Git AWS IAM策略限制对名称中带有通配符的CodeCommit分支的访问

Amazon现在支持通过IAM策略逐个分支限制对CodeCommit存储库的访问。 我已经使用下面的策略形式成功地拒绝了对特定分支的访问，但找不到拒绝访问以特定名称开头的所有分支的方法。 Ie:master和develop是特定的分支，但我还有release-1、release-2等，我也想否认这一点。 我想要的是能够使用通配符。我试过释放-*但没用。 它们的格式是否可以在codecommit:References中包含通配符

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "codecommit:GitPush",
                "codecommit:DeleteBranch",
                "codecommit:PutFile",
                "codecommit:MergePullRequestByFastForward"
            ],
            "Resource": "arn:aws:codecommit:us-east-2:80398EXAMPLE:MyDemoRepo",
            "Condition": {
                "StringEqualsIfExists": {
                    "codecommit:References": [
                        "refs/heads/master",
                        "refs/heads/develop",
                        "refs/heads/release-[now what]"
                    ]
                },
            "Null": {
                "codecommit:References": false
                }
            }
        }
    ]
}

---

这是一个IAM策略，假设它支持此处列出的所有条件运算符：。但由于“GitPush”操作本身在幕后涉及两个单独的操作，为了实现预期的行为，应该使用..IfExists条件运算符族。也就是说，为了在这种情况下使用通配符，应该使用StringLikeIfExists。您的政策可以是这样的：

{ 版本：2012-10-17， 声明：[ { 效果：否认， 行动：[ codecommit:GitPush ], 参考资料：arn:aws:codecommit:us-east-2:80398示例：MyDemoRepo， 条件：{ Stringlike不存在：{ codecommit:参考：[ 参考文献/标题/发布-* ] }, 空值：{ codecommit:引用：false } } }, { 效果：否认， 行动：[ codecommit:GitPush， codecommit:DeleteBranch， codecommit:PutFile， codecommit:MergePullRequestByFastForward ], 参考资料：arn:aws:codecommit:us-east-2:80398示例：MyDemoRepo， 条件：{ StringEqualsIfExists：{ codecommit:参考：[ 参考/主管/主管， 参考文献/标题/产品 ] }, 空值：{ codecommit:引用：false } } } ] }

---

这样，通配符匹配和精确匹配都应该得到支持。

非常有用，谢谢。StringlikeiExists是它的关键。