인터페이스 VPC 엔드포인트에서 AWS CodeCommit 사용

Amazon Virtual Private Cloud(Amazon VPC)를 사용하여 AWS 리소스를 호스트하는 경우, VPC와 CodeCommit 간에 프라이빗 연결을 설정할 수 있습니다. 이 연결을 사용하면 CodeCommit 가 퍼블릭 인터넷을 통하지 않고 VPC의 리소스와 통신하게 할 수 있습니다.

Amazon VPC란 사용자가 정의한 가상 네트워크에서 AWS 리소스를 시작할 때 사용할 수 있는 AWS 서비스입니다. VPC를 사용하여 IP 주소 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등의 네트워크 설정을 제어할 수 있습니다. VPC 엔드포인트를 사용하면 VPC와 AWS서비스 사이의 라우팅이 AWS 네트워크에서 처리되고 IAM 정책을 사용하여 서비스 리소스에 대한 액세스를 제어할 수 있습니다.

VPC를 CodeCommit 연결하려면 인터페이스 VPC 엔드포인트를 정의합니다. CodeCommit 인터페이스 엔드포인트는 지원 AWS 서비스로 전달되는 트래픽에 대한 진입점 역할을 하는 프라이빗 IP 주소를 포함하는 탄력적 네트워크 인터페이스입니다. 엔드포인트는 인터넷 게이트웨이, 네트워크 주소 변환 (NAT) 인스턴스 또는 VPN 연결 CodeCommit 없이도 안정적이고 확장 가능한 연결을 제공합니다. 자세한 내용은 Amazon VPC 사용 설명서의 Amazon VPC란 무엇입니까를 참조하세요.

참고

VPC 지원을 제공하고 VPC와 CodeCommit 통합되는 다른 AWS 서비스 (예:) 는 해당 통합을 위한 Amazon VPC 엔드포인트 사용을 지원하지 않을 수 있습니다. AWS CodePipeline 예를 들어, CodePipeline 과 사이의 트래픽은 VPC 서브넷 범위로 제한할 CodeCommit 수 없습니다. 통합을 지원하는 서비스(예: AWS Cloud9)에는 AWS Systems Manager와 같은 추가 서비스가 필요할 수 있습니다.

인터페이스 VPC 엔드포인트는 프라이빗 IP 주소와 함께 탄력적 네트워크 인터페이스를 사용하여 AWS 서비스 간 프라이빗 통신을 사용할 수 있는 AWS 기술인 AWS PrivateLink에 의해 구동됩니다. 자세한 내용은 을 참조하십시오. AWS PrivateLink

다음은 Amazon VPC 사용자를 위한 단계들입니다. 자세한 내용은 Amazon VPC 사용 설명서의 시작하기를 참조하세요.

가용성

CodeCommit 현재 다음과 같은 VPC 엔드포인트를 지원합니다. AWS 리전

• 미국 동부(오하이오)

• 미국 동부(버지니아 북부)

• 미국 서부(캘리포니아 북부)

• 미국 서부(오리건)

• 유럽(아일랜드)

• 유럽(런던)

• 유럽(파리)

• 유럽(프랑크푸르트)

• 유럽(스톡홀름)

• 유럽(밀라노)

• 아프리카(케이프타운)

• 이스라엘(텔아비브)

• 아시아 태평양(도쿄)

• 아시아 태평양(싱가포르)

• 아시아 태평양(시드니)

• 아시아 태평양(자카르타)

• 중동(UAE)

• 아시아 태평양(서울)

• 아시아 태평양(오사카)

• 아시아 태평양(뭄바이)

• 아시아 태평양(하이데라바드)

• 아시아 태평양(홍콩)

• 남아메리카(상파울루)

• 중동(바레인)

• 캐나다(중부)

• 중국(베이징)

• 중국(닝샤)

• AWS GovCloud (미국 서부)

• AWS GovCloud (미국 동부)

에 대한 VPC 엔드포인트 생성 CodeCommit

VPC에서 사용을 CodeCommit 시작하려면 에 대한 인터페이스 VPC 엔드포인트를 생성하십시오. CodeCommit CodeCommitGit 작업과 CodeCommit API 작업에 대해 별도의 엔드포인트가 필요합니다. 비즈니스 요구 사항에 따라 VPC 엔드포인트를 두 개 이상 생성해야 할 수 있습니다. 에 대한 CodeCommit VPC 엔드포인트를 생성할 때 [AWSServices] 를 선택하고 [Service Name] 에서 다음 옵션 중 하나를 선택합니다.

