CodeCommit 权限参考 - Amazon CodeCommit
Git 客户端命令所需的权限分支操作权限针对合并的操作所需的权限针对拉取请求的操作所需的权限针对审批规则模板的操作所需的权限针对单个文件的操作所需的权限针对评论的操作所需的权限针对已提交代码的操作所需的权限针对存储库的操作所需的权限针对标签的操作所需的权限针对触发器的操作所需的权限针对 CodePipeline 集成的操作所需的权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CodeCommit 权限参考

下表列出了每个 CodeCommit API 操作、可授予权限的相应操作以及授予权限时使用的资源 ARN 格式。表中的 CodeCommit API 是根据 API 允许的操作范围分组的。在设置访问控制和编写可附加到 IAM 身份的权限策略(基于身份的策略)时,请参考此表。

在创建权限策略时,可以在策略的 Action 字段中指定操作。在策略的 Resource 字段中以 ARN 的形式指定资源值,可以使用或不使用通配符 (*)。

要在 CodeCommit 策略中表示条件,可以使用 Amazon 范围内的条件键。有关 Amazon 范围内的键的完整列表,请参阅《IAM 用户指南》中的可用键。有关 IAM policy 中 CodeCommit 的操作、资源和条件键的完整信息,请参阅 Amazon CodeCommit 的操作、资源和条件键

注意

要指定操作,请在 API 操作名称之前使用 codecommit: 前缀 (例如,codecommit:GetRepositorycodecommit:CreateRepository)。

使用通配符

要指定多个操作或资源,可以在 ARN 中使用通配符 (*)。例如,codecommit:* 指定所有 CodeCommit 操作,codecommit:Get* 指定以单词 Get 开头的所有 CodeCommit 操作。以下示例授予对以 MyDemo 名称开头的所有存储库的访问权限。

arn:aws:codecommit:us-west-2:111111111111:MyDemo*

只能对下表中列出的 repository-name 资源使用通配符,不能对 regionaccount-id 资源使用通配符。有关通配符的更多信息,请参阅《IAM 用户指南》中的 IAM 标识符

Git 客户端命令所需的权限

在 CodeCommit 中,GitPull IAM policy 权限适用于从 CodeCommit 检索数据的任何 Git 客户端命令,包括 git fetchgit clone 等。同样,GitPush IAM policy 权限适用于将数据发送到 CodeCommit 的任何 Git 客户端命令。例如,如果 GitPush IAM policy 权限设置为 Allow,则用户可以使用 Git 协议推送分支删除。针对该 IAM 用户的 DeleteBranch 操作应用的任何权限都不会影响该推送。DeleteBranch 权限适用于通过控制台、Amazon CLI、软件开发工具包和 API 执行的操作,但不适用于通过 Git 协议执行的操作。

GitPullGitPush 是 IAM policy 权限,它们不是 API 操作。

使用滚动条查看表的其余部分。

CodeCommit 对 Git 客户端命令的操作所需的权限
CodeCommit 对 Git 的权限 所需权限 资源

GitPull

codecommit:GitPull

将信息从 CodeCommit 存储库拉取到本地存储库时是必需的。这只是一种 IAM 策略权限,不是 API 操作。

arn:aws:codecommit:region:account-id:repository-name

GitPush

codecommit:GitPush

将信息从本地存储库推送到 CodeCommit 存储库时是必需的。这只是一种 IAM 策略权限,不是 API 操作。

注意

如果您创建一条策略,其中包含一个上下文键和一个 Deny 语句,该语句包含此权限,则该策略还必须包含 Null 上下文。有关更多信息,请参阅限制推送和合并到中的分支 Amazon CodeCommit

arn:aws:codecommit:region:account-id:repository-name

分支操作权限

以下权限允许或拒绝对 CodeCommit 存储库中的分支执行操作。这些权限仅适用于在 CodeCommit 控制台和使用 CodeCommit API 执行的操作,以及使用 Amazon CLI 执行的命令。它们与可以使用 Git 协议执行的类似操作无关。例如,git show-branch -r 命令使用 Git 协议显示存储库的远程分支及其提交的列表。它不受任何 CodeCommit ListBranches 操作权限的影响。

