使用VPC端點

您可以設定 AWS CodeBuild 以使用介面VPC端點來改善建置的安全性。介面端點採用 PrivateLink，這項技術可用來私下存取 Amazon CodeBuild ，EC2並使用私有 IP 地址。 PrivateLink 會限制受管執行個體與 Amazon 之間的所有網路流量 CodeBuild，以及 Amazon EC2對 Amazon 網路的流量。(受管執行個體無法存取網際網路。) 此外，您不需要網際網路閘道、NAT裝置或虛擬私有閘道。您不需要設定 PrivateLink，但建議您設定 。如需 PrivateLink 和 VPC 端點的詳細資訊，請參閱什麼是 AWS PrivateLink？。

建立VPC端點之前

為 設定VPC端點之前 AWS CodeBuild，請注意下列限制和約束。

注意

如果您想要 CodeBuild 搭配不支援 Amazon VPC PrivateLink連線 AWS 的服務使用 NAT閘道。

• VPC 端點僅支援DNS透過 Amazon Route 53 提供的 Amazon。如果您想要使用自己的 DNS，您可以使用條件式DNS轉送。如需詳細資訊，請參閱 Amazon VPC使用者指南 中的DHCP選項集。

• VPC 端點目前不支援跨區域請求。請務必在與儲存建置輸入和輸出的任何 S3 儲存貯體相同的 AWS 區域中建立端點。您可以使用 Amazon S3 主控台或 get-bucket-location命令來尋找儲存貯體的位置。使用區域特定的 Amazon S3 端點來存取儲存貯體 （例如 <bucket-name>.s3-us-west-2.amazonaws.com）。如需 Amazon S3 區域特定端點的詳細資訊，請參閱中的 Amazon Simple Storage ServiceAmazon Web Services 一般參考。如果您使用 AWS CLI 向 Amazon S3 提出請求，請將預設區域設定為建立儲存貯體的相同區域，或在請求中使用 --region 參數。

建立 的VPC端點 CodeBuild

按照建立界面端點中的指示建立 com.amazonaws.region.codebuild 端點。這是 的VPC端點 AWS CodeBuild。

region 代表 支援的 AWS 區域的區域識別符 CodeBuild，例如us-east-2美國東部 （俄亥俄） 區域。如需支援的 AWS 區域清單，請參閱 一般參考 CodeBuild中的 。 AWS 端點會預先填入您在登入 時指定的區域 AWS。如果您變更區域，VPC端點會隨之更新。

建立 的VPC端點政策 CodeBuild

您可以為 Amazon VPC端點建立政策，您可以在 AWS CodeBuild 其中指定：

• 可執行動作的主體。

• 可執行的動作。

• 可對其執行動作的資源。

以下範例政策會指定所有委託人只能開始和檢視 project-name 專案的建置。

{
    "Statement": [
        {
            "Action": [
                "codebuild:ListBuildsForProject",
                "codebuild:StartBuild",
                "codebuild:BatchGetBuilds"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name",
            "Principal": "*"
        }
    ]
}

如需詳細資訊，請參閱 Amazon VPC使用者指南 中的使用VPC端點控制對 服務的存取。