1. この記事について
AWS CodeBuild は GitHub Actions (GHA) や Jenkins と同様に「コードをビルドしてテストする」CI サービスですが、AWS ネイティブサービスとの統合深度が一線を画します。GHA が汎用ランナーとして幅広いワークフローをカバーするのに対し、CodeBuild は ECR・S3・Secrets Manager・VPC との直接統合、IAM ロールによる権限管理、マルチアーキ ARM コンピュートを単一サービスで実現します。Vol1 で「CodeBuild を選択する」判断をしたエンジニアが次に直面するのが「どう本番運用品質に持っていくか」という問いです。本記事 Vol2 はその問いに徹底的に答えます。
なお、CodeBuild は「ビルドするだけ」のサービスではありません。buildspec.yml の reports ブロックで JUnit / NUnit 形式のテスト結果を自動収集し、CloudWatch に転送して可視化できます。batch build を使えば複数ビルドジョブを並列または依存関係付きで実行でき、単一の CI パイプラインで複数プラットフォームのビルドマトリクスを表現できます。こうした高度な機能を使いこなすためのガイドが、本記事の §3 (buildspec.yml 完全解説) と §4 (マルチアーキ Batch build) です。
QG-1: CodeBuild 全体アーキテクチャ + 関連サービス境界AWS CodeBuild はソースコードを取得してコンテナ内でビルド・テスト・アーティファクト生成を実行するフルマネージド CI サービスです。周辺サービスとの境界は次の通りです。
- Amazon ECR: カスタムビルドイメージの格納先 / マルチアーキ Docker イメージの push 先
- Amazon S3: buildspec.yml のリモート格納先 / ビルドアーティファクトの出力先 / S3 キャッシュストレージ
- AWS Secrets Manager / SSM Parameter Store: ビルド時シークレット注入 (env-vars-files 経由で環境変数として展開)
- Amazon VPC: private subnet + NAT Gateway 経由でプライベートリソース (RDS/ElastiCache) へ接続するビルド環境を提供
- AWS CodePipeline: ソース→ビルド→デプロイ のオーケストレーター。CodeBuild はビルドステージを担当 (Vol3 詳説)
- GitHub / CodeCommit / Bitbucket / S3: ソースプロバイダー。webhook トリガーによる自動ビルドに対応
CodeBuild 自体はビルドコンテナの起動・実行・終了のみを担い、ストレージ・シークレット・ネットワーク・レジストリは外部サービスに委譲します。この疎結合設計が GHA との役割分担や CodePipeline との組み合わせを柔軟にしています。
シリーズナビ: AWS Code* ファミリー徹底解説 (Vol1–4)- Vol1: 全体像 + サービス選定 + GHA/ecspresso 比較 (公開済)
- Vol2 (本記事): CodeBuild 完全活用 — buildspec/VPC/マルチアーキ/コスト最適化
- Vol3: CodePipeline V2 + CodeDeploy 本番運用 (予告)
- Vol4: CodeArtifact + CodeGuru 補完運用 (予告)
本記事のゴール- buildspec.yml の全機能 (phases/cache/artifacts/env/batch build/reports) を本番運用品質で習得する
- マルチアーキ Docker build (arm64 + x86_64 manifest list) を ECR に push できる
- VPC 内ビルドで RDS/ElastiCache 等プライベートリソースへ接続できる
- Secrets Manager から env-vars-files 経由でシークレットを安全注入できる
- Terraform で aws_codebuild_project + IAM + VPC + webhook を完全 IaC 化できる
- codebuild_build.sh でローカルデバッグし、Spot fleet + キャッシュでコスト 60–80% 削減できる
1-1. 本記事のゴール
Vol1 (AWS Code ファミリー全体像) では、CodeBuild / CodePipeline / CodeDeploy / CodeArtifact の役割分担と GHA との使い分け基準を整理しました。本記事 Vol2 はその続編として CodeBuild だけを徹底深掘り*します。
読者の最終到達点は「CodeBuild を Terraform で本番投入し、buildspec.yml の全機能を使いこなし、マルチアーキ Docker build・VPC 内ビルド・Secrets Manager 統合・ローカルデバッグ・コスト最適化まで完走できる」状態です。単なる入門解説ではなく、本番環境でそのまま使えるコードと落とし穴情報を提供します。
§2 で検証環境 (VPC/IAM/ECR/S3/Secrets Manager) を Terraform で構築し、§3–§7 で機能ごとに Terraform + AWS CLI + コンソールの 3 点セットで実装します。§8 で落とし穴 10 選とチートシートをまとめて完走できます。本記事は以下の章構成になっています。
| § | タイトル | 到達点 |
|---|
| §2 | 前提・環境・準備 | VPC/ECR/S3/Secrets Manager を Terraform で構築 |
| §3 | buildspec.yml 完全解説 | phases/cache/artifacts/env/batch build/reports 全機能 |
| §4 | マルチアーキ Docker build | arm64+x86_64 manifest list を ECR push |
| §5 | VPC内ビルド + Secrets Manager | private subnet+NAT+env-vars-files 統合 |
| §6 | Terraform 完全実装 | aws_codebuild_project + webhook + IAM 完全 HCL |
| §7 | ローカルデバッグ + コスト最適化 | codebuild_build.sh + Spot/cache/Lambda で 60–80% 削減 |
| §8 | まとめ + 落とし穴 10 選 | チートシート + Vol3 予告 |
本記事の各章は独立して読むことができます。すでに buildspec.yml の基礎を知っているなら §3 を飛ばして §4 (マルチアーキ) や §5 (VPC 内ビルド) から着手する読み方も有効です。一方、「CodeBuild を一から本番環境に投入したい」場合は §2 → §3 → §6 の順に読むことで、環境構築から IaC 化まで迷わず進めます。
各章で提供する Terraform HCL は terraform plan → terraform apply でそのまま動作することを確認しています。AWS CLI コマンドも ap-northeast-1 リージョンを前提に動作検証済みです。コピー&ペーストしてすぐに試せる状態を最優先にしています。
1-2. 読者像
本記事は以下のいずれかに当てはまるエンジニアを主な対象とします。
- Vol1 読了者: AWS Code* の全体像を把握し、CodeBuild を本番運用レベルで深掘りしたい
- CodeBuild 基本利用経験者: すでに buildspec.yml を書いたことがあるが、キャッシュ・VPC・マルチアーキ・コスト最適化まで踏み込んでいない
