使用VPC端點 - AWS CodeBuild
建立VPC端點之前建立VPC端點 CodeBuild建立VPC端點策略 CodeBuild

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用VPC端點

您可以透過設定 AWS CodeBuild 為使用介面VPC端點來改善組建的安全性。界面端點採用這種技術 PrivateLink,您可以用來私有存取 Amazon 以EC2及使 CodeBuild 用私有 IP 地址。 PrivateLink 將受管執行個體和 Amazon 之間的所有網 CodeBuild路流量限制EC2為 Amazon 網路。(受管執行個體無法存取網際網路。) 此外,您不需要互聯網閘道,NAT設備或虛擬私有網關。您不需要進行設定 PrivateLink,但建議您這麼做。如需有關 PrivateLink 和VPC端點的詳細資訊,請參閱什麼是 AWS PrivateLink?

建立VPC端點之前

在設定的VPC端點之前 AWS CodeBuild,請注意下列限制和限制。

注意

如果您想要搭配不支援 Amazon VPC PrivateLink 連線 CodeBuild 的 AWS 服務使用,請使用NAT閘道

  • VPC端點支持 Amazon 僅通DNS過 Amazon 路線 53 提供。如果你想使用自己的DNS,你可以使用條件DNS轉發。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的DHCP選項集

  • VPC端點目前不支援跨區域要求。確保您在與存放組建輸入和輸出的任何 S3 儲存貯體相同的 AWS 區域中建立端點。您可以使用 Amazon S3 主控台或命get-bucket-location令尋找儲存貯體的位置。使用區域特定的 Amazon S3 端點存取儲存貯體 (例如)。<bucket-name>.s3-us-west-2.amazonaws.com如需 Amazon S3 特定區域端點的詳細資訊,請參閱中的 Amazon 簡單儲存服務Amazon Web Services 一般參考如果您使用 AWS CLI 向 Amazon S3 發出請求,請將預設區域設定為建立儲存貯體的相同區域,或在請求中使用--region參數。

建立VPC端點 CodeBuild

按照建立界面端點中的指示建立 com.amazonaws.region.codebuild 端點。這是用於的VPC端點 AWS CodeBuild。

VPC端點組態。

region 代表支援之區 AWS 域的地區識別碼 CodeBuild,us-east-2例如美國東部 (俄亥俄) 區域。如需支援的 AWS 區域清單,請參閱 AWS 一般參考CodeBuild中的。端點會預先填入您登入時指定的區域。 AWS如果您變更您的地區,VPC端點會相應地更新。

建立VPC端點策略 CodeBuild

您可以為 Amazon VPC 端點建立政策, AWS CodeBuild 在其中指定:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可對其執行動作的資源。

以下範例政策會指定所有委託人只能開始和檢視 project-name 專案的建置。

{
    "Statement": [
        {
            "Action": [
                "codebuild:ListBuildsForProject",
                "codebuild:StartBuild",
                "codebuild:BatchGetBuilds"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name",
            "Principal": "*"
        }
    ]
}

如需詳細資訊,請參閱 Amazon VPC 使用者指南的使用VPC端點控制對服務的存取。