AWS CodeCommit 搭配介面VPC端點使用 - AWS CodeCommit
可用性建立VPC端點 CodeCommit建立VPC端點策略 CodeCommit

AWS CodeCommit 不再提供給新客戶。的現有客戶 AWS CodeCommit 可繼續正常使用此服務。了解更多」

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS CodeCommit 搭配介面VPC端點使用

如果您使用 Amazon Virtual Private Cloud (AmazonVPC) 託管資 AWS 源,則可以在VPC和之間建立私有連接 CodeCommit。您可以使用此連接 CodeCommit 來啟用與您的資源進行通信,VPC而無需通過公共互聯網。

Amazon VPC 是一項 AWS 服務,可用來在您定義的虛擬網路中啟動 AWS 資源。使用時VPC,您可以控制網路設定,例如 IP 位址範圍、子網路、路由表和網路閘道。使用VPC端點時,VPC和 AWS 服務之間的路由由由 AWS 網路處理,您可以使用IAM策略來控制對服務資源的存取。

要連接VPC到 CodeCommit,您可以定義的接口VPC端點 CodeCommit。介面端點是具有私有 IP 位址的 elastic network interface,可做為傳送至支援 AWS 服務之流量的進入點。端點提供可靠、可擴充的連線能力, CodeCommit 無需網際網路閘道、網路位址轉譯 (NAT) 執行個體或VPN連線。有關更多信息,請參閱 Amazon 用VPC戶指南VPC中的 Amazon 是什麼

注意

其他提供VPC支援並與 CodeCommit之整合的 AWS 服務 (例如 AWS CodePipeline) 可能不支援使用 Amazon VPC 端點進行該整合。例如,介於 CodePipeline 和之間的流量 CodeCommit 不能限制在VPC子網路範圍內。支援整合的服務,例如 AWS Cloud9,可能需要額外的服務,例如 AWS Systems Manager.

介面VPC端點的支援是一種使用具有私有 IP 位址的 elastic network interface AWS PrivateLink,在 AWS 服務之間進行私人通訊的 AWS 技術。如需詳細資訊,請參閱AWS PrivateLink

以下步驟適用於 Amazon 的用戶VPC。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的入門指南

可用性

CodeCommit 目前支援下列VPC端點 AWS 區域:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • Europe (Paris)

  • 歐洲 (法蘭克福)

  • 歐洲 (斯德哥爾摩)

  • 歐洲 (米蘭)

  • 非洲 (開普敦)

  • 以色列 (特拉維夫)

  • 亞太區域 (東京)

  • 亞太區域 (新加坡)

  • 亞太區域 (悉尼)

  • 亞太區域 (雅加達)

  • 中東 (UAE)

  • 亞太區域 (首爾)

  • 亞太區域 (大阪)

  • 亞太區域 (孟買)

  • 亞太區域 (海德拉巴)

  • 亞太區域 (香港)

  • 南美洲 (聖保羅)

  • Middle East (Bahrain)

  • 加拿大 (中部)

  • 中國 (北京)

  • 中國 (寧夏)

  • AWS GovCloud (美國西部)

  • AWS GovCloud (美國東部)

建立VPC端點 CodeCommit

若要開 CodeCommit 始使用VPC,VPC請為 CodeCommit. CodeCommitGit 操作和操作需要單獨的 CodeCommit API端點。視您的業務需求而定,您可能需要建立多個VPC端點。建立的VPC端點時 CodeCommit,請選擇AWS 服務,然後在服務名稱中選擇下列選項:

  • COM. 亞馬遜。region.git-codecommit:如果您想要建立具有儲存庫之 Git 作業的VPC端點,請選擇此選項。 CodeCommit 例如,如果您的使用者使用 Git 用戶端和指令 (例如、)git pull,以及與 CodeCommit 儲存庫互動git pushgit commit,請選擇此選項。

  • COM. 亞馬遜。region。 git-codecommit-fips:如果您想要使用符合聯邦資訊處理標準 (FIPS) 出版物 140-2 美國政府標準的 CodeCommit 儲存庫建立 Git 作業的VPC端點,請選擇此選項。

    注意

    FIPSGit 的端點不適用於所有 AWS 區域。如需詳細資訊,請參閱Git 連接端點

  • COM. 亞馬遜。region.codecommit:如果您要建立作業的VPC端點,請選擇此選項。 CodeCommit API例如,如果您的使用者使用 AWS CLI CodeCommit API、或與之互動進行作業 ( CodeCommit 例如、和) CreateRepositoryListRepositories,請選擇此選項PutFile。 AWS SDKs

  • COM. 亞馬遜。region.codecommit-fips:如果您要為符合聯邦資訊處理標準 (FIPS) 出版物 140-2 美國政府標準的 CodeCommit API作業建立VPC端點,請選擇此選項。

    注意

    FIPS端點並非在所有 AWS 區域中都可用。如需詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2 概觀 AWS CodeCommit 中的項目。

建立VPC端點策略 CodeCommit

您可以為 Amazon VPC 端點建立政策, CodeCommit 在其中指定:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可對其執行動作的資源。

例如,公司可能想要將存放庫的存取限制在VPC. 您可以在此處查看這類政策的範例:範例 3:允許使用者從指定的 IP 位址範圍連線存取儲存庫 。該公司為美國東部 (俄亥俄) 區域設定了兩個 Git VPC 端點:com.amazonaws.us-east-2.codecommitcom-amazonaws.us-east-2.git-codecommit-fips. 他們希望允許代碼推送到名為的 CodeCommit 存儲庫 MyDemoRepo 僅適用於符FIPS合標準的端點。為了強制此行為,他們在 com.amazonaws.us-east-2.codecommit 端點上設定類似如下的政策,以明確拒絕 Git 推送動作:

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "codecommit:GitPush",
            "Effect": "Deny",
            "Resource": "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
            "Principal": "*"
        }
    ]
}
重要

命令IAM政策中aws:VpcSourceIp不支援 CodeCommit全域條件索引git push鍵。

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立介面端點