Блог

Главная - Вопросы по программированию - Какой CIDR используется AWS CodePipeline?

Какой CIDR используется AWS CodePipeline?

#amazon-web-services #aws-codepipeline #aws-codebuild

#amazon-веб-сервисы #aws-codepipeline #aws-codebuild

Вопрос:

Я пытаюсь использовать функцию списка разрешений GitHub, где доступ к репозиториям организации может быть ограничен только IP-адресами в списке разрешений.

У меня есть CodePipeline в eu-west-2 (Лондон), который настроен на выполнение исходного действия чтения с GitHub. Мне нужен IP CIDR, который используется CodePipeline для выполнения исходного клонирования, чтобы добавить его в список разрешенных. Я получил список IP-адресов AWS и добавил все IP-адреса CodeBuild и Amazon служб в eu-west-2 список разрешений. Однако, когда я выполняю сборку конвейера, происходит сбой из-за невозможности доступа к репозиторию.

Однако, когда я добавляю 0.0.0.0/0 в список разрешенных, сборка работает. Это, по-видимому, указывает на то, что CodePipeline использует либо неопубликованный диапазон IP-адресов, либо каким-то образом обращается к GitHub из другого региона.

Я попытался настроить CodePipeline на использование S3 в качестве источника и установить ведение журнала в корзине, пытаясь захватить IP-адреса, используемые CodePipeline, но захваченные IP-адреса являются внутренними IP-адресами в пространстве 172.16 / 12, т. Е. Они не являются внешними IP-адресами, используемыми CodePipeline.

Какие IP-адреса используются CodePipeline?

Комментарии:

1. Я бы сказал, что это один из способов поддержки AWS.

Ответ №1:

В настоящее время не существует надежного способа перечисления IP-адресов, используемых CodePipeline.

Однако, пожалуйста, также обратите внимание, что CodePipeline является общедоступным облачным сервисом. Если вы разрешите перечислять все CodePipeline, вы фактически разрешите перечислять весь мир, потому что любой может зарегистрироваться и использовать CodePipeline.

Я бы сосредоточился на других методах повышения вашей безопасности, таких как регулярная ротация токенов доступа. Список разрешенных IP-адресов часто не обеспечивает эффективной безопасности в облачном мире 😉

Ответ №2:

Рекомендуемый способ — использовать VPC для вашего проекта codebuild (контейнер building docker будет выполняться в определенных вами подсетях VPC), затем вы можете использовать этот CIDR VPC в правилах, связанных с вашей группой безопасности ресурсов.

Amazon Virtual Private Cloud (VPC) — это сервис, который позволяет запускать ресурсы AWS в определенной вами логически изолированной виртуальной сети.

Более подробную информацию можно найти здесьhttps://docs.aws.amazon.com/codebuild/latest/userguide/vpc-support.html