本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 VPC 端點
您可以將 AWS CodeBuild 設定成使用界面 VPC 端點,以提升建置的安全性。介面端點由PrivateLink,您可以用來私有存取 Amazon EC2 的技術,以及CodeBuild通過使用私有 IP 地址。PrivateLink限制代管執行個體之間的所有網路流量,CodeBuild和亞馬遜 EC2 到亞馬遜網絡。(受管執行個體無法存取網際網路。) 此外,您不需要網際網路閘道、NAT 裝置或虛擬私有閘道。您不需要 (但建議) 設定 PrivateLink。有關更多信息PrivateLink和 VPC 端點,請參閱什麼是AWS PrivateLink?。
建立 VPC 端點之前
在您設定 AWS CodeBuild 的 VPC 端點之前,請注意以下的約束與限制。
注意
使用一個NAT 閘道如果你想使用CodeBuild與AWS不支援亞馬遜 VPC 的服務PrivateLink連接。
-
VPC 端點僅支援透過亞馬遜路線 53 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 DHCP 選項集。
-
VPC 端點目前不支援跨區域請求。確保您在相同的端點中創建了端點AWS區域為任何存放組建輸入和輸出的 S3 儲存貯體。您可以使用亞馬遜 S3 主控台或get-bucket-location命令以查找存儲桶的位置。使用區域特定的 Amazon S3 端點存取儲存貯體 (例如,
). 如需 Amazon S3 特定區域端點的詳細資訊,請參閱亞馬遜簡單存儲服務在Amazon Web Services 一般參考。如果您使用AWS CLI若要向 Amazon S3 發出請求,請將您的預設區域設定為建立儲存貯體的相同區域,或使用<bucket-name>
.s3-us-west-2.amazonaws.com--region
您的請求中的參數。
建立適用於 CodeBuild 的 VPC 端點
按照建立界面端點中的指示建立 com.amazonaws.
端點。這是用於 AWS CodeBuild 的 VPC 端點。region
.codebuild
![](images/vpc-endpoint.png)
region
代表 CodeBuild 支援之 AWS 區域的區域識別符,例如 us-east-2
代表美國東部 (俄亥俄) 區域。如需支援的清單AWS區域,請參閱CodeBuild在 AWS一般參考。端點會預先填入您登入 AWS 時所指定的區域。如果變更您的區域,VPC 端點會隨之更新。
建立 CodeBuild 的 VPC 端點政策
您可以為下列項目建立 Amazon VPC 端點的政策AWS CodeBuild您可以在其中指定:
-
可執行動作的主體。
-
可執行的動作。
-
可對其執行動作的資源。
以下範例政策會指定所有委託人只能開始和檢視 project-name
專案的建置。
{ "Statement": [ { "Action": [ "codebuild:ListBuildsForProject", "codebuild:StartBuild", "codebuild:BatchGetBuilds" ], "Effect": "Allow", "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name", "Principal": "*" } ] }
如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取。