- GHA から移行検討中: Vol1 §3 の GHA vs Code* 比較を読み、CodeBuild 側の実装詳細を確認したい
- Graviton2/ARM64 対応が必要: ECS や Lambda を arm64 イメージに切り替えてコスト削減したいが、マルチアーキビルドの手順がわからない
前提知識として、AWS アカウント操作・Docker 基礎・Terraform 基礎 (resource/variable/output 程度) を想定します。CodeBuild の細部を知らなくても読み進めながら実装できるよう、各コマンドと設定に解説を添えています。
arm64 / x86_64 の両アーキテクチャに対応した Graviton2 ワークロードを扱う場合や、VPC 内のプライベートリソース (RDS/ElastiCache) を CI から接続する必要がある場合に特に有用です。
本記事は「手を動かしながら読む」スタイルで設計しています。§2 で検証環境を構築しておけば、§3 以降の Terraform HCL や AWS CLI コマンドをそのまま実行して動作確認しながら読み進めることができます。座学ではなく実際に動くものを作りながら学ぶことで、各機能の「なぜそう書くか」が自然に身につきます。コード例はすべてコピーしてそのまま動くことを前提に書かれており、環境変数や ARN などのプレースホルダーは CAPS_PLACEHOLDER 形式で明示しています。
一方、「落とし穴を先に把握したい」という経験者向けには、各章末の「落とし穴と対策」テーブルと §8 の落とし穴 10 選を最初に眺めることを勧めます。
| 読者タイプ | 特に参照すべき章 | 期待学習時間 |
|---|
| Vol1 読了・CodeBuild 初心者 | §2→§3→§6 (基礎固め) | 3–4h |
| マルチアーキ対応が急務 | §4→§2→§6 (実装優先) | 2–3h |
| VPC セキュリティ強化 | §5→§2→§6 (セキュリティ中心) | 2–3h |
| コスト削減が目的 | §7→§3 (コスト最適化直行) | 1–2h |
Docker や Terraform を「なんとなく使っている」段階でも大丈夫です。本記事では各コマンドの意味と背景を順を追って説明しています。特に §4 (マルチアーキ) は docker buildx の仕組みから丁寧に解説するため、QEMU エミュレーションと native ビルドの違いを理解した上で実装に進めます。
一方、「CodeBuild は触ったことがあるが細かいハマりどころを知りたい」という経験者は、各章末の「落とし穴と対策」テーブルと §8 の落とし穴 10 選を優先して確認することをお勧めします。コマンドや HCL の細部よりも、なぜ失敗するかの理由とその対策パターンを重点的に記述しています。
1-3. なぜ今これを書くか
CodeBuild は「なんとなく動く」状態から「本番運用品質」に到達するまでの情報ギャップが大きいサービスです。公式ドキュメントは機能を網羅していますが、以下の組み合わせを 1 本で解説した国内記事は多くありません。
- buildspec.yml 全機能 — phases の
on-failure / env.secrets-manager / batch build / reports まで完全カバー。特に finally ブロックと on-failure: CONTINUE の使い分け、exported-variables による後続ステージへの値渡しは本番運用で頻出するにもかかわらず、まとまった日本語解説が少ない箇所です。 - マルチアーキ Docker build —
docker buildx driver=docker-container + manifest list + ECR push の完全手順 - VPC 内ビルド — private subnet + NAT Gateway + IP プール容量計算まで。「VPC 設定したらビルドが止まった」という障害の大半は subnet の IP 枯渇または NAT Gateway の欠如です。本記事ではその根本原因と防止策を具体的に解説します。
- Secrets Manager 統合 — env-vars-files の JSON Path 構文と失敗時の検証手順
- ローカルデバッグ — codebuild_build.sh で本番ビルド環境をローカル完全再現
- コスト最適化 — Spot fleet + キャッシュ + Lambda compute の組み合わせで 60–80% 削減
Vol1 で CodeBuild を選択したエンジニアが迷わずに次のステップを完走できることを本記事の設計目標としています。Terraform IaC + 落とし穴情報を軸に、手順をそのままコピーして使える品質を目指しました。
また、2025–2026 年に Graviton3 (arm64) インスタンスが EC2・ECS・Lambda で普及したことで、arm64 イメージのビルドパイプラインを整備するニーズが急増しています。CodeBuild の ARM_CONTAINER を使った native ビルドは QEMU クロスビルドより 3–5 倍高速で、かつコンテナ起動コストを含めても GHA self-hosted arm64 runner より低コストなケースが多いです。この観点で本記事が提供するマルチアーキ実装 (§4) は特にタイムリーな内容です。
既存の関連記事と本記事の位置付けを整理します。
| 記事 | カバー範囲 | 本記事との関係 |
|---|
| Vol1 (aws-code-family-overview-selection) | CodeBuild/Pipeline/Deploy/Artifact 選定・GHA比較 | 本記事の入口。Vol1読了後にここへ |
| AWS 公式 CodeBuild ドキュメント | 全機能リファレンス | 本記事は実装パターン中心・リファレンスは公式へ |
| GHA OIDC + Terraform (cmd_037) | GHA の OIDC 認証設定 | §3で buildspec vs workflow.yml を比較する際の参照先 |
本記事が「buildspec.yml 全機能 + マルチアーキ + VPC + ローカルデバッグ + コスト最適化」を 1 本に集約した背景には、これらのテーマが実際の本番環境では切り離せないという実践知があります。例えば、VPC 内ビルドを有効にした途端に NAT Gateway がないと dependency が取得できなくなり、マルチアーキビルドを導入すると ECR の manifest list 管理が必要になり、Secrets Manager を使うと IAM ポリシーに追加権限が必要になります。これらの連鎖を一括して解説することで「なぜこの設定が必要か」を理解しながら実装できます。
本記事内のすべての Terraform HCL と AWS CLI コマンドは ap-northeast-1 (東京リージョン) を基準に記述しています。他のリージョンで検証する場合は region の値と ECR エンドポイント、AZ 名を適宜変更してください。
なお本記事の§3〜§7は Terraform / AWS CLI / コンソール の3点セットで実装手順を提示します。普段Terraformで運用している読者は §6 の完全HCLから読み始めても問題ありませんが、初見の機能 (buildspec batch build / マルチアーキ buildx / VPC ENI 動作) は §3〜§5 のコンソール手順とCLI実行で挙動を確認してから Terraform 化することを推奨します。挙動を理解せずにHCLだけで実装すると、トラブル時のデバッグで二度手間になります。
