Uso de puntos de enlace de la VPC
Puede mejorar la seguridad de sus compilaciones si configura AWS CodeBuild para usar un punto de conexión de VPC de interfaz. Los puntos de conexión de la interfaz funcionan con PrivateLink, una tecnología que le permite obtener acceso de forma privada a Amazon EC2 y CodeBuld utilizando direcciones IP privadas. PrivateLink restringe todo el tráfico de red entre las instancias administradas, CodeBuld y Amazon EC2 hacia la red de Amazon. Las instancias administradas no tienen acceso a Internet. Asimismo, no necesita una gateway de Internet, ni un dispositivo NAT, ni una gateway privada virtual. No es necesario configurar PrivateLink, pero es recomendable. Para obtener más información acerca de PrivateLink y los puntos de conexión de VPC, consulte ¿Qué es AWS PrivateLink?.
Antes de crear los puntos de enlace de la VPC
Antes de configurar los puntos de enlace de la VPC para AWS CodeBuild, debe conocer las siguientes restricciones y limitaciones.
nota
Utilice una puerta de enlace NAT si desea utilizar CodeBuild con servicios de AWS que no admitan conexiones de Amazon VPC PrivateLink.
-
Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Amazon Route 53. Si desea utilizar su propio DNS, puede utilizar el enrutamiento de DNS condicional. Para obtener más información, consulte Conjuntos de opciones de DHCP en la Guía del usuario de Amazon VPC.
-
En la actualidad, los puntos de enlace de la VPC no admiten las solicitudes entre regiones. Asegúrese de crear su punto de conexión en la misma región de AWS que cualquier bucket de S3 que almacene la entrada y la salida de la compilación. Puede utilizar la consola de Amazon S3 o el comando get-bucket-location para buscar la ubicación del bucket. Utilice un punto de conexión de Amazon S3 específico de región para acceder al bucket (por ejemplo,
<bucket-name>.s3-us-west-2.amazonaws.com.rproxy.goskope.com--regionen las solicitudes.
Creación de puntos de conexión de VPC para CodeBuild
Siga las instrucciones de Creación de un punto de conexión de interfaz para crear el punto de conexión com.amazonaws.. Este es un punto de conexión de la VPC para AWS CodeBuild. region.codebuild
region representa el identificador de región de una región de AWS compatible con CodeBuild, como us-east-2 para la región Este de EE. UU. (Ohio). Para obtener una lista de las regiones de AWS compatibles, consulte CodeBuild en la Referencia general de AWS. El punto de conexión ya contiene la región que especificó al iniciar sesión en AWS. Si cambia la región, el punto de conexión de la VPC se actualizará en consecuencia.
Crear una política de punto de conexión de VPC para CodeBuild
Puede crear una política para los puntos de conexión VPC para AWS CodeBuild en la que puede especificar:
-
La entidad principal que puede realizar acciones.
-
Las acciones que se pueden realizar.
-
Los recursos en los que se pueden realizar acciones.
La siguiente política de ejemplo especifica que todas las entidades principales solo pueden iniciar y consultar compilaciones para el proyecto project-name.
{ "Statement": [ { "Action": [ "codebuild:ListBuildsForProject", "codebuild:StartBuild", "codebuild:BatchGetBuilds" ], "Effect": "Allow", "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name", "Principal": "*" } ] }
Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.