有关为分支创建策略的更多信息,请参阅限制推送和合并到中的分支 Amazon CodeCommit客户管理型策略示例

使用滚动条查看表的其余部分。

针对分支的 CodeCommit API 操作和操作所需的权限
针对分支的 CodeCommit API 操作 所需权限(API 操作) 资源

CreateBranch

codecommit:CreateBranch

在 CodeCommit 存储库中创建分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name

DeleteBranch

codecommit:DeleteBranch

从 CodeCommit 存储库中删除分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetBranch

codecommit:GetBranch

获取有关 CodeCommit 存储库中某个分支的详细信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name
ListBranches

codecommit:ListBranches

获取 CodeCommit 存储库中分支的列表时是必需的。

arn:aws:codecommit:region:account-id:repository-name
MergeBranchesByFastForward

codecommit:MergeBranchesByFastForward

在 CodeCommit 存储库中使用快进合并策略合并两个分支时是必需的。

 arn:aws:codecommit:region:account-id:repository-name
MergeBranchesBySquash

codecommit:MergeBranchesBySquash

在 CodeCommit 存储库中使用压缩合并策略合并两个分支时是必需的。

 arn:aws:codecommit:region:account-id:repository-name
MergeBranchesByThreeWay

codecommit:MergeBranchesByThreeWay

在 CodeCommit 存储库中使用三向合并策略合并两个分支时是必需的。

 arn:aws:codecommit:region:account-id:repository-name
UpdateDefaultBranch codecommit:UpdateDefaultBranch

更改 CodeCommit 存储库中的默认分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name

针对合并的操作所需的权限

以下权限允许或拒绝对 CodeCommit 存储库中的合并执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。有关分支的相关权限,请参阅分支操作权限。有关拉取请求的相关权限,请参阅针对拉取请求的操作所需的权限

使用滚动条查看表的其余部分。

针对合并命令的操作所需的 CodeCommit 权限
合并的 CodeCommit 权限 所需权限 资源

BatchDescribeMergeConflicts

codecommit:BatchDescribeMergeConflicts

返回有关 CodeCommit 存储库中的提交之间的合并冲突的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

CreateUnreferencedMergeCommit

codecommit:CreateUnreferencedMergeCommit

在 CodeCommit 存储库中的两个分支或提交之间创建未引用的提交以进行比较和找出任何潜在冲突时是必需的。

arn:aws:codecommit:region:account-id:repository-name

DescribeMergeConflicts

codecommit:DescribeMergeConflicts

返回有关 CodeCommit 存储库中的潜在合并中的文件的基本、源和目标版本之间的合并冲突的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetMergeCommit

codecommit:GetMergeCommit

返回有关 CodeCommit 存储库中的源和目标提交之间的合并的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetMergeOptions

codecommit:GetMergeOptions

返回有关 CodeCommit 存储库中的两个分支或提交说明符之间的可用合并选项的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

针对拉取请求的操作所需的权限

以下权限允许或拒绝对 CodeCommit 存储库中的拉取请求执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。有关相关评论权限,请参阅针对评论的操作所需的权限

使用滚动条查看表的其余部分。

针对拉取请求的 CodeCommit API 操作和操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

BatchGetPullRequests

codecommit:BatchGetPullRequests

返回有关 CodeCommit 存储库中一个或多个拉取请求的信息时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

CreatePullRequest

codecommit:CreatePullRequest

在 CodeCommit 存储库中创建拉取请求时是必需的。

arn:aws:codecommit:region:account-id:repository-name
CreatePullRequestApprovalRule

codecommit:CreatePullRequestApprovalRule

为 CodeCommit 存储库中的拉取请求创建审批规则时是必需的。

arn:aws:codecommit:region:account-id:repository-name
DeletePullRequestApprovalRule