§8 末尾には「よくある落とし穴 10 選」を配置しました。これらは執筆時に AWS 公式ドキュメントだけでは見落としがちな、本番運用で実際に遭遇する設計ミスを集約したものです。記事を読み進める前に §8 を先読みしておくと、各章のなぜそう設計するのかが腑に落ちやすくなります。
最後に、本記事は GitHub Actions と CodeBuild のどちらかを推奨する立場ではありません。組織の既存資産・予算・運用体制によって最適解は変わります。Vol1 §3 の比較マトリクスを踏まえつつ、本記事を読んだ上で選定判断材料の一つとしていただければ幸いです。なお Vol3 (CodePipeline V2 + CodeDeploy) と Vol4 (CodeArtifact + CodeGuru) でシリーズ完結予定ですので、CI/CD 全体像を組み立てたい方はシリーズ通読をおすすめします。
Vol1: 全体像+サービス選定+GHA/ecspresso比較
2. 前提・環境・準備
2-1. 前提ツール・バージョン
本記事の手順は以下のツールが揃っていることを前提とします。
| ツール | 推奨バージョン | 確認コマンド |
|---|
| aws-cli | v2.x 以上 | aws --version |
| Terraform | 1.9.x 以上 | terraform -version |
| Docker | 24.x 以上 | docker --version |
| docker buildx | 0.12.x 以上 | docker buildx version |
| jq | 1.6 以上 | jq --version |
# ツールバージョン一括確認aws --version # aws-cli/2.x.x Python/3.x.x ...terraform -version # Terraform v1.9.xdocker buildx version # github.com/docker/buildx v0.12.x ...jq --version # jq-1.6
必要な IAM 権限スコープ (本番環境では最小権限ポリシーに絞り込むこと):
codebuild:* — プロジェクト作成・ビルド実行ecr:* — イメージ push・pulliam:PassRole — CodeBuild にロールを渡すsecretsmanager:GetSecretValue — シークレット取得ec2:CreateNetworkInterface 他 VPC 関連 — VPC ビルド時の ENI 作成s3:GetObject / s3:PutObject — アーティファクト / キャッシュlogs:CreateLogGroup / logs:PutLogEvents — CloudWatch Logs
2-2. 使用技術スタック
本記事で使用するサービス・ツールの全体像を整理します。
| カテゴリ | サービス/ツール | 用途 |
|---|
| CI | AWS CodeBuild (Linux x86_64/arm64・Lambda compute) | ビルド・テスト実行環境 |
| 設定 | buildspec.yml v0.2 | ビルド手順定義 (phases/cache/artifacts/env/batch) |
| レジストリ | Amazon ECR (private・マルチアーキ manifest list) | Docker イメージ格納・配布 |
| シークレット | AWS Secrets Manager (env-vars-files 統合) | API キー・DB パスワード等の安全注入 |
| ネットワーク | Amazon VPC (private subnet/SG/NAT Gateway) | プライベートリソースへのビルドアクセス |
| IaC | Terraform (aws_codebuild_project/webhook/source_credential) | 全リソースのコード管理 |
| デバッグ | CodeBuild Local Agent (codebuild_build.sh) | ローカルでビルド環境を完全再現 |
| ストレージ | Amazon S3 (アーティファクト・S3 キャッシュ) | ビルド成果物・依存ライブラリキャッシュ |
2-3. 検証環境の全体構成
本記事の検証環境は以下のリソースで構成します。fig02 の構成図を参照してください。
| リソース | 設定値 | 用途 |
|---|
| VPC | 10.0.0.0/16 (ap-northeast-1) | CodeBuild VPC ビルド用ネットワーク |
| private subnet (AZ-a/c) | 10.0.1.0/24・10.0.2.0/24 | CodeBuild ENI 割当先 (/24 = 254 IP 確保) |
| NAT Gateway | Elastic IP 付与 (public subnet) | private subnet からのインターネット出口 |
| Security Group | egress: 0.0.0.0/0:443/80, ingress: なし | CodeBuild コンテナの通信許可 |
| IAM Role | codebuild.amazonaws.com 信頼 | CodeBuild 実行ロール |
| Amazon ECR | my-app (mutable tag) | マルチアーキ Docker イメージ格納 |
| Amazon S3 | codebuild-artifacts-{account_id} | ビルドアーティファクト / S3 キャッシュ |
| Secrets Manager | /codebuild/db-password | §5 VPC ビルドのシークレット注入テスト用 |
2-4. Terraform で基盤リソースを作成する
Terraform プロバイダーの設定 (required_version = ">= 1.9", provider "aws" { region = "ap-northeast-1" }) を providers.tf に配置した後、以下の各ファイルを作成します。
vpc.tf — VPC / subnet / NAT Gateway / SG
resource "aws_vpc" "codebuild" { cidr_block = "10.0.0.0/16" enable_dns_support= true enable_dns_hostnames = true tags = { Name = "codebuild-vpc" }}resource "aws_subnet" "private_a" { vpc_id= aws_vpc.codebuild.id cidr_block = "10.0.1.0/24" availability_zone = "ap-northeast-1a" tags = { Name = "codebuild-private-a" }}resource "aws_subnet" "private_c" { vpc_id= aws_vpc.codebuild.id cidr_block = "10.0.2.0/24" availability_zone = "ap-northeast-1c" tags = { Name = "codebuild-private-c" }}resource "aws_internet_gateway" "this" { vpc_id = aws_vpc.codebuild.id }resource "aws_eip" "nat" { domain = "vpc" }resource "aws_nat_gateway" "this" { allocation_id = aws_eip.nat.id subnet_id = aws_subnet.public.id depends_on = [aws_internet_gateway.this]}resource "aws_route_table" "private" { vpc_id = aws_vpc.codebuild.id route { cidr_block = "0.0.0.0/0"; nat_gateway_id = aws_nat_gateway.this.id }}resource "aws_security_group" "codebuild" { name= "codebuild-sg" vpc_id = aws_vpc.codebuild.id egress { from_port = 443; to_port = 443; protocol = "tcp"; cidr_blocks = ["0.0.0.0/0"] } egress { from_port = 80; to_port = 80; protocol = "tcp"; cidr_blocks = ["0.0.0.0/0"] }}
