连接到Amazon CodeCommit具有轮换凭证的存储库 - Amazon CodeCommit
第 1 步:完成先决条件第 2 步:获取角色名称或访问证书第 3 步:安装 git-remote-codecommit 并配置Amazon CLI第 4 步:针对的访问权限 CodeCommit 存储库
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

连接到Amazon CodeCommit具有轮换凭证的存储库

您可以向用户授予对您的访问的访问权限Amazon CodeCommit存储库,而无需为其配置 IAM 用户或使用访问密钥和秘密密钥。要向联合身份分配权限,请创建角色并为角色定义权限。当联合身份进行身份验证时,该身份将与角色相关联并被授予由此角色定义的权限。有关联合身份验证的角色的信息,请参阅《IAM 用户指南》中的为第三方身份提供商创建角色。您还可以配置基于角色的访问权限,以便 IAM 用户访问 CodeCommit 单独的Amazon Web Services 账户中的存储库(这种技术被称为跨账户访问)。有关配置对存储库的跨账户访问的演练,请参阅使用角色配置对Amazon CodeCommit存储库的跨账户访问权限

当用户想要或必须通过以下方式进行身份验证时,您可以为这些用户配置访问权限:

  • 安全断言标记语言 (SAML)

  • 多重验证 (MFA)

  • 联合身份验证

  • Login with Amazon

  • Amazon Cognito

  • Facebook

  • Google

  • OpenID Connect (OIDC) 兼容身份提供商

注意

以下信息只适用于使用git-remote-codecommit或者Amazon CLI要连接的凭证助手 CodeCommit 存储库。因为建议对进行临时或联合访问的方法 CodeCommit 是设置git-remote-codecommit,本主题提供使用该实用程序的示例。有关更多信息,请参阅 使用 HTTPS 连接到Amazon CodeCommit的设置步骤 git-remote-codecommit

您不能使用 SSH 或 Git 凭证及 HTTPS 连接到 CodeCommit 具有轮换或临时访问凭证的存储库。

如果满足以下所有要求,则不需要完成这些步骤:

已将满足上述要求的 Amazon EC2 实例设为使用临时访问凭证连接到 CodeCommit 代表您使用。

注意

您可以配置和使用git-remote-codecommit在Amazon EC2 实例上。

向用户授予对您的的临时访问权限 CodeCommit 存储库,完成以下步骤。

第 1 步:完成先决条件

完成设置步骤,为用户提供访问您的权限 CodeCommit 使用轮换凭证的存储库:

使用中的信息Amazon CodeCommit 的身份验证和访问控制指定 CodeCommit 您要授予用户的权限。

第 2 步:获取角色名称或访问证书

如果您希望您的用户通过代入角色来访问存储库,请为您的用户提供该角色的 Amazon 资源名称 (ARN)。否则,根据您设置访问权限的方式,您的用户可以通过以下方式之一获得轮换凭证:

第 3 步:安装 git-remote-codecommit 并配置Amazon CLI

您必须通过安装 git-remote-codecommit 并在 Amazon CLI 中配置一个配置文件来配置本地计算机以使用访问凭证。

  1. 按照设置 中的说明设置 Amazon CLI。使用 aws configure 命令配置一个或多个配置文件。考虑创建一个命名配置文件,以便在连接到时使用 CodeCommit 使用轮换凭据的存储库。

  2. 您可以使用下列方法之一将凭证与用户的 Amazon CLI 命名配置文件关联。

    • 如果你要扮演一个角色来访问 CodeCommit,使用代入该角色所需的信息配置一个命名配置文件。例如,如果你想担任一个名为的角色CodeCommitAccess在 Amazon Web Services 账户 1111111111 中,您可以配置在使用其他账户时要使用的默认配置文件Amazon资源和担任该角色时使用的命名配置文件。以下命令创建一个命名配置文件CodeAccess它扮演一个名为的角色CodeCommitAccess. 用户名玛丽亚_加西亚与会话关联,默认配置文件设置为其来源Amazon凭证:

      aws configure set role_arn arn:aws:iam::111111111111:role/CodeCommitAccess --profile CodeAccess
aws configure set source_profile default --profile CodeAccess
aws configure set role_session_name "Maria_Garcia" --profile CodeAccess

      如果要验证更改,请手动查看或编辑 ~/.aws/config 文件(适用于 Linux)或 %UserProfile%.aws\config 文件(适用于 Windows),并查看命名配置文件下的信息。例如,您的文件可能如下所示:

      [default]
region = us-east-1
output = json

[profile CodeAccess]
source_profile = default
role_session_name = Maria_Garcia
role_arn = arn:aws:iam::111111111111:role/CodeCommitAccess

      配置您的命名配置文件后,您可以使用此命名配置文件通过 git-remote-codecommit 实用程序克隆 CodeCommit 存储库。例如,克隆名为 MyDemoRepo 的存储库:

      git clone codecommit://CodeAccess@MyDemoRepo

    • 如果您使用的是 Web 联合身份验证和 OpenID Connect (OIDC),请配置代表您进行 Amazon Security Token Service (Amazon STS) AssumeRoleWithWebIdentity API 调用的命名配置文件以刷新临时凭证。使用 aws configure set 命令或手动编辑 ~/.aws/credentials 文件(适用于 Linux)或 %UserProfile%.aws\credentials 文件(适用于 Windows),以添加具有所需设置值的 Amazon CLI 命名配置文件。例如,要创建一个假定CodeCommitAccess角色并使用 Web 身份令牌文件 ~/我的证书/my-token-file

      [CodeCommitWebIdentity]
role_arn = arn:aws:iam::111111111111:role/CodeCommitAccess
web_identity_token_file=~/my-credentials/my-token-file
role_session_name = Maria_Garcia

    有关更多信息,请参阅配置Amazon Command Line Interface在中使用 IAM 角色Amazon CLI中的Amazon Command Line Interface用户指南.

第 4 步:针对的访问权限 CodeCommit 存储库

假设您的用户已按照中的说明进行操作连接存储库将连接到 CodeCommit 存储库,然后用户使用提供的扩展功能git-remote-codecommit还有 Git 可以调用git clonegit push, 和git pull对进行克隆、推送和提取操作 CodeCommit 他或她有权访问的存储库。例如,要克隆存储库:

git clone codecommit://CodeAccess@MyDemoRepo

Git 提交、推送和拉取命令使用常规 Git 语法。

如果用户使用 Amazon CLI 并指定与轮换访问凭证关联的 Amazon CLI 命名配置文件,则所返回结果的范围限定为该配置文件。