codecommit:DeletePullRequestApprovalRule

删除 CodeCommit 存储库中拉取请求的审批规则时是必需的。

arn:aws:codecommit:region:account-id:repository-name
DescribePullRequestEvents 返回有关 CodeCommit 存储库中的一个或多个拉取请求事件的信息时是必需的。 arn:aws:codecommit:region:account-id:repository-name
EvaluatePullRequestApprovalRules

codecommit:EvaluatePullRequestApprovalRules

评估拉取请求是否满足 CodeCommit 存储库中关联的审批规则指定的所有条件时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommentsForPullRequest

codecommit:GetCommentsForPullRequest

返回对拉取请求的评论时是必需的。

arn:aws:codecommit:region:account-id:repository-name
GetCommitsFromMergeBase

codecommit:GetCommitsFromMergeBase

返回潜在合并上下文中各提交之间的差异的相关信息时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
GetMergeConflicts

codecommit:GetMergeConflicts

返回有关拉取请求中源分支和目标分支之间的合并冲突的信息时是必需的。

 arn:aws:codecommit:region:account-id:repository-name

GetPullRequest

codecommit:GetPullRequest

返回有关拉取请求的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetPullRequestApprovalStates

codecommit:GetPullRequestApprovalStates

返回有关指定拉取请求的审批状态的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetPullRequestOverrideState

codecommit:GetPullRequestOverrideState

返回有关是否已为拉取请求搁置(覆盖)审批规则的信息时是必需的,如果是,则返回覆盖规则的用户或身份的 Amazon 资源名称 (ARN) 及其对拉取请求的要求。

arn:aws:codecommit:region:account-id:repository-name
ListPullRequests

codecommit:ListPullRequests

返回有关存储库的拉取请求的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name
MergePullRequestByFastForward codecommit:MergePullRequestByFastForward

关闭拉取请求并尝试使用快进合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name
MergePullRequestBySquash codecommit:MergePullRequestBySquash

关闭拉取请求并尝试使用压缩合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name
MergePullRequestByThreeWay codecommit:MergePullRequestByThreeWay

关闭拉取请求并尝试使用三向合并策略将源分支合并到拉取请求的目标分支时是必需的。

arn:aws:codecommit:region:account-id:repository-name
OverridePullRequestApprovalRules codecommit:OverridePullRequestApprovalRules

为 CodeCommit 存储库中的拉取请求搁置所有审批规则要求时是必需的。

arn:aws:codecommit:region:account-id:repository-name
PostCommentForPullRequest codecommit:PostCommentForPullRequest

对 CodeCommit 存储库中的拉取请求发布评论时是必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestApprovalRuleContent codecommit:UpdatePullRequestApprovalRuleContent

更改 CodeCommit 存储库中拉取请求的审批规则结构时是必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestApprovalState codecommit:UpdatePullRequestApprovalState

更改 CodeCommit 存储库中拉取请求的审批状态时是必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestDescription codecommit:UpdatePullRequestDescription

更改 CodeCommit 存储库中拉取请求的说明时是必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestStatus codecommit:UpdatePullRequestStatus

更改 CodeCommit 存储库中拉取请求的状态时是必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdatePullRequestTitle codecommit:UpdatePullRequestTitle

更改 CodeCommit 存储库中拉取请求的标题时是必需的。

arn:aws:codecommit:region:account-id:repository-name

针对审批规则模板的操作所需的权限

以下权限允许或拒绝对 CodeCommit 存储库中的审批规则模板执行操作。这些权限仅与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。有关拉取请求的相关权限,请参阅针对拉取请求的操作所需的权限

使用滚动条查看表的其余部分。

针对审批规则模板的 CodeCommit API 操作和操作所需的权限
针对审批规则模板的 CodeCommit API 操作 所需权限 资源

AssociateApprovalRuleTemplateWithRepository

codecommit:AssociateApprovalRuleTemplateWithRepository

将模板与 Amazon Web Services 账户中的指定存储库关联时是必需的。关联后,此操作会根据在指定存储库中创建的每个拉取请求的模板条件,自动创建与之匹配的审批规则。