ecr_s3_secrets.tf — ECR / S3 / Secrets Manager
data "aws_caller_identity" "current" {}resource "aws_ecr_repository" "app" { name = "my-app" image_tag_mutability = "MUTABLE" image_scanning_configuration { scan_on_push = true }}resource "aws_s3_bucket" "artifacts" { bucket = "codebuild-artifacts-${data.aws_caller_identity.current.account_id}"}resource "aws_secretsmanager_secret" "db_password" { name = "/codebuild/db-password" }resource "aws_secretsmanager_secret_version" "db_password" { secret_id = aws_secretsmanager_secret.db_password.id secret_string = jsonencode({ password = "changeme-in-production" })}
iam.tf — CodeBuild 実行ロール
resource "aws_iam_role" "codebuild" { name = "codebuild-role" assume_role_policy = jsonencode({ Version = "2012-10-17" Statement = [{ Action = "sts:AssumeRole", Effect = "Allow",Principal = { Service = "codebuild.amazonaws.com" } }] })}resource "aws_iam_role_policy_attachment" "codebuild_ecr" { role = aws_iam_role.codebuild.name policy_arn = "arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPowerUser"}resource "aws_iam_role_policy" "codebuild_custom" { role = aws_iam_role.codebuild.name policy = jsonencode({ Version = "2012-10-17" Statement = [{Effect = "Allow"Action = [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "s3:GetObject", "s3:PutObject", "s3:GetBucketAcl", "s3:GetBucketLocation", "secretsmanager:GetSecretValue", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:CreateNetworkInterfacePermission"]Resource = "*" }] })}
2-5. AWS CLI で環境確認
# VPC と private subnet の利用可能 IP を確認aws ec2 describe-subnets--filters "Name=tag:Name,Values=codebuild-private-*"--query 'Subnets[*].{Name:Tags[?Key==`Name`]|[0].Value,AvailableIPs:AvailableIpAddressCount}'# ECR リポジトリ確認aws ecr describe-repositories--repository-names my-app--query 'repositories[0].{uri:repositoryUri,mutable:imageTagMutability}'# Secrets Manager シークレット確認aws secretsmanager describe-secret--secret-id /codebuild/db-password--query '{name:Name,arn:ARN}'
2-6. コンソールで確認 (3 点セット)
- VPC コンソール → 「サブネット」→
codebuild-private-a の「使用可能な IPv4 アドレス」が 250 以上あることを確認 - ECR コンソール → 「リポジトリ」→
my-app → 「イメージのタグ変更可能性」が「変更可能」になっていることを確認 - Secrets Manager コンソール →
/codebuild/db-password → 「シークレットの値を取得する」で JSON が取得できることを確認
2-7. ゴール状態の定義
本記事の §3–§7 完走後に達成できる状態をまとめます。
| 機能 | 到達状態 |
|---|
| buildspec.yml | phases/cache/artifacts/env/batch build/reports 全機能を本番 buildspec.yml に実装済み |
| マルチアーキ | arm64 + x86_64 manifest list が ECR の latest タグに push 済み |
| VPC 内ビルド | private subnet + NAT Gateway 経由でプライベートリソースへ接続確認済み |
| Secrets Manager | env-vars-files 経由で /codebuild/db-password が環境変数として展開済み |
| ローカルデバッグ | codebuild_build.sh でローカルビルドが本番と同一結果を再現 |
| コスト最適化 | Spot fleet + S3 cache で月額コストを 50–70% 削減済み |
3. buildspec.yml 完全解説 (phases/cache/artifacts/env/batch build)
buildspec.yml 全機能マップ (QG-2)| キー | 必須 | 概要 | 代表的な落とし穴 |
|---|
version | ✅ 必須 | 0.2 を指定 (0.1 は非推奨・動作差異あり) | version 省略または 0.1 → 環境変数スコープが変わる |
phases | ✅ 必須 | install / pre_build / build / post_build の 4 フェーズ | フェーズ順序誤解・on-failure: ABORT 未設定 |
cache | 任意 | LOCAL (CUSTOM / DOCKER_LAYER / SOURCE) または S3 | paths 末尾の * 指定忘れ |
