使用 VPC 端點 - AWS CodeBuild

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 VPC 端點

您可以將 AWS CodeBuild 設定成使用界面 VPC 端點,以提升建置的安全性。界面端點採用 PrivateLink 技術,您可以使用此技術,透過使用私有 IP 地址,私下使用此技術,私下使 Amazon EC2 vateLink 技術,私下使 CodeBuild 此技術,私下使用 PrivateLink 會限制受管執行個體、CodeBuild 和 Amazon EC2 之間的所有網路流量到 Amazon 網路。(受管執行個體無法存取網際網路。) 此外,您不需要網際網路閘道、NAT 裝置或虛擬私有閘道。您不需要 (但建議) 設定 PrivateLink。如需 PrivateLink 和 VPC 端點的詳細資訊,請參透過存取服務AWS PrivateLink中的Amazon VPC User Guide

建立 VPC 端點之前

在您設定 AWS CodeBuild 的 VPC 端點之前,請注意以下的約束與限制。

注意

使用NAT 閘道如果你想使用 CodeBuildAWS服務不支持亞馬遜 VPC PrivateLink 接連接。

  • VPC 端點僅透過 Amazon Route 53 支援 Amazon 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱「」DHCP 選項集中的Amazon VPC User Guide

  • VPC 端點目前不支援跨區域請求。請確定您在相同AWS區域:存放建置輸入和輸出的任何 S3 儲存貯體。您可以使用 Amazon S3 主控台或get-bucket-location命令來找到儲存貯體的位置。使用區域特定 Amazon S3 端點來存取儲存貯體 (例如mybucket.s3-us-west-2.amazonaws.com。如需 Amazon S3 區域特定端點的詳細資訊,請參Amazon Simple Storage Service中的Amazon Web Services 一般參考。如果您使用AWS CLI向 Amazon S3 提出請求,請將預設區域設定為與建立儲存貯體所在位置相同的區域,或使用--region參數。

CodeBuild 立 VPC 端點

按照建立界面端點中的指示建立 com.amazonaws.region.codebuild 端點。這是用於 AWS CodeBuild 的 VPC 端點。

區域表示AWSCodeBuild 支持的區域,例如us-east-2美國東部 (俄亥俄) 區域。如需支援AWS區域,請參閲CodeBuild中的 AWS一般參考。端點會預先填入您登入 AWS 時所指定的區域。如果變更您的區域,VPC 端點會隨之更新。

建立 VPC 端點政策

您可以為的 Amazon VPC 端點建立政策AWS CodeBuild在當中您可以指定:

  • 可執行動作的委託人。

  • 可執行的動作。

  • 可對其執行動作的資源。

以下範例政策會指定所有委託人只能開始和檢視 project-name 專案的建置。

{ "Statement": [ { "Action": [ "codebuild:ListBuildsForProject", "codebuild:StartBuild", "codebuild:BatchGetBuilds" ], "Effect": "Allow", "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name", "Principal": "*" } ] }

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取