Я выкладываю несколько проектов на AWS CodeCommit. Я настраиваю 3 группы пользователей.
- Авторы (работа в филиале репо только на основе филиала, просмотр / редактирование)
- Рецензенты (должны иметь возможность объединяться в dev & ветки prod (просмотр / редактирование / объединение без основной ветки), требуется доступ к консоли CodeCommit
- Менеджеры (управление всеми репо и ветками), требуется доступ к консоли CodeCommit
- читатели (только просмотр репоз)
Я пытаюсь написать политику, которая удовлетворит мою секнарио. Ниже приведена политика для читателей.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"codecommit:BatchGet*",
"codecommit:BatchDescribe*",
"codecommit:Get*",
"codecommit:Describe*",
"codecommit:List*",
"codecommit:GitPull"
],
"Resource": "arn:aws:codecommit:us-east-1:????????????:prod_repo"
}
]
}
Пользователи этой группы не могут просматривать репозитории и получают следующую ошибку.
User: arn:aws:iam::????????????:user/Reader is not authorized to perform: codecommit:ListRepositories with an explicit deny
Как лучше написать политика, которая будет соответствовать вышеуказанным требованиям?