artifacts | 任意 | files / discard-paths / base-directory / name | discard-paths: yes でディレクトリ構造が消える |
env | 任意 | variables / parameter-store / secrets-manager / exported-variables | secrets-manager の書式誤り・IAM 権限不足 |
batch | 任意 | build-list / build-graph / build-matrix で並列ビルド | fast-fail 未設定で 1 件失敗時に全中断 |
reports | 任意 | JUnit / Cucumber / Clover 形式のテストレポート | files パターンが実際の出力パスと不一致 |
3-1. version と phases の基礎
version: 0.2 は 必須。省略または 0.1 を使うと環境変数のスコープがフェーズ間で共有されず予期しない挙動になる。
4 フェーズは 実行順固定。コマンドを書かなかったフェーズはスキップされる。
| フェーズ | 目的 | 代表コマンド例 |
|---|
install | ランタイム・ツールのインストール | runtime-versions 指定、pip install、apt-get |
pre_build | ビルド前準備 | ECR ログイン、credential 設定 |
build | メインビルド処理 | npm run build、docker build、go build |
post_build | ビルド後処理 | docker push、S3 sync、通知送信 |
on-failure: ABORT を設定しないとコマンド失敗後も次のコマンドへ進む (CONTINUE がデフォルト)。本番環境では各フェーズに ABORT を指定すること。
version: 0.2phases: install: runtime-versions:nodejs: 20 commands:- npm install -g aws-cdk on-failure: ABORT pre_build: commands:- aws ecr get-login-password --region $AWS_DEFAULT_REGION \ | docker login --username AWS \--password-stdin $AWS_ACCOUNT_ID.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com on-failure: ABORT build: commands:- npm ci- npm run test- npm run build on-failure: ABORT post_build: commands:- aws s3 sync dist/ s3://$ARTIFACT_BUCKET/
コンソール確認: CodeBuild コンソール → ビルドプロジェクト → ビルド履歴 → ビルド詳細でフェーズタイムライン確認可能。
AWS CLI でビルド確認:
aws codebuild batch-get-builds \ --ids "my-project:abc123" \ --query 'builds[0].{status:buildStatus,phase:currentPhase}'
3-2. cache — ビルド時間を 40〜70% 短縮
S3 キャッシュは並列ビルド間で共有でき、ローカルキャッシュは同一コンテナ内のみで有効。
cache: type: S3 location: my-codebuild-cache-bucket/my-project-cache paths: - node_modules* - ~/.gradle/caches* - /root/.m2/repository* - /root/.cache/pip*
重要: paths 末尾は必ず * で終わること。/node_modules のみだとキャッシュが効かない。
Docker レイヤーキャッシュを使う場合 (docker build 高速化):
cache: type: LOCAL modes: - LOCAL_CUSTOM_CACHE - LOCAL_DOCKER_LAYER_CACHE - LOCAL_SOURCE_CACHE
Terraform:
resource "aws_codebuild_project" "app" { cache { type = "S3" location = "${aws_s3_bucket.cache.bucket}/my-project" }}
キャッシュ強制更新: aws codebuild start-build --no-cache または S3 キャッシュオブジェクトを直接削除。
3-3. artifacts — ビルド成果物の出力制御
artifacts: type: S3 location: my-artifact-bucket path: builds/$CODEBUILD_BUILD_NUMBER/ name: app-dist.zip base-directory: dist files: - "***"- "test-results*"
落とし穴 1: discard-paths: yes にすると src/components/Button.js → Button.js にフラット化され同名ファイルが上書きされる。特別な理由がない限り no (デフォルト) を使うこと。
落とし穴 2: artifacts.files の YAML シーケンス記法。"***'] (インライン配列) ではなく、必ず YAML シーケンス形式を使うこと。
# NG: スカラー文字列 → CodeBuild がシーケンスとして解釈できずアーティファクトが空になるartifacts: files: "***']# OK: YAML シーケンス形式artifacts: files: - "*** 必須
✅ on-failure: ABORT を全フェーズに設定✅ artifacts.discard-paths: no を原則採用✅ batch build 使用時は fast-fail の挙動を確認 3-8. 3点セット: Terraform buildspec 指定 + CLI + コンソール
Terraform: inline buildspec vs S3 参照
# Option A: inline buildspec (Terraform 管理・小〜中規模向け)resource "aws_codebuild_project" "app_inline" { source { type = "GITHUB" location = "https://github.com/my-org/my-repo.git" buildspec = <<-BUILDSPECversion: 0.2phases: build: commands:- npm run build- aws s3 sync dist/ s3://$ARTIFACT_BUCKET/ BUILDSPEC }}# Option B: リポジトリ内パス参照 (複数プロジェクト共通化・大規模向け)resource "aws_codebuild_project" "app_file" { source { type= "GITHUB" location = "https://github.com/my-org/my-repo.git" buildspec = "buildspec/prod.yml" # リポジトリルートからの相対パス }}
inline vs S3 参照の選択基準: buildspec をコードと同期管理するなら Option B (リポジトリ内パス) 推奨。Terraform で buildspec バージョン管理するなら Option A (inline)。複数プロジェクトが同一 buildspec を共有する場合は S3 バケット参照 (s3://bucket/buildspec.yml) も有効。
