Verwenden von VPC-Endpunkten

Sie können die Sicherheit von Builds erhöhen, indem Sie AWS CodeBuild so konfigurieren, dass ein VPC-Schnittstellenendpunkt verwendet wird. Schnittstellen-Endpunkte werden betrieben vonPrivateLink, eine Technologie, mit der Sie privat auf Amazon EC2 zugreifen können undCodeBuilddurch die Verwendung von privaten IP-Adressen. PrivateLinkschränkt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Instanzen ein,CodeBuild, und Amazon EC2 zum Amazon-Netzwerk. (Verwaltete Instances haben keinen Zugriff auf das Internet.) Zudem benötigen Sie kein Internet-Gateway, kein NAT-Gerät und kein virtuelles privates Gateway. Es ist nicht erforderlich, PrivateLink zu konfigurieren, aber wir empfehlen dies. Für weitere Informationen überPrivateLinkund VPC-Endpunkte finden Sie unterWas istAWS PrivateLink?.

Vorbereitungen für das Erstellen von VPC-Endpunkten

Seien Sie sich der folgenden Einschränkungen bewusst, bevor Sie VPC-Endpunkte für AWS CodeBuild konfigurieren.

Anmerkung

Benutze einNAT-Gatewaywenn du benutzen willstCodeBuildmitAWSDienste, die Amazon VPC nicht unterstützenPrivateLinkVerbindungen.

• VPC-Endpunkte unterstützen von Amazon bereitgestelltes DNS nur über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter DHCP-Optionssätze im Amazon-VPC-Benutzerhandbuch.

• VPC-Endpunkte unterstützen derzeit keine regionsübergreifenden Anforderungen. Stellen Sie sicher, dass Sie Ihren Endpunkt in derselben Datei erstellenAWSRegion wie alle S3-Buckets, die Ihre Build-Eingabe und -Ausgabe speichern. Sie können die Amazon S3-Konsole verwenden oderget-bucket-locationBefehl, um den Standort Ihres Buckets zu ermitteln. Verwenden Sie einen regionsspezifischen Amazon S3-Endpunkt, um auf Ihren Bucket zuzugreifen (z. B.<bucket-name>.s3-us-west-2.amazonaws.com). Weitere Informationen zu regionsspezifischen Endpunkten für Amazon S3 finden Sie unterAmazon Simple Storage Servicein derAllgemeine Amazon Web Services-Referenz. Wenn du das verwendestAWS CLIum Anfragen an Amazon S3 zu stellen, legen Sie als Standardregion dieselbe Region fest, in der Ihr Bucket erstellt wurde, oder verwenden Sie--regionParameter in Ihren Anfragen.

Erstellen von VPC-Endpunkten für CodeBuild

Folgen Sie den Anweisungen unter Schnittstellendpunkt erstellen, um den Endpunkt com.amazonaws.region.codebuild zu erstellen. Dies ist ein VPC-Endpunkt für AWS CodeBuild.

region repräsentiert die Regions-ID für eine von CodeBuild unterstützte AWS-Region, z. B. us-east-2 für die Region USA Ost (Ohio). Für eine Liste der unterstütztenAWSRegionen finden Sie unterCodeBuildin der AWSAllgemeine Referenz. Der Endpunkt ist bereits mit der Region belegt, die Sie beim Anmelden bei AWS angegeben haben. Wenn Sie Ihre Region ändern, wird der VPC-Endpunkt entsprechend aktualisiert.

Erstellen einer VPC-Endpunktrichtlinie für CodeBuild

Sie können eine Richtlinie für Amazon VPC-Endpunkte erstellen fürAWS CodeBuildin dem Sie Folgendes angeben können:

• Prinzipal, der die Aktionen ausführen kann.

• Aktionen, die ausgeführt werden können

• Ressourcen, für die Aktionen ausgeführt werden können

Die folgende Beispielrichtlinie gibt an, dass alle Prinzipale ausschließlich Builds für das Projekt project-name starten und einsehen können.

{
    "Statement": [
        {
            "Action": [
                "codebuild:ListBuildsForProject",
                "codebuild:StartBuild",
                "codebuild:BatchGetBuilds"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name",
            "Principal": "*"
        }
    ]
}

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.