本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 跨帳戶儲存庫存取：AccountB 中管理員的動作
<a name="cross-account-administrator-b"></a>

若要允許 AccountB 的使用者或群組存取 AccountA 中的儲存庫，AccountB 管理員必須在 AccountB 中建立群組。此群組必須設定政策，以允許群組成員擔任由 AccountA 管理員所建立的角色。

以下章節提供步驟和範例。

**Topics**
+ [步驟 1：為 AccountB 使用者的儲存庫存取建立 IAM 群組](#cross-account-create-group-b)
+ [步驟 2：建立政策並將使用者新增至 IAM 群組](#cross-account-create-policy-b)

## 步驟 1：為 AccountB 使用者的儲存庫存取建立 IAM 群組
<a name="cross-account-create-group-b"></a>

管理 AccountB 中哪些 IAM 使用者可存取 AccountA 儲存庫的最簡單方法是在 AccountB 中建立 IAM 群組，該群組具有在 AccountA 中擔任角色的許可，然後將 IAM 使用者新增至該群組。<a name="cross-account-create-group-b-procedure"></a>

**建立儲存庫跨帳戶存取的群組**

1. 以具有在 AccountB 中建立 IAM 群組和政策和管理 IAM 使用者所需許可的 IAM 使用者身分登入 管理 AWS 主控台。

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在 IAM 主控台中，選擇**群組**。

1. 選擇 **Create New Group** (建立新群組)。

1. 在 **Group Name (群組名稱)** 中，輸入群組名稱 (例如，{{DevelopersWithCrossAccountRepositoryAccess}})。選擇 **Next Step (後續步驟)**。

1. 在 **Attach Policy** (連接政策) 中選擇 **Next Step** (下一步)。在下一個程序中，您將建立跨帳戶政策。完成群組的建立。

## 步驟 2：建立政策並將使用者新增至 IAM 群組
<a name="cross-account-create-policy-b"></a>

現在您有一個群組，請建立政策，以允許此群組的成員擔任可讓他們在 AccountA 中存取儲存庫的角色。然後將您要在 AccountA 中允許存取的 AccountB 中的 IAM 使用者新增至群組。 AccountA<a name="cross-account-create-policy-for-group"></a>

**建立群組的政策並將使用者新增到群組**

1. 在 IAM 主控台中，選擇**群組**，然後選擇您剛建立的群組名稱 （例如 {{DevelopersWithCrossAccountRepositoryAccess}})。

1. 選擇**許可**索引標籤。展開 **Inline Policies (內嵌政策)**，然後選擇連結來建立內嵌政策。(如果您要設定的群組已有內嵌政策，請選擇 **Create Group Policy (建立群組政策)**。)

1. 選擇 **Custom Policy** (自訂政策)，然後選擇 **Select** (選取)。

1. 在 **Policy Name (政策名稱)** 中，輸入政策的名稱 (例如，{{AccessPolicyForSharedRepository}})。

1. 在 **Policy Document (政策文件)** 中，貼上以下政策。在 中`Resource`，將 ARN 取代為 AccountA 中管理員所建立政策的 ARN （例如 arn：aws：iam：：{{111122223333}}：role/{{MyCrossAccountRepositoryContributorRole}})，然後選擇**套用政策**。如需 AccountA 管理員所建立政策的詳細資訊，請參閱[步驟 1：在 AccountA 中建立儲存庫存取的政策](cross-account-administrator-a.md#cross-account-create-policy-a)。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Allow",
       "Action": "sts:AssumeRole",
       "Resource": "arn:aws:iam::{{111122223333}}:role/{{MyCrossAccountRepositoryContributorRole}}"
     }
   }
   ```

------

1. 選擇**使用者**索引標籤。選擇**將使用者新增至群組**，然後新增 AccountB IAM 使用者。例如，您可以將使用者名稱為 {{Saanvi\_Sarkar}} 的 IAM 使用者新增至群組。
**注意**  
AccountB 中的使用者必須具有程式設計存取權，包括存取金鑰和私密金鑰，才能設定其本機電腦以存取共用的 CodeCommit 儲存庫。如果您要建立 IAM 使用者，請務必儲存存取金鑰和私密金鑰。為確保 AWS 帳戶的安全性，只有在建立金鑰時才能存取私密存取金鑰。