*

BatchAssociateApprovalRuleTemplateWithRepositories

codecommit:BatchAssociateApprovalRuleTemplateWithRepositories

将模板与 Amazon Web Services 账户中的一个或多个指定存储库关联时是必需的。

*

BatchDisassociateApprovalRuleTemplateFromRepositories

codecommit:BatchDisassociateApprovalRuleTemplateFromRepositories

取消模板与 Amazon Web Services 账户中的一个或多个指定存储库的关联时是必需的。

*

CreateApprovalRuleTemplate

codecommit:CreateApprovalRuleTemplate

创建随后可与 Amazon 账户中的一个或多个存储库关联的审批规则模板时是必需的。

*

DeleteApprovalRuleTemplate

codecommit:DeleteApprovalRuleTemplate

删除 Amazon Web Services 账户中的指定模板时是必需的。它不会删除已使用模板创建的拉取请求的审批规则。

*

DisassociateApprovalRuleTemplateFromRepository

codecommit:DisassociateApprovalRuleTemplateFromRepository

取消指定模板与 Amazon Web Services 账户中的存储库的关联时是必需的。它不会删除已使用模板创建的拉取请求的审批规则。

*

GetApprovalRuleTemplate

codecommit:GetApprovalRuleTemplate

返回有关 Amazon Web Services 账户中审批规则模板的信息时是必需的。

*

ListApprovalRuleTemplates

codecommit:ListApprovalRuleTemplates

列出 Amazon Web Services 账户中的审批规则模板时是必需的。

*

ListAssociatedApprovalRuleTemplatesForRepository

codecommit:ListAssociatedApprovalRuleTemplatesForRepository

列出与 Amazon Web Services 账户中的指定存储库关联的所有审批规则模板时是必需的。

*

ListRepositoriesForApprovalRuleTemplate

codecommit:ListRepositoriesForApprovalRuleTemplate

列出与 Amazon Web Services 账户中的指定审批规则模板关联的所有存储库时是必需的。

*

UpdateApprovalRuleTemplateContent

codecommit:UpdateApprovalRuleTemplateContent

更新 Amazon Web Services 账户中的审批规则模板的内容时是必需的。

*

UpdateApprovalRuleTemplateDescription

codecommit:UpdateApprovalRuleTemplateDescription

更新 Amazon Web Services 账户中的审批规则模板的描述时是必需的。

*

UpdateApprovalRuleTemplateName

codecommit:UpdateApprovalRuleTemplateName

更新 Amazon Web Services 账户中的审批规则模板的名称时是必需的。

*

针对单个文件的操作所需的权限

以下权限允许或拒绝对 CodeCommit 存储库中的单个文件执行操作。这些权限仅与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。例如,git push 命令通过使用 Git 协议将新文件和更改后的文件推送到 CodeCommit 存储库。它不受任何 CodeCommit PutFile 操作权限的影响。

使用滚动条查看表的其余部分。

针对单个文件的 CodeCommit API 操作和操作所需的权限
针对单个文件的 CodeCommit API 操作 所需权限 资源

DeleteFile

codecommit:DeleteFile

在 CodeCommit 控制台中删除 CodeCommit 存储库中指定分支中的指定文件时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetBlob

codecommit:GetBlob

在 CodeCommit 控制台中查看 CodeCommit 存储库中单个文件的编码内容时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetFile

codecommit:GetFile

在 CodeCommit 控制台中查看 CodeCommit 存储库中单个文件及其元数据的编码内容时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetFolder

codecommit:GetFolder

在 CodeCommit 控制台中查看 CodeCommit 存储库中指定文件夹的内容时是必需的。

arn:aws:codecommit:region:account-id:repository-name

PutFile

codecommit:PutFile

对于通过 CodeCommit 控制台、CodeCommit API 或 Amazon CLI 将新文件或修改后的文件添加到 CodeCommit 存储库是必需的。

arn:aws:codecommit:region:account-id:repository-name

针对评论的操作所需的权限

以下权限允许或拒绝对 CodeCommit 存储库中的评论执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。有关对拉取请求中的评论的相关权限,请参阅针对拉取请求的操作所需的权限

