如何让我所有的AWS EC2实例从git / codecommit拉取代码？

对于使用 IAM 角色启动的 EC2 实例，您甚至不需要内置 SSH 密钥。Git 可以从 EC2 实例元数据获取 CodeCommit 凭据。使用最新的 AWS CLI 包和以下内容在 ~/.gitconfig 中创建一个基于 Linux 的 AMI：

[credential]
    helper = !aws --profile default codecommit credential-helper $@
    UseHttpPath = true

启动附带IAM角色的实例，然后您就可以克隆CodeCommit存储库而无需进行任何其他设置。
如果您想基于标签在一组EC2实例上运行git命令，则可能需要查看Capistrano和Capify-EC2。
更新： 如果您愿意使用AWS OpsWorks从CodeCommit部署，则有一篇最近的博客文章介绍如何做到这一点。 您还可以使用OpsWorks通过Capistrano在实例之间运行任意命令。

使用AWS托管服务，最接近的是CodeDeploy。通过它，您可以通过命令行或Web控制台编排EC2实例的部署。但是，CodeDeploy目前只从S3或GitHub拉取构件。到目前为止，CodeCommit似乎完全与其他相关的Amazon服务（如CodePipeline和CodeDeploy）隔离，因此不是一个好选择。但是，当然，亚马逊的路线图是将所有这些服务集成在一起（不这样做是没有意义的）。因此，现在，您最好使用GitHub而不是CodeCommit。

但是，考虑到您没有使用 GitHub，那么您需要在代码库和 CodeDeploy 之间使用一个 CI（持续集成）解决方案，从源代码获取代码，可能进行构建或运行测试，将其推送到 S3 并告知 CodeDeploy。例如，有 CodeShip 可以完成此操作，并与许多外部服务集成。或者您甚至可以拥有自己的 CI 服务器，如 Jenkins，为您执行 "粘合" 角色。（Jenkins 可能是最灵活的，因为它是开源的，可能有适用于所有功能的插件。）

因此，简单分解一下，您的工作流程可能如下：

• 将代码推送到您的存储库；
• 每当发生事件（某个分支上的提交或新标签，应该可以配置），您的CI会拉取它，运行您想要或需要的任何内容（构建、测试、打包），并将其推送到S3（通常作为tarball文件）；
• 根据您设置的方式，您的CI会立即告诉Code Deploy在您的EC2实例上部署它，或者只是告诉它有一个新版本可用，并让您随时手动触发部署，通过CLI或Web控制台。

（实际上，CodeDeploy不会将代码推送到EC2实例。相反，每个EC2实例必须运行代理程序，定期轮询CodeDeploy服务器，以了解是否有新内容可在本地应用。无论如何，CodeDeploy协调并从代理程序获取反馈，因此它就像在CodeDeploy方面100%活动，在实例方面100%被动一样工作。）

最为“干净”的AWS解决方案是CodeCommit -> CodePipeline -> CodeDeploy，或者仅使用CodeCommit -> CodeDeploy，但这些服务目前尚未完全集成。
在您的情况下，现在最简单可行的解决方案是Github -> CodeDeploy。除此之外，其他任何解决方案都需要一些中间步骤，比如我提供的示例（CodeShip，Jenkins等）。