我正在尝试使用GitHub的允许列表功能,该功能可以将组织存储库的访问权限限制为仅允许列表中的IP。
我在eu-west-2(伦敦)中有一个CodePipeline,它被配置为具有从GitHub读取的源操作。我需要CodePipeline用来执行源克隆的IP CIDR,以便将其添加到允许列表中。我得到了AWS IP list,并将CodeBuild中的所有Amazon和eu-west-2服务IP添加到允许列表。但是,当我执行管道构建时,由于无法访问存储库而失败。
但是,当我将0.0.0.0/0添加到允许列表时,该构建就可以了。这似乎表明CodePipeline正在使用未发布的IP地址范围,或者正在以某种方式从另一个区域访问GitHub。
我尝试将CodePipeline配置为使用S3作为源并在存储桶上设置日志记录,以尝试捕获CodePipeline使用的IP地址,但是捕获的IP是172.16 / 12空间中的内部IP地址,即它们不是CodePipeline使用的外部IP地址。
CodePipeline使用的IP地址是什么?
答案 0 :(得分:0)
当前没有枚举CodePipeline使用的IP的可靠方法。
但是,还请注意CodePipeline是公共云服务。如果您允许列出所有CodePipeline,则可以有效地列出整个世界,因为任何人都可以注册并使用CodePipeline。
我将重点介绍其他技术来加强您的安全性,例如rotating access tokens regularly。 IP允许列表通常无法在云世界中提供有效的安全性;)