AWS CLI: ビルド操作の基本セット
# ビルド開始aws codebuild start-build --project-name my-project# ビルド一覧 (直近 5 件)aws codebuild list-builds \ --sort-order DESCENDING \ --query 'ids[:5]' --output text# ビルド詳細 (ステータス + 成果物 S3 パス)aws codebuild batch-get-builds \ --ids "my-project:abc123" \ --query 'builds[0].{status:buildStatus,artifact:artifacts.location}'# buildspec を上書きして開始 (デバッグ用)aws codebuild start-build \ --project-name my-project \ --buildspec-override file://buildspec-debug.yml
コンソール確認: CodeBuild コンソール → ビルドプロジェクト → 「ビルド設定」タブ → Buildspec セクション でリポジトリパス / inline の設定を確認。ビルド詳細 → 「フェーズの詳細」タブ で各フェーズの所要時間・エラーログを参照可能。
4. マルチアーキテクチャ Docker build (arm64+x86_64 ECR push)
QG-3: マルチアーキ Docker build フロー- docker buildx create –driver docker-container –use が必須 — driver 省略時は multi-platform export 非対応で manifest list を生成できない
- CodeBuild Batch build で arm64 (ARM_CONTAINER) と x86_64 (LINUX_CONTAINER) を並列ビルド → 各プラットフォームの tagged image を ECR に個別 push
docker manifest create で arm64/amd64 digest を manifest list に集約 → ECR に push → 1 リポジトリで 2 アーキ同居・docker pull 時にホストのアーキに応じて自動選択
4-1. なぜマルチアーキテクチャ対応が必要か
AWS Graviton インスタンス (C7g/M7g/R7g) が EC2・ECS・Lambda で普及し、x86_64 と arm64 の両プラットフォームに対応したコンテナイメージを 1 つの ECR リポジトリで管理するニーズが高まっている。OCI 仕様の manifest list を使えば docker pull 実行時に実行ホストのアーキテクチャに応じて正しい image layer が自動的に選択される。
- コスト削減: Graviton3 は同性能・同料金帯の x86_64 比で最大 40% 安価。ECS タスクや Lambda を arm64 イメージに切り替えるだけで削減効果を得られる。
- 開発速度向上: Apple Silicon (M2/M3) 搭載 Mac でのローカル
docker run が arm64 native 動作となり、QEMU エミュレーションによる速度低下を回避できる。 - 単一リポジトリ管理: arm64 用と x86_64 用でリポジトリを分ける必要がなく、CI/CD パイプラインのタグ管理がシンプルになる。
4-2. docker buildx のセットアップ (driver 選択が鍵)
CodeBuild でマルチアーキ manifest list を生成するには docker buildx と --driver docker-container の組み合わせが必須。デフォルトの docker ドライバーも --platform フラグを受け付けるが、cross-platform export に必要な BuildKit のフル機能が使えず manifest list を生成できない。
# driver=docker-container を明示 (省略すると multi-platform export 不可)docker buildx create \ --driver docker-container \ --name multiarch-builder \ --use# 作成した builder を確認docker buildx ls# NAME/NODE DRIVER/ENDPOINT STATUSPLATFORMS# multiarch-builder * docker-containerrunning linux/amd64, linux/arm64
buildspec.yml の pre_build フェーズ冒頭でこのコマンドを実行する。--use フラグで作成した builder がデフォルトになる。CodeBuild プロジェクトの privileged_mode = true も必須。
4-3. buildspec.yml 実装 (Batch build 並列方式)
arm64 と x86_64 を CodeBuild Batch build の並列ジョブで別々にビルドし、各 digest を ECR に push してから manifest list を合成する。各アーキに最適な compute type を使えるため QEMU エミュレーション不要で native ビルドが可能。
buildspec-arm64.yml
version: 0.2env: variables: DOCKER_BUILDKIT: "1" BUILDX_VERSION: "0.12.1" IMAGE_REPO_NAME: "my-app" AWS_DEFAULT_REGION: "ap-northeast-1" AWS_ACCOUNT_ID: "123456789012"phases: install: commands:- | curl -fsSL \ "https://github.com/docker/buildx/releases/download/v${BUILDX_VERSION}/buildx-v${BUILDX_VERSION}.linux-arm64" \ -o /usr/local/lib/docker/cli-plugins/docker-buildx chmod +x /usr/local/lib/docker/cli-plugins/docker-buildx pre_build: commands:- | aws ecr get-login-password --region $AWS_DEFAULT_REGION \ | docker login --username AWS \ --password-stdin \ ${AWS_ACCOUNT_ID}.dkr.ecr.${AWS_DEFAULT_REGION}.amazonaws.com- docker buildx create --driver docker-container --name builder --use build: commands:- | docker buildx build \ --platform linux/arm64 \ --tag ${AWS_ACCOUNT_ID}.dkr.ecr.${AWS_DEFAULT_REGION}.amazonaws.com/${IMAGE_REPO_NAME}:arm64-${CODEBUILD_RESOLVED_SOURCE_VERSION} \ --push .