• com.amazonaws.region.git-codecommit: CodeCommit 리포지토리로 Git 작업을 위한 VPC 엔드포인트를 생성하려는 경우 이 옵션을 선택합니다. 예를 들어, 사용자가 Git 클라이언트와 명령 (예: git pullgit commit,) 을 사용하고 리포지토리와 상호 작용할 git push CodeCommit 때 이 옵션을 선택하십시오.

• com.amazonaws. 지역. git-codecommit-fips: FIPS (연방 정보 처리 표준) 간행물 140-2 미국 정부 표준을 준수하는 CodeCommit 리포지토리를 사용하여 Git 작업을 위한 VPC 엔드포인트를 생성하려면 이 옵션을 선택합니다.

  참고

  모든 AWS에서 Git용 FIPS 엔드포인트를 사용할 수 있는 것은 아닙니다. 자세한 설명은 Git 연결 엔드포인트 섹션을 참조하세요.

• com.amazonaws. codecommit 지역: API 작업을 위한 VPC 엔드포인트를 생성하려면 이 옵션을 선택합니다. CodeCommit 예를 들어, 사용자가,, 등의 CreateRepository 작업에 대해AWS CLI, CodeCommit API 또는 AWS SDK를 사용하여 상호 작용하는 CodeCommit 경우 이 옵션을 선택하십시오. ListRepositories PutFile

• com.amazonaws. .codecommit-fips 지역: 연방 정보 처리 표준 (FIPS) 간행물 140-2 미국 정부 표준을 준수하는 CodeCommit API 작업을 위한 VPC 엔드포인트를 생성하려면 이 옵션을 선택합니다.

  참고

  모든 AWS에서 FIPS 엔드포인트를 사용할 수 있는 것은 아닙니다. 자세한 내용은 FIPS(Federal Information Processing Standard) 140-2 개요에서 AWS CodeCommit에 대한 항목을 참조하세요.

CodeCommit에 대한 VPC 엔드포인트 정책 생성

Amazon VPC CodeCommit 엔드포인트에 대한 정책을 생성하여 다음을 지정할 수 있습니다.

• 작업을 수행할 수 있는 보안 주체.

• 수행할 수 있는 작업입니다.

• 수행되는 작업을 가질 수 있는 리소스입니다.

예를 들어 한 회사가 리포지토리에 대한 액세스를 VPC의 네트워크 주소 범위로 제한하고자 할 수 있습니다. 이 종류의 정책 예는 예제 3: 지정 IP 주소 범위에서 연결된 사용자에게 리포지토리에 대한 액세스 허용 에서 볼 수 있습니다. 이 회사는 미국 동부(오하이오) 리전에 대해 com.amazonaws.us-east-2.codecommit과 com-amazonaws.us-east-2.git-codecommit-fips라는 두 Git VPC 엔드포인트를 구성했습니다. FIPS 준수 MyDemoRepo엔드포인트에서만 이름이 지정된 CodeCommit 리포지토리로의 코드 푸시를 허용하려고 합니다. 그리고 이를 강제하기 위해 Git 푸시 작업을 명확히 거부하는 com.amazonaws.us-east-2.codecommit 엔드포인트에 대해 다음과 비슷한 정책을 구성합니다.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "codecommit:GitPush",
            "Effect": "Deny",
            "Resource": "arn:aws:codecommit:us-west-2:123456789012:MyDemoRepo",
            "Principal": "*"
        }
    ]
}

자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 엔드포인트 생성을 참조하세요.