CodeCommit上のリポジトリでmasterブランチへのプッシュを禁止してみる

CodeCommit上のリポジトリでmasterブランチへのプッシュを禁止してみる

pull requestベースで運用していると、リモートのmasterにpushしちゃって迷惑かけたなんてことないですか?CodeCommitでコード管理すれば簡単に制限できます。その設定方法を解説します。
#Git
#チーム開発
#AWS IAM
#AWS CodeCommit
#AWS
西村祐二

西村祐二

facebook logohatena logotwitter logo
Clock Icon2018.08.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

どうも!大阪オフィスの西村祐二です。

ソースコードをGitで管理するとき、pull requestベースで運用することが多いのではないでしょうか。

そんなとき、リモートのmasterブランチには直接pushして欲しくないと思います。間違ってpushしたとしてもサーバ側で拒否してほしいですよね。

CodeCommitではIAMを使うことによって簡単に制限することができます。

今回はその方法について記載します。

どうやって制限するのか

IAMポリシーを使って制限します。

プッシュ以外にも、プルリクエストを制限したり、ファイルのアップデートを禁止させたいすることができます。 また、ポリシーで条件ステートメントを使用し、条件が満たされている場合にのみ Deny ステートメントを適用することができます。

AWS CodeCommit のアクセス権限のリファレンス

ブランチへのプッシュを制限するためのIAMポリシーを作成する

CodeCommit上のリポジトリでmasterブランチへのプッシュを禁止するために、IAMポリシーを使って制限します。

そのポリシーをマネージメントコンソールから作成します。

▼ポリシー作成をクリックします。

▼jsonタブをクリックします。

▼下記ポリシーを貼り付けて次へ

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "codecommit:GitPush"
      ],
      "Resource": "*",
      "Condition": {
        "StringEqualsIfExists": {
          "codecommit:References": [
            "refs/heads/master"
          ]
        },
        "Null": {
          "codecommit:References": false
        }
      }
    }
  ]
}
  • プッシュだけじゃなくプルリクエストのマージも禁止したいときは"codecommit:MergePullRequestByFastForward"をActionのところに追加すると制限することができます。

AWS CodeCommit のアクセス権限のリファレンス

  • あるリポジトリのみ制限したい場合はResourceにARN(arn:aws:codecommit:<region>:<account id>:<repo name>)を設定することで実現できます。

  • masterブランチだけじゃなく、prodブランチも禁止させたい場合は、masterブランチの下に"refs/heads/prod"を追加することで合わせて制限することができます。

▼名前を「deny-push-master-branch」としてポリシー作成します。

ポリシーの作成は完了です。

IAMポリシーを適用する

ブランチへのプッシュを制限するポリシーを作成しましたが、そのポリシーをIAMユーザー、グループ、またはロールに適用するまで効果がありません。

グループで管理する方法と、直接アタッチする方法の2つのパターンをご紹介します。どちらかの方法で設定してください。

パターン1:IAMグループを作成しIAMポリシーを紐づけ、ユーザを追加する

▼グループを作成します。

▼グループ名「codecommit」として作成します。

▼作成したポリシーを指定します。

▼グループにユーザを追加します。

▼masterブランチへのプッシュを禁止させたいユーザを選びます。

これで設定完了です。

パターン2:IAMユーザに直接IAMポリシーをアタッチする

▼ポリシーアクションから「アタッチ」を選択します。

▼masterブランチへのプッシュを禁止させたいユーザを選びます。

これで設定完了です。

動作確認

実際にmasterブランチにpushしてみましょう。

$ git push origin master --force
Counting objects: 2, done.
Delta compression using up to 8 threads.
Compressing objects: 100% (2/2), done.
Writing objects: 100% (2/2), 237 bytes | 237.00 KiB/s, done.
Total 2 (delta 1), reused 0 (delta 0)
To https://git-codecommit.ap-northeast-1.amazonaws.com/v1/repos/test
 ! [remote rejected] master -> master (You don't have permission to push changes to this branch.)
error: failed to push some refs to 'https://git-codecommit.ap-northeast-1.amazonaws.com/v1/repos/test'

想定通り、rejectedされていることがわかります。

さいごに

いかがだったでしょうか。

IAMポリシーを使って、CodeCommit上のリポジトリでmasterブランチへのプッシュを禁止してみました。

Githubのように高機能ではないですが、必要最低限の機能は揃っていると思いますので、CodeCommitを使ってみてはいかがでしょうか。

誰かの参考になれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

間違ってmainから派生させたブランチを、git cherry-pickを使ってdevelopからの派生に修正してみた

間違ってmainから派生させたブランチを、git cherry-pickを使ってdevelopからの派生に修正してみた

User avatar
おのやん
2024.10.20
複数のGitHubアカウントを同一マシンで使い分ける方法(フォルダごとのリモート紐づけ設定)

複数のGitHubアカウントを同一マシンで使い分ける方法(フォルダごとのリモート紐づけ設定)

User avatar
nokomoro3
2024.08.25
Huskyのv8の頃の書き方がv9で非推奨になってたので修正してみた

Huskyのv8の頃の書き方がv9で非推奨になってたので修正してみた

git 이전 브랜치 이름을 가져오는 방법들

git 이전 브랜치 이름을 가져오는 방법들

User avatar
lee.byonghun
2024.08.13
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.