使用 VPC 终端节点 - Amazon CodeBuild
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 VPC 终端节点

您可以通过将 Amazon CodeBuild 配置为使用接口 VPC 终端节点来提高构建的安全性。接口终端节点由 PrivateLink 提供技术支持,该技术可以通过使用私有 IP 地址私下访问 Amazon EC2 和 CodeBuild。PrivateLink 将托管实例、CodeBuild 和 Amazon EC2 之间的所有网络流量限制在 Amazon 网络以内。(托管实例无法访问 Internet。) 而且,您无需 Internet 网关、NAT 设备或虚拟专用网关。不要求您配置 PrivateLink,但推荐进行配置。有关 PrivateLink 和 VPC 终端节点的更多信息,请参阅通过访问服务Amazon PrivateLink中的Amazon VPC User Guide.

在您创建 VPC 终端节点前

在配置 Amazon CodeBuild 的 VPC 端点之前,请注意以下限制。

注意

使用NAT 网关如果你想使用 CodeBuildAmazon不支持 Amazon VPC PrivateLink 连接的服务。

  • VPC 终端节点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 。DHCP 选项集中的Amazon VPC User Guide.

  • VPC 终端节点当前不支持跨区域请求。确保您在相同的终端节点中创建终端节点Amazon区域为存储构建输入和输出的任何 S3 存储桶。您可以使用 Amazon S3 控制台或get-bucket-location命令来查找存储桶的位置。使用区域特定的 Amazon S3 终端节点访问存储桶(例如,mybucket.s3-us-west-2.amazonaws.com)。有关 Amazon S3 的区域特定的终端节点的更多信息,请参阅Amazon Simple Storage Service中的Amazon Web Services 一般参考. 如果您将Amazon CLI要向 Amazon S3 发起请求,请将默认区域设置为创建存储桶的相同区域,或使用--region请求中的参数。

为 CodeBuild 创建 VPC 终端节点

按照创建接口终端节点中的说明操作,创建终端节点 com.amazonaws.region.codebuild。这是用于 Amazon CodeBuild 的 VPC 终端节点。

区域表示一个的区域标识符AmazonCodeBuild 支持的区域,例如us-east-2针对美国东部(俄亥俄)区域。有关受支持的列表Amazon地区,请参阅CodeBuild中的 Amazon一般参考. 使用您在登录到 Amazon 时指定的区域来预填充终端节点。如果更改您的区域,VPC 终端节点会相应地更新。

为 CodeBuild 创建 VPC 终端节点策略

您可以为的 Amazon VPC 终端节点创建一个策略Amazon CodeBuild在其中可以指定:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可用于执行操作的资源。

以下示例策略指定所有委托人只能启动和查看 project-name 项目的构建。

{ "Statement": [ { "Action": [ "codebuild:ListBuildsForProject", "codebuild:StartBuild", "codebuild:BatchGetBuilds" ], "Effect": "Allow", "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name", "Principal": "*" } ] }

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问