本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用VPC端點
您可以透過設定 AWS CodeBuild 為使用介面VPC端點來改善組建的安全性。界面端點採用這種技術 PrivateLink,您可以用來私有存取 Amazon 以EC2及使 CodeBuild 用私有 IP 地址。 PrivateLink 將受管執行個體和 Amazon 之間的所有網 CodeBuild路流量限制EC2為 Amazon 網路。(受管執行個體無法存取網際網路。) 此外,您不需要互聯網閘道,NAT設備或虛擬私有網關。您不需要進行設定 PrivateLink,但建議您這麼做。如需有關 PrivateLink 和VPC端點的詳細資訊,請參閱什麼是 AWS PrivateLink? 。
建立VPC端點之前
在設定的VPC端點之前 AWS CodeBuild,請注意下列限制和限制。
注意
如果您想要搭配不支援 Amazon VPC PrivateLink 連線 CodeBuild 的 AWS 服務使用,請使用NAT閘道。
-
VPC端點支持 Amazon 僅通DNS過 Amazon 路線 53 提供。如果你想使用自己的DNS,你可以使用條件DNS轉發。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的DHCP選項集。
-
VPC端點目前不支援跨區域要求。確保您在與存放組建輸入和輸出的任何 S3 儲存貯體相同的 AWS 區域中建立端點。您可以使用 Amazon S3 主控台或命get-bucket-location令尋找儲存貯體的位置。使用區域特定的 Amazon S3 端點存取儲存貯體 (例如)。
如需 Amazon S3 特定區域端點的詳細資訊,請參閱中的 Amazon 簡單儲存服務。Amazon Web Services 一般參考如果您使用 AWS CLI 向 Amazon S3 發出請求,請將預設區域設定為建立儲存貯體的相同區域,或在請求中使用<bucket-name>
.s3-us-west-2.amazonaws.com.rproxy.goskope.com--region
參數。
建立VPC端點 CodeBuild
按照建立界面端點中的指示建立 com.amazonaws.
端點。這是用於的VPC端點 AWS CodeBuild。region
.codebuild
region
代表支援之區 AWS 域的地區識別碼 CodeBuild,us-east-2
例如美國東部 (俄亥俄) 區域。如需支援的 AWS 區域清單,請參閱 AWS 一般參考CodeBuild中的。端點會預先填入您登入時指定的區域。 AWS如果您變更您的地區,VPC端點會相應地更新。
建立VPC端點策略 CodeBuild
您可以為 Amazon VPC 端點建立政策, AWS CodeBuild 在其中指定:
-
可執行動作的主體。
-
可執行的動作。
-
可對其執行動作的資源。
以下範例政策會指定所有委託人只能開始和檢視 project-name
專案的建置。
{ "Statement": [ { "Action": [ "codebuild:ListBuildsForProject", "codebuild:StartBuild", "codebuild:BatchGetBuilds" ], "Effect": "Allow", "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name", "Principal": "*" } ] }
如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用VPC端點控制對服務的存取。