Usando AWS CodeCommit com VPC endpoints de interface - AWS CodeCommit
DisponibilidadeCrie VPC endpoints para CodeCommitCrie uma política VPC de endpoint para CodeCommit

AWS CodeCommit não está mais disponível para novos clientes. Os clientes existentes do AWS CodeCommit podem continuar usando o serviço normalmente. Saiba mais”

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando AWS CodeCommit com VPC endpoints de interface

Se você usa a Amazon Virtual Private Cloud (AmazonVPC) para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre você VPC CodeCommit e. Você pode usar essa conexão CodeCommit para permitir a comunicação com seus recursos VPC sem precisar acessar a Internet pública.

VPCA Amazon é um AWS serviço que você pode usar para lançar AWS recursos em uma rede virtual que você define. Com aVPC, você tem controle sobre suas configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Com os VPC endpoints, o roteamento entre os AWS serviços VPC e é gerenciado pela AWS rede, e você pode usar IAM políticas para controlar o acesso aos recursos do serviço.

Para conectar seu VPC ao CodeCommit, você define um VPCendpoint de interface para CodeCommit. Um endpoint de interface é uma interface de rede elástica com um endereço IP privado que serve como ponto de entrada para o tráfego destinado a um serviço compatível AWS . O endpoint fornece conectividade confiável e escalável CodeCommit sem a necessidade de um gateway de internet, instância de tradução de endereço de rede (NAT) ou VPN conexão. Para obter mais informações, consulte O que é a Amazon VPC no Guia VPC do usuário da Amazon.

nota

Outros AWS serviços que fornecem VPC suporte e se integram CodeCommit, como AWS CodePipeline, podem não oferecer suporte ao uso de VPC endpoints da Amazon para essa integração. Por exemplo, o tráfego entre CodePipeline e CodeCommit não pode ser restrito ao intervalo da VPC sub-rede. Serviços que oferecem suporte à integração, como AWS Cloud9, podem exigir serviços adicionais, como o AWS Systems Manager.

Os VPC endpoints de interface são alimentados por AWS PrivateLink, uma AWS tecnologia que permite a comunicação privada entre AWS serviços usando uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte AWS PrivateLink.

As etapas a seguir são para usuários da AmazonVPC. Para obter mais informações, consulte Conceitos básicos no Guia VPC do usuário da Amazon.

Disponibilidade

CodeCommit atualmente oferece suporte a VPC endpoints no seguinte: Regiões da AWS

  • Leste dos EUA (Ohio)

  • Leste dos EUA (N. da Virgínia)

  • Oeste dos EUA (N. da Califórnia)

  • US West (Oregon)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Paris)

  • Europa (Frankfurt)

  • Europa (Estocolmo)

  • Europa (Milão)

  • África (Cidade do Cabo)

  • Israel (Tel Aviv)

  • Ásia-Pacífico (Tóquio)

  • Ásia-Pacífico (Singapura)

  • Ásia-Pacífico (Sydney)

  • Ásia-Pacífico (Jacarta)

  • Oriente Médio (UAE)

  • Ásia-Pacífico (Seul)

  • Asia Pacific (Osaka)

  • Ásia-Pacífico (Mumbai)

  • Ásia-Pacífico (Hyderabad)

  • Ásia-Pacífico (Hong Kong)

  • América do Sul (São Paulo)

  • Oriente Médio (Barém)

  • Canadá (Central)

  • China (Pequim)

  • China (Ningxia)

  • AWS GovCloud (Oeste dos EUA)

  • AWS GovCloud (Leste dos EUA)

Crie VPC endpoints para CodeCommit

Para começar a usar CodeCommit com o seuVPC, crie um VPC endpoint de interface para CodeCommit. CodeCommitrequer endpoints separados para operações do Git e CodeCommit API para operações. Dependendo das necessidades da sua empresa, talvez seja necessário criar mais de um VPC endpoint. Ao criar um VPC endpoint para CodeCommit, escolha AWS Serviços e, em Nome do serviço, escolha entre as seguintes opções:

  • com.amazonaws.region.git-codecommit: escolha essa opção se quiser criar um endpoint VPC para operações do Git com repositórios. CodeCommit Por exemplo, escolha essa opção se seus usuários usam um cliente Git e comandos como git pullgit commit, e git push quando interagem com CodeCommit repositórios.

  • com.amazonaws.region. git-codecommit-fips: escolha essa opção se quiser criar um VPC endpoint para operações do Git CodeCommit com repositórios que esteja em conformidade com o padrão federal de processamento de informações FIPS () Publicação 140-2 do governo dos EUA.

    nota

    FIPSendpoints para Git não estão disponíveis em AWS todas as regiões. Para ter mais informações, consulte Endpoints de conexão do Git.

  • com.amazonaws.region.codecommit: escolha essa opção se quiser criar um VPC endpoint para operações. CodeCommit API Por exemplo, escolha essa opção se seus usuários usarem o AWS CLI CodeCommit API, o ou o AWS SDKs CodeCommit para interagir com operações como CreateRepositoryListRepositories, PutFile e.

  • com.amazonaws.region.codecommit-fips: escolha essa opção se quiser criar um VPC endpoint para CodeCommit API operações que esteja em conformidade com o padrão federal de processamento de informações () Publicação 140-2 do governo dos EUA. FIPS

    nota

    FIPSos endpoints não estão disponíveis em todas as AWS regiões. Para obter mais informações, consulte a entrada AWS CodeCommit na Visão geral do Federal Information Processing Standard (FIPS) 140-2.

Crie uma política VPC de endpoint para CodeCommit

Você pode criar uma política para VPC endpoints da Amazon, CodeCommit na qual você pode especificar:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos que podem ter ações executadas neles.

Por exemplo, uma empresa pode querer restringir o acesso aos repositórios ao intervalo de endereços de rede de a. VPC Você pode visualizar um exemplo desse tipo de política aqui: Exemplo 3: permitir que um usuário conectado a partir de um intervalo de endereços IP especificado acesse um repositório . A empresa configurou dois VPC endpoints Git para a região Leste dos EUA (Ohio): e. com.amazonaws.us-east-2.codecommit com-amazonaws.us-east-2.git-codecommit-fips Eles querem permitir o envio de código para um CodeCommit repositório chamado MyDemoRepo somente no endpoint FIPS compatível com. Para que isso seja aplicado, eles configurariam uma política semelhante à seguinte no endpoint com.amazonaws.us-east-2.codecommit que especificamente nega ações de envio do Git:

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "codecommit:GitPush",
            "Effect": "Deny",
            "Resource": "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
            "Principal": "*"
        }
    ]
}
Importante

A chave de condição global não aws:VpcSourceIp tem suporte para CodeCommit repositórios nas IAM políticas de git push comandos.

Para obter mais informações, consulte Criação de um endpoint de interface no Guia do VPC usuário da Amazon.