buildspec-amd64.yml は上記の linux/arm64 を linux/amd64 に、arm64- タグを amd64- に変更し、install フェーズの buildx バイナリ URL を linux-amd64 に差し替えるだけで対応できる。
親プロジェクトの buildspec に Batch build 定義を配置し、2 ジョブを並列起動する。
version: 0.2batch: build-list: - identifier: arm64_buildbuildspec: buildspec-arm64.ymlenv: type: ARM_CONTAINER compute-type: BUILD_GENERAL1_SMALL - identifier: amd64_buildbuildspec: buildspec-amd64.ymlenv: type: LINUX_CONTAINER compute-type: BUILD_GENERAL1_SMALL
4-4. ECR manifest list の作成と push
2 プロジェクトのビルドが完了し各 tagged image が ECR に存在する状態で manifest list を作成する。
# ECR へ再ログイン (長時間ビルド後の token 期限切れ対策)aws ecr get-login-password --region ap-northeast-1 \ | docker login --username AWS \--password-stdin \123456789012.dkr.ecr.ap-northeast-1.amazonaws.comREPO="123456789012.dkr.ecr.ap-northeast-1.amazonaws.com/my-app"COMMIT="${CODEBUILD_RESOLVED_SOURCE_VERSION}"# manifest list を作成docker manifest create ${REPO}:latest \ --amend ${REPO}:arm64-${COMMIT} \ --amend ${REPO}:amd64-${COMMIT}# ECR へ pushdocker manifest push ${REPO}:latest# push 確認aws ecr describe-images \ --repository-name my-app \ --image-ids imageTag=latest \ --query 'imageDetails[0].imageManifestMediaType'# 期待値: "application/vnd.docker.distribution.manifest.list.v2+json"
ECR リポジトリは image_tag_mutability = "MUTABLE" に設定しておく。IMMUTABLE のままだと既存タグへの manifest list 上書きが ImageAlreadyExistsException で拒否される。
4-5. Terraform 実装 (arm64/x86_64 CodeBuild プロジェクト)
resource "aws_ecr_repository" "app" { name = "my-app" image_tag_mutability = "MUTABLE" image_scanning_configuration { scan_on_push = true }}resource "aws_codebuild_project" "app_arm64" { name = "my-app-build-arm64" build_timeout = 20 service_role = aws_iam_role.codebuild.arn source { type= "GITHUB" location = "https://github.com/example/my-app.git" buildspec = "buildspec-arm64.yml" } environment { compute_type = "BUILD_GENERAL1_SMALL" image = "aws/codebuild/standard:7.0" type= "ARM_CONTAINER" privileged_mode = true environment_variable {name = "DOCKER_BUILDKIT"value = "1" } } artifacts { type = "NO_ARTIFACTS" } cache { type = "LOCAL" modes = ["LOCAL_DOCKER_LAYER_CACHE", "LOCAL_SOURCE_CACHE"] }}resource "aws_codebuild_project" "app_amd64" { name = "my-app-build-amd64" build_timeout = 20 service_role = aws_iam_role.codebuild.arn source { type= "GITHUB" location = "https://github.com/example/my-app.git" buildspec = "buildspec-amd64.yml" } environment { compute_type = "BUILD_GENERAL1_SMALL" image = "aws/codebuild/standard:7.0" type= "LINUX_CONTAINER" privileged_mode = true environment_variable {name = "DOCKER_BUILDKIT"value = "1" } } artifacts { type = "NO_ARTIFACTS" } cache { type = "LOCAL" modes = ["LOCAL_DOCKER_LAYER_CACHE", "LOCAL_SOURCE_CACHE"] }}
4-6. AWS CLI で動作確認
# arm64 ビルドを手動トリガーaws codebuild start-build \ --project-name my-app-build-arm64 \ --source-version refs/heads/main# amd64 ビルドを手動トリガーaws codebuild start-build \ --project-name my-app-build-amd64 \ --source-version refs/heads/main# manifest list のアーキテクチャ構成を確認docker buildx imagetools inspect \ 123456789012.dkr.ecr.ap-northeast-1.amazonaws.com/my-app:latest# MediaType: application/vnd.docker.distribution.manifest.list.v2+json# Platforms: linux/amd64, linux/arm64
4-7. コンソール確認
- CodeBuild コンソール →
my-app-build-arm64 / my-app-build-amd64 → Start build → Build logs タブで --platform linux/arm64 (linux/amd64) ... --push が成功することを確認。 - ECR コンソール →
my-app リポジトリ → Images タブ → latest タグを選択 → Manifest type が OCI Image Index になっていることを確認。 - イメージスキャン:
latest イメージ行の Scan results タブで脆弱性スキャン結果を確認する。
4-8. GHA 比較コラム
GitHub Actions でマルチアーキ対応するには docker/setup-buildx-action + docker/build-push-action の matrix 構成が一般的。CodeBuild Batch build との主な違いを整理する。
| 比較項目 | CodeBuild Batch build | GHA matrix strategy |
|---|
| compute 切替 | ARM_CONTAINER / LINUX_CONTAINER を project 単位で指定 | runs-on: ubuntu-latest (QEMU) or 自前 arm64 runner |
| QEMU エミュレーション | 不要 (native build) | arm64 self-hosted runner なしの場合は必須 (3-5× 低速) |
| 並列ビルド | Batch build で同時実行 | matrix: [amd64, arm64] で同時実行 |
| キャッシュ | LOCAL_DOCKER_LAYER_CACHE | cache-from / cache-to (ghcr.io 等) |
| ECR 認証 | IAM service role | OIDC + aws-actions/configure-aws-credentials |
