本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 VPC 端點
您可以將 AWS CodeBuild 設定成使用界面 VPC 端點,以提升建置的安全性。界面端點採用 PrivateLink 技術,您可以使用此技術,透過使用私有 IP 地址,私下使用此技術,私下使 Amazon EC2 vateLink 技術,私下使 CodeBuild 此技術,私下使用 PrivateLink 會限制受管執行個體、CodeBuild 和 Amazon EC2 之間的所有網路流量到 Amazon 網路。(受管執行個體無法存取網際網路。) 此外,您不需要網際網路閘道、NAT 裝置或虛擬私有閘道。您不需要 (但建議) 設定 PrivateLink。如需 PrivateLink 和 VPC 端點的詳細資訊,請參透過存取服務AWS PrivateLink中的Amazon VPC User Guide。
建立 VPC 端點之前
在您設定 AWS CodeBuild 的 VPC 端點之前,請注意以下的約束與限制。
使用NAT 閘道如果你想使用 CodeBuildAWS服務不支持亞馬遜 VPC PrivateLink 接連接。
-
VPC 端點僅透過 Amazon Route 53 支援 Amazon 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱「」DHCP 選項集中的Amazon VPC User Guide。
-
VPC 端點目前不支援跨區域請求。請確定您在相同AWS區域:存放建置輸入和輸出的任何 S3 儲存貯體。您可以使用 Amazon S3 主控台或get-bucket-location命令來找到儲存貯體的位置。使用區域特定 Amazon S3 端點來存取儲存貯體 (例如
mybucket.s3-us-west-2.amazonaws.com
。如需 Amazon S3 區域特定端點的詳細資訊,請參Amazon Simple Storage Service中的Amazon Web Services 一般參考。如果您使用AWS CLI向 Amazon S3 提出請求,請將預設區域設定為與建立儲存貯體所在位置相同的區域,或使用--region
參數。
CodeBuild 立 VPC 端點
按照建立界面端點中的指示建立 com.amazonaws.
端點。這是用於 AWS CodeBuild 的 VPC 端點。region
.codebuild

區域
表示AWSCodeBuild 支持的區域,例如us-east-2
美國東部 (俄亥俄) 區域。如需支援AWS區域,請參閲CodeBuild中的 AWS一般參考。端點會預先填入您登入 AWS 時所指定的區域。如果變更您的區域,VPC 端點會隨之更新。
建立 VPC 端點政策
您可以為的 Amazon VPC 端點建立政策AWS CodeBuild在當中您可以指定:
-
可執行動作的委託人。
-
可執行的動作。
-
可對其執行動作的資源。
以下範例政策會指定所有委託人只能開始和檢視 project-name
專案的建置。
{ "Statement": [ { "Action": [ "codebuild:ListBuildsForProject", "codebuild:StartBuild", "codebuild:BatchGetBuilds" ], "Effect": "Allow", "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name", "Principal": "*" } ] }
如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取。