使用滚动条查看表的其余部分。

针对存储库中的评论的 CodeCommit API 操作和所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

DeleteCommentContent

codecommit:DeleteCommentContent

删除对存储库中的更改、文件或提交做出的评论的内容时是必需的。评论无法删除,但如果用户拥有此权限,则可以删除评论内容。

arn:aws:codecommit:region:account-id:repository-name

GetComment

codecommit:GetComment

返回有关对 CodeCommit 存储库中的更改、文件或提交做出的评论的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommentReactions

codecommit:GetCommentReactions

返回有关对 CodeCommit 存储库中的更改、文件或提交做出的评论的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommentsForComparedCommit

codecommit:GetCommentsForComparedCommit

返回有关对某一 CodeCommit 存储库中的两个提交之间的对比做出的评论的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

PostCommentForComparedCommit

codecommit:PostCommentForComparedCommit

对某一 CodeCommit 存储库中的两个提交之间的对比创建评论时是必需的。

arn:aws:codecommit:region:account-id:repository-name
PostCommentReply

codecommit:PostCommentReply

对评论之间的比较或拉取请求的评论创建回复时是必需的。

arn:aws:codecommit:region:account-id:repository-name
PutCommentReaction

codecommit:PutCommentReaction

创建或更新对评论的表情符号反应时是必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdateComment

codecommit:UpdateComment

对评论之间的比较或拉取请求的评论进行编辑时是必需的。只有评论作者可以编辑评论。

arn:aws:codecommit:region:account-id:repository-name

针对已提交代码的操作所需的权限

以下权限允许或拒绝对已提交到 CodeCommit 存储库的代码执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。例如,git commit 命令使用 Git 协议为存储库中的分支创建提交。它不受任何 CodeCommit CreateCommit 操作权限的影响。

显式拒绝这些权限中的某些权限可能会在 CodeCommit 控制台中导致意外后果。例如,将 GetTree 设置为 Deny 将阻止用户在控制台中浏览存储库的内容,但不会阻止用户查看存储库中文件的内容 (例如,用户可以打开并浏览以电子邮件方式发来的文件链接)。将 GetBlob 设置为 Deny 将阻止用户查看文件的内容,但不会阻止用户浏览存储库的结构。将 GetCommit 设置为 Deny 将阻止用户检索有关提交的详细信息。将 GetObjectIdentifier 设置为 Deny 将阻止大部分代码浏览功能。如果在策略中将所有这三个操作都设为 Deny,则具有该策略的用户无法在 CodeCommit 控制台中浏览代码。

使用滚动条查看表的其余部分。

针对已提交代码的 CodeCommit API 操作和操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

BatchGetCommits

codecommit:BatchGetCommits

返回有关 CodeCommit 存储库中的一个或多个提交的信息时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
CreateCommit

codecommit:CreateCommit

创建提交时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommit

codecommit:GetCommit

返回有关提交的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommitHistory

codecommit:GetCommitHistory

返回有关存储库中提交历史记录的信息时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
GetDifferences

codecommit:GetDifferences

返回有关提交说明符 (如分支、标签、HEAD、提交 ID 或其他完全限定引用) 差异的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name
GetObjectIdentifier codecommit:GetObjectIdentifier

将 blob、树和提交解析为其标识符时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
GetReferences codecommit:GetReferences

返回所有引用 (如分支和标签) 时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
GetTree codecommit:GetTree

在 CodeCommit 控制台中查看 CodeCommit 存储库中指定树的内容时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

针对存储库的操作所需的权限

以下权限允许或拒绝对 CodeCommit 存储库执行操作。这些权限与使用 CodeCommit 控制台和 CodeCommit API 执行的操作以及使用 Amazon CLI 执行的命令有关。它们与可以使用 Git 协议执行的类似操作无关。

