AWS CodeArtifact 存储库策略

【问题标题】:AWS CodeArtifact Repository policyAWS CodeArtifact 存储库策略
【发布时间】:2020-10-14 05:08:35
【问题描述】:

对 AWS Codeartifact 中的存储库策略有疑问。我们已经在工件中创建了域和存储库。现在我们需要限制存储库,以便用户可以从其本地计算机上从 codeartifact 存储库中提取,而不能能够发布到此存储库。我们在 repo 上设置了以下策略

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<domainowner>:user/<**username>"
            },
            "Action": [
                "codeartifact:DescribePackageVersion",
                "codeartifact:DescribeRepository",
                "codeartifact:GetPackageVersionReadme",
                "codeartifact:GetRepositoryEndpoint",
                "codeartifact:ListPackageVersionAssets",
                "codeartifact:ListPackageVersionDependencies",
                "codeartifact:ListPackageVersions",
                "codeartifact:ListPackages",
                "codeartifact:ReadFromRepository"
            ],
            "Resource": "*"
        }
    ]
}

但不幸的是,用户可以通过对此 codeartifact 存储库执行 npm loginnpm publish 来发布。此用户拥有 AdministratorAccess 和 AWSCodeArtifactReadOnlyAccess 组。

不完全确定我们在这里做错了什么。任何想法/建议都会有很大帮助。提前谢谢大家。

【问题讨论】:

    标签: aws-codeartifact


    【解决方案1】:

    为了解决这个问题,我们为拥有管理员访问权限的用户创建了一个明确拒绝 codeartifact:PublishPackageVersion 的自定义策略,删除了管理员用户的 AWSCodeArtifactReadOnlyAccess,一切似乎都运行良好。理想情况下,可能不是正确的解决方案。使用其中一些策略创建单独的用户可能会更好。但是,目前这似乎对我们有用。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2022-09-28
      • 2022-08-09
      • 1970-01-01
      • 1970-01-01
      • 2022-11-14
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode