Usar VPC endpoints - AWS CodeBuild
Antes de criar VPC endpoints Criar endpoints da VPC para o CodeBuild Criar uma política de endpoint da VPC para o CodeBuild

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar VPC endpoints

Você pode melhorar a segurança das sua compilações, configurando o AWS CodeBuild de modo a usar um VPC endpoint de interface. Os endpoints da interface são habilitados pelo PrivateLink, tecnologia que você pode usar para acessar de forma privada o Amazon EC2 e o CodeBuild usando endereços IP privados. O PrivateLink limita todo o tráfego de rede entre as instâncias gerenciadas, o CodeBuild e o Amazon EC2 à rede da Amazon. (As instâncias gerenciadas não têm acesso à Internet.) Além disso, você não precisa de um gateway da Internet, de um dispositivo NAT ou de um gateway privado virtual. Não é necessário configurar o PrivateLink, mas é recomendável. Para obter mais informações sobre o PrivateLink e endpoints da VPC, consulte O que é o AWS PrivateLink?

Antes de criar VPC endpoints

Antes de configurar VPC endpoints para o AWS CodeBuild, fique atento às restrições e limitações a seguir.

nota

Use um NAT gateway se quiser usar o CodeBuild com serviços da AWS incompatíveis com conexões do PrivateLink da Amazon VPC.

  • Os endpoints da VPC são compatíveis somente com DNS fornecido pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, poderá usar o encaminhamento de DNS condicional. Para obter mais informações, consulte Conjuntos de opções DHCP no Guia do usuário do Amazon VPC.

  • Atualmente, os VPC endpoints não oferecem suporte a solicitações entre regiões. Crie o endpoint na mesma região da AWS de todos os buckets do S3 que armazenam a entrada e a saída da compilação. É possível usar o console do Amazon S3 ou o comando get-bucket-location para encontrar o local do bucket. Use um endpoint do Amazon S3 específico da região para acessar o bucket (por exemplo, <bucket-name>.s3-us-west-2.amazonaws.com). Para obter mais informações sobre endpoints específicos da região para o Amazon S3, consulte Amazon Simple Storage Service na Referência geral da Amazon Web Services. Se usar a AWS CLI para fazer solicitações ao Amazon S3, defina a região padrão como a mesma região onde o bucket foi criado ou use o parâmetro --region nas solicitações.

Criar endpoints da VPC para o CodeBuild

Siga as instruções em Criar um endpoint de interface para criar o endpoint com.amazonaws.region.codebuild. Este é um VPC endpoint para AWS CodeBuild.

região representa o identificador de uma região da AWS compatível com o CodeBuild, como us-east-2 para a região do Leste dos EUA (Ohio). Para obter uma lista das regiões da AWS atendidas, consulte CodeBuild na Referência geral da AWS. O endpoint é preenchido automaticamente com a região especificada quando você se conecta à AWS. Se você alterar a região, o VPC endpoint será atualizado adequadamente.

Criar uma política de endpoint da VPC para o CodeBuild

É possível criar uma política para endpoints da Amazon VPC para AWS CodeBuild na qual é possível especificar:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos que podem ter ações executadas neles.

O exemplo de política a seguir especifica que todos os principais só podem iniciar e visualizar compilações para o projeto project-name. 

{
    "Statement": [
        {
            "Action": [
                "codebuild:ListBuildsForProject",
                "codebuild:StartBuild",
                "codebuild:BatchGetBuilds"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name",
            "Principal": "*"
        }
    ]
}

Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.