使用VPC终端节点 - Amazon CodeBuild
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用VPC终端节点

您可以通过配置为使用接口VPC端点 Amazon CodeBuild 来提高构建的安全性。接口终端节点由 PrivateLink一种可用于私有访问 Amazon 的技术EC2和 CodeBuild 私有 IP 地址提供支持。 PrivateLink 将您的托管实例与 Amazon 之间的所有网络流量限制EC2到亚马逊网络。 CodeBuild(托管实例无法访问 Internet。) 此外,您不需要互联网网关、NAT设备或虚拟专用网关。您无需进行配置 PrivateLink,但建议您这样做。有关 PrivateLink 和VPC终端节点的更多信息,请参阅什么是 Amazon PrivateLink?

在创建VPC终端节点之前

在为配置VPC终端节点之前 Amazon CodeBuild,请注意以下限制和限制。

注意

如果您想使用不支持 Amazon VPC PrivateLink 连接 CodeBuild 的 Amazon 服务,请使用NAT网关

  • VPC终端节点仅支持亚马逊通过 DNS Amazon Route 53 提供的服务。如果您想使用自己的转发DNS,则可以使用条件DNS转发。有关更多信息,请参阅 Amazon VPC 用户指南中的DHCP选项集

  • VPC终端节点目前不支持跨区域请求。请确保在与存储构建输入和输出的任何 S3 存储桶相同的 Amazon 区域中创建终端节点。您可以使用 Amazon S3 控制台或get-bucket-location命令来查找存储桶的位置。使用区域特定的 Amazon S3 端点访问存储桶(例如,<bucket-name>.s3-us-west-2.amazonaws.com)。有关 Amazon S3 的区域特定端点的更多信息,请参阅《Amazon Web Services 一般参考》中的 Amazon Simple Storage Service。如果您使用向 Amazon S3 发出请求,请将默认区域设置为创建存储桶的相同区域,或者在请求中使用--region参数。 Amazon CLI

为创建VPC终端节点 CodeBuild

按照创建接口端点中的说明操作,创建端点 com.amazonaws.region.codebuild。这是的VPC终端节点 Amazon CodeBuild。

VPC端点配置。

region 表示所 CodeBuild支持的 Amazon 区域(例如us-east-2美国东部(俄亥俄州)地区的区域标识符。有关支持的 Amazon 区域列表,请参阅《 Amazon 一般参考CodeBuild中的。终端节点已预先填充您在登录时指定的区域。 Amazon如果您更改您的区域,则VPC终端节点会相应更新。

为创建VPC终端节点策略 CodeBuild

您可以为 Amazon VPC 终端节点创建策略 Amazon CodeBuild ,您可以在其中指定:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可用于执行操作的资源。

以下示例策略指定所有委托人只能启动和查看 project-name 项目的构建。

{ "Statement": [ { "Action": [ "codebuild:ListBuildsForProject", "codebuild:StartBuild", "codebuild:BatchGetBuilds" ], "Effect": "Allow", "Resource": "arn:aws:codebuild:region-ID:account-ID:project/project-name", "Principal": "*" } ] }

有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问