使用滚动条查看表的其余部分。

针对存储库的 CodeCommit API 操作和操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

BatchGetRepositories

codecommit:BatchGetRepositories

获取有关 Amazon Web Services 账户中的多个 CodeCommit 存储库的信息时是必需的。在 Resource 中,必须指定允许(或拒绝)用户访问其中信息的所有 CodeCommit 存储库的名称。

arn:aws:codecommit:region:account-id:repository-name

CreateRepository

codecommit:CreateRepository

创建 CodeCommit 存储库时是必需的。

arn:aws:codecommit:region:account-id:repository-name

DeleteRepository

codecommit:DeleteRepository

删除 CodeCommit 存储库时是必需的。

arn:aws:codecommit:region:account-id:repository-name
GetRepository

codecommit:GetRepository

获取有关单个 CodeCommit 存储库的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name
ListRepositories codecommit:ListRepositories

获取 Amazon Web Services 账户的多个 CodeCommit 存储库的名称和系统 ID 列表时是必需的。对于该操作来说,Resource 唯一允许的值是所有存储库 (*)。

*
UpdateRepositoryDescription codecommit:UpdateRepositoryDescription

更改 CodeCommit 存储库的说明时是必需的。

arn:aws:codecommit:region:account-id:repository-name
UpdateRepositoryName codecommit:UpdateRepositoryName

更改 CodeCommit 存储库的名称时是必需的。在 Resource 中,必须同时指定允许更改的 CodeCommit 存储库和新存储库的名称。

arn:aws:codecommit:region:account-id:repository-name

针对标签的操作所需的权限

以下权限允许或拒绝对 CodeCommit 资源的 Amazon 标签执行操作。

使用滚动条查看表的其余部分。

针对标签的 CodeCommit API 操作和操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

ListTagsForResource

codecommit:ListTagsForResource

返回有关为 CodeCommit 中的资源配置的 Amazon 标签的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

TagResource

codecommit:TagResource

为 CodeCommit 中的资源添加或编辑 Amazon 标签时是必需的。

arn:aws:codecommit:region:account-id:repository-name

UntagResource

codecommit:UntagResource

从 CodeCommit 中的资源删除 Amazon 标签时是必需的。

arn:aws:codecommit:region:account-id:repository-name

针对触发器的操作所需的权限

以下权限允许或拒绝对 CodeCommit 存储库的触发器执行操作。

使用滚动条查看表的其余部分。

针对触发器的 CodeCommit API 操作和操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

GetRepositoryTriggers

codecommit:GetRepositoryTriggers

返回有关为存储库配置的触发器的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

PutRepositoryTriggers

codecommit:PutRepositoryTriggers

创建、编辑或删除存储库触发器时是必需的。

arn:aws:codecommit:region:account-id:repository-name

TestRepositoryTriggers

codecommit:TestRepositoryTriggers

通过向为触发器配置的主题或函数发送数据来测试存储库触发器的功能时是必需的。

arn:aws:codecommit:region:account-id:repository-name

针对 CodePipeline 集成的操作所需的权限

为了使 CodePipeline 在源操作中使用 CodeCommit 存储库作为管道,您必须向 CodePipeline 的服务角色授予下表中列出的所有权限。如果未在服务角色中设置这些权限或将这些权限设为 Deny,则在对存储库进行更改时,管道不会自动运行,并且无法手动发布更改。

使用滚动条查看表的其余部分。

针对 CodePipeline 集成的 CodeCommit API 操作和操作所需的权限
CodeCommit API 操作 所需权限(API 操作) 资源

GetBranch

codecommit:GetBranch

获取有关 CodeCommit 存储库中某个分支的详细信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

GetCommit

codecommit:GetCommit

返回有关到 CodePipeline 服务角色的提交的信息时是必需的。

arn:aws:codecommit:region:account-id:repository-name

UploadArchive

codecommit:UploadArchive

允许 CodePipeline 服务角色将存储库更改上传到管道中时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name

GetUploadArchiveStatus

codecommit:GetUploadArchiveStatus

确定存档的上传状态:是正在进行、完成、已取消还是出现错误时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name
CancelUploadArchive codecommit:CancelUploadArchive

取消将存档上传到管道的操作时是必需的。这只是一种 IAM policy 权限,不是可调用的 API 操作。

arn:aws:codecommit:region:account-id:repository-name