git - IAM 阻止访问 AWS CodeCommit 存储库

Question

我设置了对 CodeCommit 的 SSH 访问并测试了连接：

You have successfully authenticated over SSH. You can use Git to interact with AWS CodeCommit. Interactive shells are not supported.Connection to git-codecommit.us-east-1.amazonaws.com closed by remote host.

当我尝试克隆或推送时，我看到此错误：

Access denied: User: arn:aws:iam::##########:user/me@me.com is not authorized to perform: codecommit:GitPull on resource: arn:aws:codecommit:us-east-1:##########:my-repo

即使在向我的用户添加策略以访问此 repo 上的所有操作后，我也无法克隆或推送。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codecommit:*"
            ],
            "Resource": [
                "arn:aws:codecommit:us-east-1:##########:my-repo"
            ]
        }
    ]
}

是什么赋予了？其他人有这个问题吗？

Answer 1

有几件事可能会导致这种情况：

1. 如果有任何组权限拒绝访问 CodeCommit

2. 如果您使用的是多因素身份验证，那将不适用于 SSH ( http://docs.aws.amazon.com/codecommit/latest/userguide/temporary-access.html )

3. 拒绝访问 KMS 的 IAM 策略

如果您在 AWS 论坛上发布此内容，我们可以使用您的账户 ID 来帮助您解决问题。

Answer 2

在我的例子中，我有一个策略，除了在 AWS 中设置 MFA 之外，大多数事情都需要 MFA 登录。我最终添加了 codecommit 作为 MFA 所需策略的豁免，因此我不必在我们的开发人员环境中做任何额外的事情来处理 MFA 登录以 git 访问 codecommit。