AWS CodeCommit 搭配介面VPC端點使用 - AWS CodeCommit
可用性建立 的VPC端點 CodeCommit建立 的VPC端點政策 CodeCommit

AWS CodeCommit 不再提供給新客戶。的現有客戶 AWS CodeCommit 可以繼續正常使用服務。進一步了解"

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS CodeCommit 搭配介面VPC端點使用

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 託管 AWS 資源,您可以在 VPC和 之間建立私有連線 CodeCommit。您可以使用此連線, CodeCommit 讓 與 上的資源通訊,VPC而無需透過公有網際網路。

Amazon VPC 是一種 AWS 服務,可用來在定義的虛擬網路中啟動 AWS 資源。透過 VPC,您可以控制網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。透過VPC端點, VPC和 AWS 服務之間的路由由 AWS 網路處理,您可以使用 IAM 政策來控制對服務資源的存取。

若要將 VPC連線至 CodeCommit,您可以定義 的介面VPC端點 CodeCommit。介面端點是具有私有 IP 地址的彈性網路介面,可做為目的地為受支援 AWS 服務的流量進入點。端點提供可靠、可擴展的 連線, CodeCommit 而無需網際網路閘道、網路地址轉譯 (NAT) 執行個體或VPN連線。如需詳細資訊,請參閱 Amazon 使用者指南 中的什麼是 VPC AmazonVPC

注意

提供VPC支援並與 整合的 AWS 其他服務 CodeCommit,例如 AWS CodePipeline,可能不支援使用該 Amazon VPC端點進行整合。例如, CodePipeline 和 之間的流量 CodeCommit 不能限制在VPC子網路範圍內。支援整合的服務,例如 AWS Cloud9,可能需要其他服務,例如 AWS Systems Manager。

介面VPC端點採用 AWS PrivateLink,這項 AWS 技術使用具有私有 IP 地址的彈性網路介面,在 AWS 服務之間進行私有通訊。如需詳細資訊,請參閱 AWS PrivateLink

下列步驟適用於 Amazon 的使用者VPC。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的入門

可用性

CodeCommit 目前支援下列 中的VPC端點 AWS 區域:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • Europe (Paris)

  • 歐洲 (法蘭克福)

  • 歐洲 (斯德哥爾摩)

  • 歐洲 (米蘭)

  • 非洲 (開普敦)

  • 以色列 (特拉維夫)

  • 亞太區域 (東京)

  • 亞太區域 (新加坡)

  • 亞太區域 (悉尼)

  • 亞太區域 (雅加達)

  • 中東 (UAE)

  • 亞太區域 (首爾)

  • 亞太區域 (大阪)

  • 亞太區域 (孟買)

  • 亞太區域 (海德拉巴)

  • 亞太區域 (香港)

  • 南美洲 (聖保羅)

  • Middle East (Bahrain)

  • 加拿大 (中部)

  • 中國 (北京)

  • 中國 (寧夏)

  • AWS GovCloud (美國西部)

  • AWS GovCloud (美國東部)

建立 的VPC端點 CodeCommit

若要開始使用 CodeCommit 搭配 VPC,請為 建立介面VPC端點 CodeCommit。 CodeCommit 需要 Git 操作和 CodeCommit API操作的個別端點。根據您的業務需求,您可能需要建立多個VPC端點。當您為 建立VPC端點時 CodeCommit,請選擇AWS 服務 ,然後在服務名稱 中選擇下列選項:

  • com.amazonaws。region.git-codecommit :如果您想要使用 CodeCommit 儲存庫為 Git 操作建立VPC端點,請選擇此選項。例如,如果您的使用者使用 Git 用戶端和命令,例如 git pull、 和 與 CodeCommit 儲存庫互動git pushgit commit,請選擇此選項。

  • com.amazonaws。region.git-codecommit-fips:如果您想要使用符合聯邦資訊處理標準 (FIPS) 出版物 140-2 美國政府標準的 CodeCommit 儲存庫建立 Git 操作的VPC端點,請選擇此選項。

    注意

    FIPS Git 的 端點並非所有 AWS 區域都可用。如需詳細資訊,請參閱Git 連線端點

  • com.amazonaws。region.codecommit :如果您想要建立操作的VPC CodeCommit API端點,請選擇此選項。例如,如果您的使用者使用 AWS CLI、 CodeCommit API或 AWS SDKs與 互動 CodeCommit ,例如 CreateRepository、 和 等操作ListRepositories,請選擇此選項PutFile

  • com.amazonaws。region.codecommit-fips :如果您想要為符合聯邦資訊處理標準 CodeCommit API(FIPS) 出版物 140-2 美國政府標準的操作建立VPC端點,請選擇此選項。

    注意

    FIPS 並非所有 AWS 區域都提供端點。如需詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2 概觀 AWS CodeCommit 中的 項目。

建立 的VPC端點政策 CodeCommit

您可以為 Amazon VPC端點建立政策,您可以在 CodeCommit 其中指定:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可對其執行動作的資源。

例如,公司可能想要將儲存庫的存取權限制為 的網路地址範圍VPC。您可以在此處查看這類政策的範例:範例 3:允許使用者從指定的 IP 地址範圍存取儲存庫 。公司為美國東部 (俄亥俄) 區域設定了兩個 Git VPC端點: com.amazonaws.us-east-2.codecommitcom-amazonaws.us-east-2.git-codecommit-fips。他們想要允許程式碼推送至名為 的 CodeCommit 儲存庫 MyDemoRepo 僅適用於 FIPS合規的端點。為了強制此行為,他們在 com.amazonaws.us-east-2.codecommit 端點上設定類似如下的政策,以明確拒絕 Git 推送動作:

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "codecommit:GitPush",
            "Effect": "Deny",
            "Resource": "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
            "Principal": "*"
        }
    ]
}
重要

git push 命令IAM的政策不支援全域條件金鑰aws:VpcSourceIp CodeCommit儲存庫。

如需詳細資訊,請參閱 Amazon VPC使用者指南 中的建立介面端點