对 AWS Codeartifact 中的存储库策略有疑问。我们已经在工件中创建了域和存储库。现在我们需要限制存储库,以便用户只能从本地机器上从 codeartifact 存储库中提取,而不能发布到该存储库。我们在 repo 上设置了以下策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<domainowner>:user/<**username>"
},
"Action": [
"codeartifact:DescribePackageVersion",
"codeartifact:DescribeRepository",
"codeartifact:GetPackageVersionReadme",
"codeartifact:GetRepositoryEndpoint",
"codeartifact:ListPackageVersionAssets",
"codeartifact:ListPackageVersionDependencies",
"codeartifact:ListPackageVersions",
"codeartifact:ListPackages",
"codeartifact:ReadFromRepository"
],
"Resource": "*"
}
]
}
但不幸的是,用户可以通过对这个 codeartifact repo执行npm login
和发布。npm publish
此用户具有 AdministratorAccess 和 AWSCodeArtifactReadOnlyAccess 组。
不完全确定我们在这里做错了什么。任何想法/建议都会有很大帮助。谢谢大家。