如何解决AWS CodePipeline使用什么CIDR?
我正在尝试使用GitHub的允许列表功能,该功能可以将组织存储库的访问权限限制为仅允许列表中的IP。
我在eu-west-2
(伦敦)中有一个CodePipeline,它被配置为具有从GitHub读取的源操作。我需要CodePipeline用来执行源克隆的IP CIDR,以便将其添加到允许列表中。我得到了AWS IP list,并将CodeBuild
中的所有Amazon
和eu-west-2
服务IP添加到允许列表。但是,当我执行管道构建时,由于无法访问存储库而失败。
但是,当我将0.0.0.0/0
添加到允许列表时,该构建就可以了。这似乎表明CodePipeline正在使用未发布的IP地址范围,或者正在以某种方式从另一个区域访问GitHub。
我尝试将CodePipeline配置为使用S3作为源并在存储桶上设置日志记录,以尝试捕获CodePipeline使用的IP地址,但是捕获的IP是172.16 / 12空间中的内部IP地址,即它们不是CodePipeline使用的外部IP地址。
CodePipeline使用的IP地址是什么?
解决方法
当前没有枚举CodePipeline使用的IP的可靠方法。
但是,还请注意CodePipeline是公共云服务。如果您允许列出所有CodePipeline,则可以有效地列出整个世界,因为任何人都可以注册并使用CodePipeline。
我将重点介绍其他技术来加强您的安全性,例如rotating access tokens regularly。 IP允许列表通常无法在云世界中提供有效的安全性;)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。