的编码内容及其元数据。

arn:aws:codecommit:region:account-id:repository-name

GetFolder

codecommit:GetFolder

需要从 CodeCommit 控制台查看 CodeCommit存储库中指定文件夹的内容。

arn:aws:codecommit:region:account-id:repository-name

PutFile

codecommit:PutFile

需要通过 CodeCommit 控制台、 CodeCommit API 或向 CodeCommit 存储库添加新文件或修改过的文件 Amazon CLI。

arn:aws:codecommit:region:account-id:repository-name

针对评论的操作所需的权限

以下权限允许或拒绝对 CodeCommit 存储库中的评论执行操作。这些权限适用于使用控制台和 API 执行的操作以及使用 CodeCommit 控制台和 CodeCommit API 执行的 Amazon CLI命令。有关对拉取请求中的评论的相关权限,请参阅针对拉取请求的操作所需的权限

使用滚动条查看表的其余部分。

CodeCommit API 操作和存储库中评论所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

DeleteCommentContent

codecommit:DeleteCommentContent

删除对存储库中的更改、文件或提交做出的评论的内容时是必需的。评论无法删除,但如果用户拥有此权限,则可以删除评论内容。

arn:aws:codecommit:region:account-id:repository-name

GetComment

codecommit:GetComment

需要返回有关对 CodeCommit 存储库中的更改、文件或提交所做的评论的信息。

arn:aws:codecommit:region:account-id:repository-name

GetCommentReactions

codecommit:GetCommentReactions

需要返回有关表情符号对 CodeCommit仓库中更改、文件或提交的评论的反应的信息。

arn:aws:codecommit:region:account-id:repository-name

GetCommentsForComparedCommit

codecommit:GetCommentsForComparedCommit

需要返回有关对 CodeCommit 仓库中两次提交的比较所做的评论的信息。

arn:aws:codecommit:region:account-id:repository-name

PostCommentForComparedCommit

codecommit:PostCommentForComparedCommit

需要对 CodeCommit 仓库中两次提交之间的比较创建评论。

arn:aws:codecommit:region:account-id:repository-name
PostCommentReply

codecommit:PostCommentReply

对评论之间的比较或拉取请求的评论创建回复时是必需的。

arn:aws:codecommit:region:account-id:repository-name
PutCommentReaction

codecommit:PutCommentReaction

创建或更新对评论的表情符号反应时是必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdateComment

codecommit:UpdateComment

对评论之间的比较或拉取请求的评论进行编辑时是必需的。只有评论作者可以编辑评论。

arn:aws:codecommit:region:account-id:repository-name

针对已提交代码的操作所需的权限

以下权限允许或拒绝对提交到 CodeCommit存储库的代码执行操作。这些权限适用于使用控制台和 API 执行的操作以及使用 CodeCommit 控制台和 CodeCommit API 执行的 Amazon CLI命令。它们与可以使用 Git 协议执行的类似操作无关。例如,git commit 命令使用 Git 协议为存储库中的分支创建提交。它不受任何 CodeCommit CreateCommit操作权限的影响。

明确拒绝其中一些权限可能会导致 CodeCommit 控制台出现意想不到的后果。例如,将 GetTree 设置为 Deny 将阻止用户在控制台中浏览存储库的内容,但不会阻止用户查看存储库中文件的内容 (例如,用户可以打开并浏览以电子邮件方式发来的文件链接)。将 GetBlob 设置为 Deny 将阻止用户查看文件的内容,但不会阻止用户浏览存储库的结构。将 GetCommit 设置为 Deny 将阻止用户检索有关提交的详细信息。将 GetObjectIdentifier 设置为 Deny 将阻止大部分代码浏览功能。如果您在策略Deny中将这三个操作全部设置为,则拥有该策略的用户将无法在 CodeCommit 控制台中浏览代码。

使用滚动条查看表的其余部分。

CodeCommit API 操作和对已提交代码执行操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

BatchGetCommits

codecommit:BatchGetCommits

需要返回有关 CodeCommit 仓库中一个或多个提交的信息。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
CreateCommit

codecommit:CreateCommit

创建提交时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommit

codecommit:GetCommit

返回有关提交的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommitHistory

codecommit:GetCommitHistory

返回有关存储库中提交历史记录的信息时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
GetDifferences

codecommit:GetDifferences

返回有关提交说明符 (如分支、标签、HEAD、提交 ID 或其他完全限定引用) 差异的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name
GetObjectIdentifier codecommit:GetObjectIdentifier

将 blob、树和提交解析为其标识符时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
GetReferences codecommit:GetReferences

