Uso de AWS CodeCommit con los puntos de conexión de VPC de la interfaz - AWS CodeCommit
DisponibilidadCrear puntos de conexión de VPC para CodeCommitCree una política de punto de conexión de VPC para CodeCommit.

AWS CodeCommit ya no está disponible para los nuevos clientes. Los clientes existentes de AWS CodeCommit pueden seguir utilizando el servicio con normalidad. Más información"

Uso de AWS CodeCommit con los puntos de conexión de VPC de la interfaz

Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar sus recursos de AWS, puede establecer una conexión entre su VPC y CodeCommit. Puede utilizar esta conexión para habilitar que CodeCommit se comunique con sus recursos en su VPC sin pasar por la red pública de Internet.

Amazon VPC es un servicio de AWS que puede utilizar para lanzar recursos de AWSen una red virtual que usted defina. Con una VPC, puede controlar la configuración de la red, como el rango de direcciones IP, las subredes, las tablas de enrutamiento y las puertas de enlace de red. Con puntos de enlace de la VPC, el enrutamiento entre la VPC y los servicios de AWS se controla mediante la red de AWS y puede utilizar políticas de IAM para controlar el acceso a los recursos de servicio.

Para conectar su VPC a CodeCommit, defina un punto de conexión de VPC de interfaz para CodeCommit. Un punto de conexión de interfaz es una interfaz de red elástica con una dirección IP privada que actúa como punto de entrada para el tráfico dirigido a un servicio de AWS compatible. El punto de conexión ofrece conectividad escalable de confianza con CodeCommit sin necesidad de utilizar una puerta de enlace de Internet, una instancia de traducción de direcciones de red (NAT) o una conexión de VPN. Para obtener más información, consulte ¿Qué es Amazon VPC?) en la Guía del usuario de Amazon VPC.

nota

Otros servicios de AWS que proporcionan compatibilidad de VPC e integración con CodeCommit, como por ejemplo AWS CodePipeline, es posible que no sean compatibles con el uso de puntos de conexión de VPC de Amazon para esa integración. Por ejemplo, el tráfico entre CodePipeline y CodeCommit no se puede restringir al rango de subred de VPC. Los servicios que sí admiten la integración, por ejemplo AWS Cloud9, pueden requerir servicios adicionales, como AWS Systems Manager.

Los puntos de conexión de VPC de tipo interfaz utilizan la tecnología de AWSPrivateLink, una tecnología de AWS que permite la comunicación privada entre los servicios de AWS mediante una interfaz de red elástica con direcciones IP privadas. Para obtener más información, consulte AWS PrivateLink.

Los siguientes pasos son para usuarios de Amazon VPC. Para obtener más información, consulte Introducción en la Guía del usuario de Amazon VPC.

Disponibilidad

CodeCommit actualmente admite puntos de conexión de VPC en las siguientes Regiones de AWS:

  • Este de EE. UU. (Ohio)

  • Este de EE. UU. (Norte de Virginia)

  • Oeste de EE. UU. (Norte de California)

  • EE.UU. Oeste (Oregón)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (París)

  • Europa (Fráncfort)

  • Europa (Estocolmo)

  • Europa (Milán)

  • África (Ciudad del Cabo)

  • Israel (Tel Aviv)

  • Asia-Pacífico (Tokio)

  • Asia-Pacífico (Singapur)

  • Asia-Pacífico (Sídney)

  • Asia-Pacífico (Yakarta)

  • Medio Oriente (EAU)

  • Asia-Pacífico (Seúl)

  • Asia-Pacífico (Osaka)

  • Asia-Pacífico (Bombay)

  • Asia-Pacífico (Hyderabad)

  • Asia-Pacífico (Hong Kong)

  • América del Sur (São Paulo)

  • Medio Oriente (Baréin)

  • Canadá (centro)

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Oeste)

  • AWS GovCloud (Este de EE. UU.)

Crear puntos de conexión de VPC para CodeCommit

Para comenzar a utilizar CodeCommit con su VPC, cree un punto de conexión de VPC de tipo interfaz para CodeCommit. CodeCommit requiere puntos de conexión separados para las operaciones de Git y para las operaciones de la API de CodeCommit. En función de sus necesidades empresariales, es posible que tenga que crear más de un punto de conexión de VPC. Cuando cree un punto de conexión de VPC para CodeCommit, seleccione Servicios de AWS y, en Nombre del servicio, escoja una de las siguientes opciones:

  • com.amazonaws.region.git-codecommit: elija esta opción si desea crear un punto de conexión de VPC para operaciones de Git con repositorios de CodeCommit. Por ejemplo, seleccione esta opción si los usuarios utilizan un cliente de Git y comandos como git pull, git commit y git push al interactuar con repositorios de CodeCommit.

  • com.amazonaws.region.git-codecommit-fips: elija esta opción si desea crear un punto de conexión de VPC para operaciones de Git con repositorios de CodeCommit que cumpla con la norma del gobierno de EE. UU. Federal Information Processing Standard (FIPS) Publication 140-2.

    nota

    Los puntos de conexión FIPS para Git no están disponibles en todas las regiones de AWS. Para obtener más información, consulte Puntos de conexión de Git.

  • com.amazonaws.region.codecommit: elija esta opción si desea crear un punto de conexión de VPC para operaciones de API de CodeCommit. Por ejemplo, seleccione esta opción si los usuarios utilizan la AWS CLI, la API de CodeCommit o los SDK de AWS para interactuar con CodeCommit para operaciones como CreateRepository, ListRepositories y PutFile.

  • com.amazonaws.region.codecommit-fips: elija esta opción si desea crear un punto de conexión de VPC para operaciones de API de CodeCommit que cumpla con la norma del gobierno de EE. UU. Federal Information Processing Standard (FIPS) Publication 140-2.

    nota

    Los puntos de conexión FIPS no están disponibles en todas las regiones de AWS. Para obtener más información, consulte la entrada correspondiente de AWS CodeCommit en Visión general del Estándar de procesamiento de la información federal (FIPS) 140-2.

Cree una política de punto de conexión de VPC para CodeCommit.

Puede crear una política para los puntos de conexión de VPC para CodeCommit en la que puede especificar:

  • La entidad principal que puede realizar acciones.

  • Las acciones que se pueden realizar.

  • Los recursos en los que se pueden realizar acciones.

Por ejemplo, una empresa podría querer restringir el acceso a repositorios al rango de direcciones de red para una VPC. Puede ver un ejemplo de este tipo de política aquí: Ejemplo 3: permitir a un usuario conectarse desde un rango de direcciones IP específicas para obtener acceso a un repositorio . La empresa configuró dos puntos de conexión de VPC de Git para la región este de EE. UU. (Ohio): com.amazonaws.us-east-2.codecommit y com-amazonaws.us-east-2.git-codecommit-fips. Desean permitir que el código envíe a un repositorio de CodeCommit denominado MyDemoRepo solo en el punto de conexión compatible con FIPS. Para obligar a ello, configurarían una política similar a la siguiente en el punto de conexión de com.amazonaws.us-east-2.codecommit que deniega específicamente las acciones de inserción de Git:

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "codecommit:GitPush",
            "Effect": "Deny",
            "Resource": "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
            "Principal": "*"
        }
    ]
}
importante

La clave de condición global aws:VpcSourceIp no es compatible con los repositorios CodeCommit en las políticas de IAM para comandos git push.

Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.