使用 VPC 端點

您可以將 AWS CodeBuild 設定成使用界面 VPC 端點，以提升建置的安全性。介面端點由PrivateLink，您可以用來私有存取 Amazon EC2 的技術，以及CodeBuild通過使用私有 IP 地址。PrivateLink限制代管執行個體之間的所有網路流量，CodeBuild和亞馬遜 EC2 到亞馬遜網絡。(受管執行個體無法存取網際網路。) 此外，您不需要網際網路閘道、NAT 裝置或虛擬私有閘道。您不需要 (但建議) 設定 PrivateLink。有關更多信息PrivateLink和 VPC 端點，請參閱什麼是AWS PrivateLink?。

建立 VPC 端點之前

在您設定 AWS CodeBuild 的 VPC 端點之前，請注意以下的約束與限制。

注意

使用一個NAT 閘道如果你想使用CodeBuild與AWS不支援亞馬遜 VPC 的服務PrivateLink連接。

• VPC 端點僅支援透過亞馬遜路線 53 提供的 DNS。如果您想要使用自己的 DNS，您可以使用條件式 DNS 轉送。如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的 DHCP 選項集。

• VPC 端點目前不支援跨區域請求。確保您在相同的端點中創建了端點AWS區域為任何存放組建輸入和輸出的 S3 儲存貯體。您可以使用亞馬遜 S3 主控台或get-bucket-location命令以查找存儲桶的位置。使用區域特定的 Amazon S3 端點存取儲存貯體 (例如，<bucket-name>.s3-us-west-2.amazonaws.com). 如需 Amazon S3 特定區域端點的詳細資訊，請參閱亞馬遜簡單存儲服務在Amazon Web Services 一般參考。如果您使用AWS CLI若要向 Amazon S3 發出請求，請將您的預設區域設定為建立儲存貯體的相同區域，或使用--region您的請求中的參數。

建立適用於 CodeBuild 的 VPC 端點

按照建立界面端點中的指示建立 com.amazonaws.region.codebuild 端點。這是用於 AWS CodeBuild 的 VPC 端點。

region 代表 CodeBuild 支援之 AWS 區域的區域識別符，例如 us-east-2 代表美國東部 (俄亥俄) 區域。如需支援的清單AWS區域，請參閱CodeBuild在 AWS一般參考。端點會預先填入您登入 AWS 時所指定的區域。如果變更您的區域，VPC 端點會隨之更新。

建立 CodeBuild 的 VPC 端點政策

您可以為下列項目建立 Amazon VPC 端點的政策AWS CodeBuild您可以在其中指定：

• 可執行動作的主體。

• 可執行的動作。

• 可對其執行動作的資源。

以下範例政策會指定所有委託人只能開始和檢視 project-name 專案的建置。

{
    "Statement": [
        {
            "Action": [
                "codebuild:ListBuildsForProject",
                "codebuild:StartBuild",
                "codebuild:BatchGetBuilds"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name",
            "Principal": "*"
        }
    ]
}

如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取。