Utilice puntos VPC finales

Puede mejorar la seguridad de sus compilaciones configurándolas AWS CodeBuild para usar un VPC punto final de interfaz. Los puntos de conexión de la interfaz funcionan con una tecnología que puedes usar para acceder de forma privada a Amazon EC2 y CodeBuild mediante direcciones IP privadas. PrivateLink PrivateLink restringe todo el tráfico de red entre las instancias CodeBuild gestionadas y Amazon EC2 a la red de Amazon. Las instancias administradas no tienen acceso a Internet. Además, no necesita una puerta de enlace de Internet, un NAT dispositivo o una puerta de enlace privada virtual. No es necesario que lo configure PrivateLink, pero es recomendable. Para obtener más información acerca de PrivateLink los VPC puntos finales, consulte ¿Qué es? AWS PrivateLink .

Antes de crear puntos VPC finales

Antes de configurar VPC los puntos finales AWS CodeBuild, tenga en cuenta las siguientes restricciones y limitaciones.

nota

Utiliza una NATpuerta de enlace si quieres utilizarla CodeBuild con AWS servicios que no admiten VPC PrivateLink las conexiones de Amazon.

• VPCLos puntos de enlace son compatibles únicamente con los proporcionados por DNS Amazon Route 53. Si quieres usar los tuyos propiosDNS, puedes usar el reenvío condicional. DNS Para obtener más información, consulta los conjuntos de DHCP opciones en la Guía del VPC usuario de Amazon.

• VPCActualmente, los puntos de enlace no admiten solicitudes entre regiones. Asegúrese de crear su punto final en la misma AWS región que cualquier depósito de S3 que almacene las entradas y salidas de la compilación. Puede utilizar la consola Amazon S3 o el get-bucket-locationcomando para encontrar la ubicación de su depósito. Utilice un punto de conexión de Amazon S3 específico de región para acceder al bucket (por ejemplo, <bucket-name>.s3-us-west-2.amazonaws.com). Para obtener más información sobre los puntos de conexión específicos de la región para Amazon S3, consulte Amazon Simple Storage Service en la Referencia general de Amazon Web Services. Si utilizas el AWS CLI para realizar solicitudes a Amazon S3, establece tu región predeterminada en la misma región en la que se creó el bucket o usa el --region parámetro en tus solicitudes.

Cree VPC puntos de enlace para CodeBuild

Siga las instrucciones de Creación de un punto de conexión de interfaz para crear el punto de conexión com.amazonaws.region.codebuild. Este es un VPC punto final para AWS CodeBuild.

region representa el identificador de región de una AWS región admitida por CodeBuild, por ejemplo, la región EE.UU. Este (Ohio). us-east-2 Para obtener una lista de AWS las regiones compatibles, consulte CodeBuildla Referencia AWS general. El punto final se rellena automáticamente con la región que especificó al iniciar sesión. AWS Si cambias de región, el VPC punto final se actualiza en consecuencia.

Cree una política VPC de puntos finales para CodeBuild

Puedes crear una política para los VPC puntos de conexión de Amazon AWS CodeBuild en la que puedas especificar:

• La entidad principal que puede realizar acciones.

• Las acciones que se pueden realizar.

• Los recursos en los que se pueden realizar acciones.

La siguiente política de ejemplo especifica que todas las entidades principales solo pueden iniciar y consultar compilaciones para el proyecto project-name.

{
    "Statement": [
        {
            "Action": [
                "codebuild:ListBuildsForProject",
                "codebuild:StartBuild",
                "codebuild:BatchGetBuilds"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name",
            "Principal": "*"
        }
    ]
}

Para obtener más información, consulta Cómo controlar el acceso a los servicios con VPC puntos de conexión en la Guía del VPC usuario de Amazon.