Amazon Virtual Private Cloud で CodeDeploy を使用

Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストする場合は、VPC と CodeDeploy の間にプライベート接続を確立できます。この接続を使用すると、CodeDeploy はパブリックインターネットを経由せずに、VPC のリソースと通信できます。

Amazon VPC は、定義した仮想ネットワークで AWS リソースを起動するために使用できる AWS サービスです。VPC を使用することで、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC エンドポイントでは、VPC と AWS サービス間のルーティングは AWS ネットワークによって処理され、IAM ポリシーを使用してサービスリソースへのアクセスを制御できます。

VPC を CodeDeploy に接続するには、CodeDeploy の インターフェイス VPC エンドポイント を定義します。インターフェイスエンドポイントは、サポートされている AWS サービス宛てのトラフィックのエントリポイントとして機能するプライベート IP アドレスを持つ Elastic Network Interface です。このエンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、および VPN 接続を必要とせず、信頼性が高くスケーラブルな CodeDeploy への接続を提供します。詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC とは」を参照してください。

インターフェイス VPC エンドポイントは AWS PrivateLink、プライベート IP アドレスを持つ Elastic Network Interface を使用して AWS サービス間のプライベート通信を可能にする AWS テクノロジーを利用しています。詳細については、「AWS PrivateLink」を参照してください。

以下の手順は、Amazon VPC のユーザー向けです。詳細については、『Amazon VPC ユーザーガイド』の「開始方法」を参照してください。

可用性

CodeDeploy には 2 つの VPC エンドポイントがあります。1 つは CodeDeploy エージェントオペレーション用で、もう 1 つは CodeDeploy API オペレーション用です。次の表は、各エンドポイントでサポートされている AWS リージョンを示しています。

リージョン名	リージョンコード	エージェントのエンドポイント	API エンドポイント
米国東部 (バージニア北部)	us-east-1	あり	あり
米国東部 (オハイオ)	us-east-2	あり	あり
米国西部 (北カリフォルニア)	us-west-1	あり	あり
米国西部 (オレゴン)	us-west-2	あり	あり
アフリカ (ケープタウン)	af-south-1	はい	いいえ
アジアパシフィック (香港)	ap-east-1	あり	あり
アジアパシフィック (ハイデラバード)	ap-south-2	はい	いいえ
アジアパシフィック (ジャカルタ)	ap-southeast-3	はい	いいえ
アジアパシフィック (メルボルン)	ap-southeast-4	はい	いいえ
アジアパシフィック (ムンバイ)	ap-south-1	あり	あり
アジアパシフィック (大阪)	ap-northeast-3	はい	いいえ
アジアパシフィック (ソウル)	ap-northeast-2	あり	あり
アジアパシフィック (シンガポール)	ap-southeast-1	あり	あり
アジアパシフィック (シドニー)	ap-southeast-2	あり	あり
アジアパシフィック (東京)	ap-northeast-1	あり	あり
カナダ (中部)	ca-central-1	あり	あり
中国 (北京)	cn-north-1	はい	いいえ
中国 (寧夏)	cn-northwest-1	いいえ	いいえ
欧州 (フランクフルト)	eu-central-1	あり	あり
欧州 (アイルランド)	eu-west-1	あり	あり
欧州 (ロンドン)	eu-west-2	あり	あり
欧州 (ミラノ)	eu-south-1	はい	いいえ
欧州 (パリ)	eu-west-3	あり	あり
欧州 (スペイン)	eu-south-2	はい	いいえ
欧州 (ストックホルム)	eu-north-1	あり	あり
欧州 (チューリッヒ)	eu-central-2	はい	いいえ
イスラエル (テルアビブ)	il-central-1	あり	あり
中東 (バーレーン)	me-south-1	あり	あり
中東 (UAE)	me-central-1	はい	いいえ
南米 (サンパウロ）	sa-east-1	あり	あり
AWS GovCloud (米国東部）	us-gov-east-1	いいえ	いいえ
AWS GovCloud (米国西部）	us-gov-west-1	いいえ	いいえ

CodeDeploy 用の VPC エンドポイントを作成する

VPC で CodeDeploy の使用を開始するには、CodeDeploy のインターフェイス VPC エンドポイントを作成します。CodeDeploy には、エージェントの Git オペレーションと CodeDeploy API オペレーション用に別々のエンドポイントが必要です。ビジネスニーズに応じて、複数の VPC エンドポイントを作成する必要がある場合があります。CodeDeploy 用の VPC エンドポイントを作成するときは、[AWS サービス] を選択し、[サービス名] で、次のオプションから選択します。

• com.amazonaws.region.codecommit: CodeDeploy API オペレーション用の VPC エンドポイントを作成する場合は、このオプションを選択します。例えば、ユーザーが AWS CLI、CodeDeploy API、または AWS SDKs を使用して CreateApplication、、 などのオペレーションで CodeDeploy とやり取りする場合はGetDeployment、このオプションを選択しますListDeploymentGroups。

• com.amazonaws.region.codecommit: CodeDeploy エージェント オペレーション用の VPC エンドポイントを作成する場合は、このオプションを選択します。また、:enable_auth_policy: に true エージェント設定ファイルで、必要な権限をアタッチする必要があります 詳細については、「CodeDeploy エージェントと IAM 許可を設定する」を参照してください。

Lambda または ECS デプロイを使用している場合は、用の VPC エンドポイントを作成する必要があります。com.amazonaws.region.codedeploy Amazon EC2 デプロイを使用しているお客様については、com.amazonaws.region.codedeploy と com.amazonaws.region.codedeploy-commands-secure はどちらも VPC エンドポイントが必要です

CodeDeploy エージェントと IAM 許可を設定する

CodeDeploy で Amazon VPC エンドポイントを使用するには、:enable_auth_policy: に true EC2 またはオンプレミスインスタンスにあるエージェント設定ファイルに次の値を設定する必要があります。設定ファイルの形式の詳細については、「CodeDeploy エージェント設定リファレンス」を参照してください。

Amazon EC2 インスタンスプロファイル (Amazon EC2 インスタンスを使用している場合) または IAM ユーザーまたはロール (オンプレミスインスタンスを使用している場合) に次の IAM アクセス許可を追加する必要があります。

{
  "Statement": [
    {
      "Action": [
        "codedeploy-commands-secure:GetDeploymentSpecification",
        "codedeploy-commands-secure:PollHostCommand",
        "codedeploy-commands-secure:PutHostCommandAcknowledgement",
        "codedeploy-commands-secure:PutHostCommandComplete"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

詳細については、『Amazon VPC ユーザーガイド』の「インターフェイスエンドポイントの作成」を参照してください。