为拉取请求创建审批规则

1. 从打开 CodeCommit 控制台https://console.aws.amazon.com/codesuite/codecommit/home.

2. 在 Repositories (存储库) 中，选择要在其中为拉取请求创建审批规则的存储库的名称。

3. 在导航窗格中，选择拉取请求。

4. 从列表中选择要为其创建审批规则的拉取请求。您只能为处于打开状态的拉取请求创建审批规则。

   

5. 在拉取请求中，选择 Approvals (审批)，然后选择 Create approval rule (创建审批规则)。

6. 在 Rule name (规则名称) 中，为规则指定一个描述性名称，以便您知道其用途。例如，如果您希望拉取请求在合并之前，必须由两人对其进行审批，那么可以将该规则命名为 Require two approvals before merge。

   注意

   审批规则在创建之后，其名称无法更改。

   在 Number of approvals needed (需要的审批数量) 中，输入所需的数量。默认值为 1。

   

7. （可选）如果您希望必须由特定用户组对拉取请求进行审批，那么可以在 Approval rule members (审批规则成员) 中，选择 Add (添加)。在 Approver type (审批人类型) 中，选择以下选项之一：

   • IAM 用户名或担任角色：此选项预填充Amazon账户 ID 与您用于登录的账户 ID，并且只需要一个名称。它可以用于名称与所提供名称相匹配的 IAM 用户以及联合访问用户。这是一个非常强大的选项，提供了极大的灵活性。例如，如果您使用亚马逊云科技账户 123456789012 登录并选择此选项，然后指定Mary_Major，以下所有用户都将计为来自该用户的审批：

     • 账户中的 IAM 用户 (arn:aws:iam::123456789012:user/Mary_Major）

     • 在 IAM 中识别为 Mary_Major 的联合身份用户 (arn:aws:sts::123456789012:federated-user/Mary_Major）

     除非包含通配符 (*Mary_Major)，否则此选项无法识别代入 CodeCommitReview 角色且角色会话名称为 Mary_Major (arn:aws:sts::123456789012:assumed-role/CodeCommitReview/Mary_Major) 的某人的活动会话。您还可以显式指定角色名称 (CodeCommitReview/Mary_Major)。

   • 完全合格的 ARN：此选项允许您指定 IAM 用户或角色的完全限定 Amazon 资源名称 (ARN)。此选项还支持由其他 Amazon 服务（如 Amazon Lambda 和 Amazon CodeBuild）使用的代入角色。对于代入的角色，ARN 格式应为 arn:aws:sts::AccountID:assumed-role/RoleName（适用于角色）和 arn:aws:sts::AccountID:assumed-role/FunctionName（适用于函数）。

   如果你选择了IAM 用户名或担任角色作为批准者类型，在值，请输入 IAM 用户或角色的名称，或者输入用户或角色的完全限定 ARN。再次选择 Add (添加) 可添加多个用户或角色，直到您已添加了其审批计入所需审批数量的所有用户或角色。

   这两种审批人类型都允许在其值中使用通配符 (*)。例如，如果您选择IAM 用户名或担任角色选项，然后你指定CodeCommitReview/*，所有承担以下角色的用户CodeCommitReview被计入批准池中。他们各自的角色会话名称将计入所需的审批人数量。按照此方法，Mary_Major 和 Li_Juan 在登录并代入 CodeCommitReview 角色时，都计为审批。有关 IAM ARN、通配符和格式的更多信息，请参阅IAM 标识符.

   注意

   审批规则不支持跨账户审批。

8. 完成审批规则的配置之后，选择 Submit (提交)。

在 CodeCommit 存储库中为拉取请求创建审批规则

1. 运行 create-pull-request-approval-rule 命令，并指定：

   • 拉取请求的 ID（使用 --id 选项）。

   • 审批规则的名称（使用 --approval-rule-name 选项）。

   • 审批规则的内容（使用 --approval-rule-content 选项）。

   创建审批规则时，可以按照以下两种方式之一指定审批池中的审批人：

   • CodeCommitApprovers：此选项只需要 Amazon Web Services 科技账户和资源。它可以用于名称与所提供资源名称相匹配的 IAM 用户以及联合访问用户。这是一个非常强大的选项，提供了极大的灵活性。例如，如果您指定 Amazon Web Services 账户 123456789012 并且Mary_Major，以下所有用户都将计为来自该用户的审批：

     • 账户中的 IAM 用户 (arn:aws:iam::123456789012:user/Mary_Major）

     • 在 IAM 中识别为 Mary_Major 的联合身份用户 (arn:aws:sts::123456789012:federated-user/Mary_Major）

     除非包含通配符 (*Mary_Major)，否则此选项无法识别代入 CodeCommitReview 角色且角色会话名称为 Mary_Major (arn:aws:sts::123456789012:assumed-role/CodeCommitReview/Mary_Major) 的某人的活动会话。

   • 完全合格的 ARN：此选项允许您指定 IAM 用户或角色的完全限定 Amazon 资源名称 (ARN)。

   有关 IAM ARN、通配符和格式的更多信息，请参阅IAM 标识符.

   以下示例创建名为的审批规则：Require two approved approvers用于 ID 为的拉取请求27. 该规则指定审批池中需要两个审批。池中包括所有访问 CodeCommit 并代入角色的用户：CodeCommitReview中的123456789012Amazon Web Services 账户。它还包括名为的 IAM 用户或名为的联合身份用户。Nikhil_Jayashankar在同一 Amazon Web Services 账户中：

   aws codecommit create-pull-request-approval-rule --pull-request-id 27 --approval-rule-name "Require two approved approvers" --approval-rule-content "{\"Version\": \"2018-11-08\",\"Statements\": [{\"Type\": \"Approvers\",\"NumberOfApprovalsNeeded\": 2,\"ApprovalPoolMembers\": [\"CodeCommitApprovers:123456789012:Nikhil_Jayashankar\", \"arn:aws:sts::123456789012:assumed-role/CodeCommitReview/*\"]}]}"

2. 如果成功，该命令产生类似以下内容的输出：

   {
       "approvalRule": {
           "approvalRuleName": "Require two approved approvers",
           "lastModifiedDate": 1570752871.932,
           "ruleContentSha256": "7c44e6ebEXAMPLE",
           "creationDate": 1570752871.932,
           "approvalRuleId": "aac33506-EXAMPLE",
           "approvalRuleContent": "{\"Version\": \"2018-11-08\",\"Statements\": [{\"Type\": \"Approvers\",\"NumberOfApprovalsNeeded\": 2,\"ApprovalPoolMembers\": [\"CodeCommitApprovers:123456789012:Nikhil_Jayashankar\", \"arn:aws:sts::123456789012:assumed-role/CodeCommitReview/*\"]}]}",
           "lastModifiedUser": "arn:aws:iam::123456789012:user/Mary_Major"
       }
   }