本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用VPC终端节点
您可以通过配置为使用接口VPC端点 Amazon CodeBuild 来提高构建的安全性。接口终端节点由 PrivateLink一种可用于私有访问 Amazon 的技术EC2和 CodeBuild 私有 IP 地址提供支持。 PrivateLink 将您的托管实例与 Amazon 之间的所有网络流量限制EC2到亚马逊网络。 CodeBuild(托管实例无法访问 Internet。) 此外,您不需要互联网网关、NAT设备或虚拟专用网关。您无需进行配置 PrivateLink,但建议您这样做。有关 PrivateLink 和VPC终端节点的更多信息,请参阅什么是 Amazon PrivateLink? 。
在创建VPC终端节点之前
在为配置VPC终端节点之前 Amazon CodeBuild,请注意以下限制和限制。
注意
如果您想使用不支持 Amazon VPC PrivateLink 连接 CodeBuild 的 Amazon 服务,请使用NAT网关。
-
VPC终端节点仅支持亚马逊通过 DNS Amazon Route 53 提供的服务。如果您想使用自己的转发DNS,则可以使用条件DNS转发。有关更多信息,请参阅 Amazon VPC 用户指南中的DHCP选项集。
-
VPC终端节点目前不支持跨区域请求。请确保在与存储构建输入和输出的任何 S3 存储桶相同的 Amazon 区域中创建终端节点。您可以使用 Amazon S3 控制台或get-bucket-location命令来查找存储桶的位置。使用区域特定的 Amazon S3 端点访问存储桶(例如,
)。有关 Amazon S3 的区域特定端点的更多信息,请参阅《Amazon Web Services 一般参考》中的 Amazon Simple Storage Service。如果您使用向 Amazon S3 发出请求,请将默认区域设置为创建存储桶的相同区域,或者在请求中使用<bucket-name>
.s3-us-west-2.amazonaws.com--region
参数。 Amazon CLI
为创建VPC终端节点 CodeBuild
按照创建接口端点中的说明操作,创建端点 com.amazonaws.
。这是的VPC终端节点 Amazon CodeBuild。region
.codebuild
region
表示所 CodeBuild支持的 Amazon 区域(例如us-east-2
美国东部(俄亥俄州)地区的区域标识符。有关支持的 Amazon 区域列表,请参阅《 Amazon 一般参考》CodeBuild中的。终端节点已预先填充您在登录时指定的区域。 Amazon如果您更改您的区域,则VPC终端节点会相应更新。
为创建VPC终端节点策略 CodeBuild
您可以为 Amazon VPC 终端节点创建策略 Amazon CodeBuild ,您可以在其中指定:
-
可执行操作的主体。
-
可执行的操作。
-
可用于执行操作的资源。
以下示例策略指定所有委托人只能启动和查看 project-name
项目的构建。
{ "Statement": [ { "Action": [ "codebuild:ListBuildsForProject", "codebuild:StartBuild", "codebuild:BatchGetBuilds" ], "Effect": "Allow", "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name", "Principal": "*" } ] }
有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问。