本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 VPC 端點
<a name="use-vpc-endpoints-with-codebuild"></a>

您可以將 設定為 AWS CodeBuild 使用介面 VPC 端點，以改善建置的安全性。介面端點採用 PrivateLink，這項技術可讓您使用私有 IP 地址來私下存取 Amazon EC2 和 CodeBuild。PrivateLink 會將受管執行個體、CodeBuild 和 Amazon EC2 之間的所有網路流量限制在 Amazon 網路。(受管執行個體無法存取網際網路。) 此外，您不需要網際網路閘道、NAT 裝置或虛擬私有閘道。您不需要 (但建議) 設定 PrivateLink。如需 PrivateLink 和 VPC 端點的詳細資訊，請參閱[什麼是 AWS PrivateLink？](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)。

## 建立 VPC 端點之前
<a name="vpc-endpoints-before-you-begin"></a>

 設定 VPC 端點之前 AWS CodeBuild，請注意下列限制。

**注意**  
 如果您想要搭配不支援 Amazon VPC PrivateLink 連線 AWS 的服務使用 CodeBuild，請使用 [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html)。
+  VPC 端點僅支援 Amazon 透過 Amazon Route 53 提供的 DNS。如果您想要使用自己的 DNS，您可以使用條件式 DNS 轉送。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的 [DHCP 選項集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。
+  VPC 端點目前不支援跨區域請求。請確定您在與存放建置輸入和輸出的任何 S3 儲存貯體相同的 AWS 區域中建立端點。您可以使用 Amazon S3 主控台或 [get-bucket-location](https://docs.aws.amazon.com/cli/latest/reference/s3api/get-bucket-location.html) 命令來尋找儲存貯體的位置。使用區域特定的 Amazon S3 端點來存取您的儲存貯體 （例如 `<bucket-name>.s3-us-west-2.amazonaws.com`)。如需 Amazon S3 區域特定端點的詳細資訊，請參閱《》中的 [Amazon Simple Storage Service](https://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region)*Amazon Web Services 一般參考*。如果您使用 AWS CLI 向 Amazon S3 提出請求，請將預設區域設定為建立儲存貯體的相同區域，或在請求中使用 `--region` 參數。

## 為 CodeBuild 建立 VPC 端點
<a name="creating-vpc-endpoints"></a>

按照[建立界面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)中的指示建立 `com.amazonaws.region.codebuild` 端點。這是 的 VPC 端點 AWS CodeBuild。

![\[VPC 端點組態。\]](http://docs.aws.amazon.com/zh_tw/codebuild/latest/userguide/images/vpc-endpoint.png)


 *region* 代表 CodeBuild 支援的 AWS 區域的區域識別符，例如`us-east-2`美國東部 （俄亥俄） 區域。如需支援 AWS 區域的清單，請參閱《 * AWS 一般參考*》中的 [CodeBuild](https://docs.aws.amazon.com/general/latest/gr/rande.html#codebuild_region)。端點會預先填入您在登入時指定的區域 AWS。如果變更您的區域，VPC 端點會隨之更新。

## 為 CodeBuild 建立 VPC 端點政策
<a name="creating-vpc-endpoint-policy"></a>

 您可以為 Amazon VPC 端點建立政策，您可以在 AWS CodeBuild 其中指定：
+ 可執行動作的主體。
+ 可執行的動作。
+ 可對其執行動作的資源。

以下範例政策會指定所有委託人只能開始和檢視 `project-name` 專案的建置。

```
{
    "Statement": [
        {
            "Action": [
                "codebuild:ListBuildsForProject",
                "codebuild:StartBuild",
                "codebuild:BatchGetBuilds"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name",
            "Principal": "*"
        }
    ]
}
```

 如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。