本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您可以通过配置为使用接口 VPC 终端节点 AWS CodeBuild 来提高构建的安全性。接口终端节点由 PrivateLink一种可用于私有访问 Amazon 的技术 EC2 和 CodeBuild 私有 IP 地址提供支持。 PrivateLink 将您的托管实例与 Amazon 之间的所有网络流量限制 EC2 到亚马逊网络。 CodeBuild(托管实例无法访问 Internet。) 而且,您无需 Internet 网关、NAT 设备或虚拟专用网关。不要求您配置 PrivateLink,但推荐进行配置。有关 PrivateLink 和 VPC 终端节点的更多信息,请参阅什么是 AWS PrivateLink? 。
在您创建 VPC 端点前
在为配置 VPC 终端节点之前 AWS CodeBuild,请注意以下限制和限制。
注意
如果您想与不支持 Amazon VPC PrivateLink 连接 CodeBuild 的 AWS 服务一起使用,请使用 NA T 网关。
-
VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅《Amazon VPC 用户指南》中的 DHCP 选项集。
-
VPC 端点当前不支持跨区域请求。请确保在与存储构建输入和输出的任何 S3 存储桶相同的 AWS 区域中创建终端节点。您可以使用 Amazon S3 控制台或get-bucket-location命令来查找存储桶的位置。使用区域特定的 Amazon S3 端点访问存储桶(例如,
<bucket-name>.s3-us-west-2.amazonaws.com.rproxy.goskope.com--region参数。 AWS CLI
为创建 VPC 终端节点 CodeBuild
按照创建接口端点中的说明操作,创建端点 com.amazonaws.。这是的 VPC 终端节点 AWS CodeBuild。region.codebuild
region表示所 CodeBuild支持的 AWS 区域(例如us-east-2美国东部(俄亥俄州)地区的区域标识符。有关支持的 AWS 区域列表,请参阅《 AWS 一般参考》CodeBuild中的。终端节点已预先填充您在登录时指定的区域。 AWS如果更改您的区域,VPC 端点会相应地更新。
为创建 VPC 终端节点策略 CodeBuild
您可以为 Amazon VPC 终端节点创建策略,您可以在其中指定: AWS CodeBuild
-
可执行操作的主体。
-
可执行的操作。
-
可用于执行操作的资源。
以下示例策略指定所有委托人只能启动和查看 project-name 项目的构建。
{
"Statement": [
{
"Action": [
"codebuild:ListBuildsForProject",
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Effect": "Allow",
"Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name",
"Principal": "*"
}
]
}有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问。