返回所有引用 (如分支和标签) 时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
GetTree codecommit:GetTree

需要从 CodeCommit 控制台查看 CodeCommit 存储库中指定树的内容。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

针对存储库的操作所需的权限

以下权限允许或拒绝对 CodeCommit 仓库执行操作。这些权限适用于使用控制台和 API 执行的操作以及使用 CodeCommit 控制台和 CodeCommit API 执行的 Amazon CLI命令。它们与可以使用 Git 协议执行的类似操作无关。

使用滚动条查看表的其余部分。

CodeCommit API 操作和仓库操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

BatchGetRepositories

codecommit:BatchGetRepositories

需要获取有关亚马逊 Web Services 账户中多个 CodeCommit 存储库的信息。在中Resource,必须指定允许用户获得(或拒绝)信息的所有 CodeCommit 存储库的名称。

arn:aws:codecommit:region:account-id:repository-name

CreateRepository

codecommit:CreateRepository

创建 CodeCommit 存储库所必需的。

arn:aws:codecommit:region:account-id:repository-name

DeleteRepository

codecommit:DeleteRepository

删除 CodeCommit 存储库所必需的。

arn:aws:codecommit:region:account-id:repository-name
GetRepository

codecommit:GetRepository

获取有关单个 CodeCommit存储库的信息所必需的。

arn:aws:codecommit:region:account-id:repository-name
ListRepositories codecommit:ListRepositories

需要获取一个 Amazon Web Services 账户的多个 CodeCommit 存储库的名称和系统 ID 的列表。对于该操作来说,Resource 唯一允许的值是所有存储库 (*)。

*
UpdateRepositoryDescription codecommit:UpdateRepositoryDescription

更改 CodeCommit 存储库描述所必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdateRepositoryName codecommit:UpdateRepositoryName

更改 CodeCommit 存储库名称所必需的。在中Resource,您必须指定允许更改的 CodeCommit 存储库和新的存储库名称。

arn:aws:codecommit:region:account-id:repository-name

针对标签的操作所需的权限

以下权限允许或拒绝对 CodeCommit 资源 Amazon 标签执行操作。

使用滚动条查看表的其余部分。

CodeCommit API 操作和标签操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

ListTagsForResource

codecommit:ListTagsForResource

返回有关在中的资源上配置的 Amazon 标签的信息所必需的 CodeCommit。

arn:aws:codecommit:region:account-id:repository-name

TagResource

codecommit:TagResource

需要在中为资源添加或编辑 Amazon 标签 CodeCommit。

arn:aws:codecommit:region:account-id:repository-name

UntagResource

codecommit:UntagResource

需要从中的资源中移除 Amazon 标签 CodeCommit。

arn:aws:codecommit:region:account-id:repository-name

针对触发器的操作所需的权限

以下权限允许或拒绝对 CodeCommit仓库的触发器执行操作。

使用滚动条查看表的其余部分。

CodeCommit API 操作和触发器操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

GetRepositoryTriggers

codecommit:GetRepositoryTriggers

返回有关为存储库配置的触发器的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

PutRepositoryTriggers

codecommit:PutRepositoryTriggers

创建、编辑或删除存储库触发器时是必需的。

arn:aws:codecommit:region:account-id:repository-name

TestRepositoryTriggers

codecommit:TestRepositoryTriggers

通过向为触发器配置的主题或函数发送数据来测试存储库触发器的功能时是必需的。

arn:aws:codecommit:region:account-id:repository-name

CodePipeline 集成操作权限

CodePipeline 要在管道的源操作中使用 CodeCommit 存储库,必须向的服务角色授予下表中列出的所有权限 CodePipeline。如果未在服务角色中设置这些权限或将这些权限设为 Deny,则在对存储库进行更改时,管道不会自动运行,并且无法手动发布更改。

使用滚动条查看表的其余部分。

CodeCommit API 操作和 CodePipeline 集成操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

GetBranch

codecommit:GetBranch

获取有关 CodeCommit存储库中分支的详细信息所必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommit

codecommit:GetCommit

需要返回有关向的服务角色提交的信息 CodePipeline。

arn:aws:codecommit:region:account-id:repository-name

UploadArchive

codecommit:UploadArchive

需要允许的服务角色将存储库更改上传 CodePipeline 到管道。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

GetUploadArchiveStatus

codecommit:GetUploadArchiveStatus

确定存档的上传状态:是正在进行、完成、已取消还是出现错误时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
CancelUploadArchive codecommit:CancelUploadArchive

取消将存档上传到管道的操作时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name