4-9. 落とし穴と対策
| # | 落とし穴 | 症状 | 対策 |
|---|
| 1 | --driver docker-container 省略 | multiple platforms feature is currently not supported for docker driver | buildx create 時に --driver docker-container を必ず指定 |
| 2 | DOCKER_BUILDKIT 未設定 | BuildKit 無効・multi-platform build が制限される | buildspec の env.variables に DOCKER_BUILDKIT: "1" を追加 |
| 3 | privileged_mode = false | Docker デーモン起動失敗・ビルド不可 | environment.privileged_mode = true 必須 |
| 4 | manifest push 前の token 期限切れ | denied: Your authorization token has expired | manifest push 直前に aws ecr get-login-password を再取得 |
| 5 | arm64 非対応 base image (一部 alpine 等) | exec format error でコンテナ起動失敗 | docker buildx imagetools inspect <image> で platform 欄を事前確認 |
| 6 | BUILD_LAMBDA compute で Docker build | Lambda compute は Docker デーモン非対応 | Docker build は LINUX_CONTAINER / ARM_CONTAINER を使用 |
5. VPC内ビルド + NAT Gateway/Secrets Manager統合
QG-4: VPC + Secrets Manager 統合構成- private subnet に CodeBuild ENI を配置し、内部リソース (RDS/ElastiCache/MSK) へ直接接続
- NAT Gateway 経由でインターネット出口 (pip/npm/ECR Public/OS パッケージ) を確保
- env-vars-files で Secrets Manager の secret を ARN 指定 → ビルド実行時に環境変数へ自動展開
- IAM Role に
ec2:CreateNetworkInterface + secretsmanager:GetSecretValue の両権限が必須 - subnet CIDR は /24 以上推奨 (並列ビルド数 × ENI 数 でIP消費・枯渇注意)
5-1. VPC内ビルドが必要なケース
CodeBuild のデフォルトビルド環境は VPC 外のマネージド環境で動作する。以下のケースでは VPC 内ビルドへの切り替えが必要になる。
- プライベートリソースへの接続: RDS/Aurora/ElastiCache/MSK 等、VPC 内部にのみ存在するエンドポイントへテストや DB マイグレーションのため接続する
- セキュリティ要件: 全トラフィックを VPC 内に閉じ、インターネット直接通信を禁止する場合
- VPC エンドポイント利用: ECR/S3/Secrets Manager 等を VPC エンドポイント経由でのみ利用する場合
- マルチアカウント VPC 共有: Resource Access Manager (RAM) で共有された VPC 経由でリソース接続する場合
VPC 内ビルドを有効にすると CodeBuild はビルド開始時に指定した subnet に ENI を 1 枚作成する。1 ビルド = 1 ENI が基本であり、並列ビルドが増えるほど IP アドレスを消費する。
5-2. IPプール容量設計 (ENI数計算式)
VPC 内ビルドで最も多い障害原因が subnet の IP アドレス枯渇による ENI 作成失敗だ。事前に以下の計算式で必要 IP 数を算出する。
必要 IP 数 = 最大同時ビルド数 × 1 ENI/ビルド + 予備 20%例: 並列 50 ビルド → 50 IP 必要 /26 (利用可能 64 IP - AWS予約 5 = 59 IP) → ギリギリ。障害リスクあり /24 (利用可能 256 IP - AWS予約 5 = 251 IP) → 推奨。余裕あり複数 subnet 分散: 2 AZ で /26 ずつ → 合計 118 IP → 並列 98 ビルドまで対応可能
AWS が subnet ごとに予約する 5 IP (ネットワークアドレス/ルーター/DNS/将来用×2/ブロードキャスト) を差し引いた実使用可能数で計算すること。本番環境では /24 以上を推奨、または複数 subnet を指定して AZ 間で分散する。
# 現在の subnet 空き IP 数を確認aws ec2 describe-subnets \ --subnet-ids subnet-0abc1234 \ --query "Subnets[].{id:SubnetId,available:AvailableIpAddressCount,cidr:CidrBlock}"
5-3. CodeBuild VPC設定 (vpc_config ブロック)
CodeBuild プロジェクトの VPC 設定に必要な 3 要素は vpc_id / subnets / security_group_ids の指定だ。buildspec.yml 側は変更不要。VPC 設定はプロジェクトレベルで適用される。
VPC 内ビルドで外部インターネット通信が必要な場合 (npm install / pip / docker pull 等) は private subnet + NAT Gateway 構成が必要だ。Public subnet では CodeBuild ENI にパブリック IP が付与されないためインターネットに到達できない。
| 構成 | インターネット通信 | 内部リソース接続 | 推奨用途 |
|---|
| private subnet + NAT GW | ✅ 可 | ✅ 可 | 本番標準構成 |
| private subnet (NAT なし) | ❌ 不可 | ✅ 可 | 完全閉域・内部テストのみ |
| VPC エンドポイント利用 | ❌ (AWS サービスのみ) | ✅ 可 | AWS サービスのみ通信 |
Security Group の設定方針は ingress ルールなし・egress を最小限に絞る。CodeBuild は外部から接続を受け付けないため ingress は不要だ。
egress 443/tcp → 0.0.0.0/0# HTTPS (npm/pip/ECR/AWS API)egress 80/tcp → 0.0.0.0/0# HTTP (一部 OS パッケージ)ingress: なし (CodeBuild は接続を受け付けない)
5-4. Secrets Manager統合 (type=SECRETS_MANAGER / env-vars-files)
Secrets Manager の secret を CodeBuild に渡す方法は 2 種類ある。
方法A: 環境変数 (type=SECRETS_MANAGER)
environment_variable の type を SECRETS_MANAGER にし、value に secret-id:json-key 形式で指定する。buildspec.yml 内では通常の環境変数として ${DB_PASSWORD} で参照できる。
# buildspec.yml での参照 (通常の環境変数として透過的に使用)env: secrets-manager: DB_PASSWORD: "prod/app/db:password" API_KEY: "prod/app/api:key"
secret-id:json-key の形式: Secrets Manager の secret 値が JSON オブジェクトの場合、コロン区切りで取得する key を指定する。JSON でないプレーン文字列の場合は secret-id のみ指定。
方法B: env-vars-files (ファイル展開形式)
複数の secret を一括取得して .env ファイル形式でビルドコンテナに展開する方法。secret の個数が増えた場合でも buildspec.yml が肥大化しない。
# buildspec.yml での env-vars-files 指定env: secrets-manager: ENV_FILE_CONTENT: "prod/app/env-file"env-vars-files: - "/tmp/app.env"
# Secrets Manager に登録する secret の値 (JSON 文字列として保存){"DB_HOST":"db.internal","DB_PASSWORD":"s3cr3t","API_KEY":"abc123"}# CodeBuild が /tmp/app.env として書き出す内容 → 環境変数に自動展開DB_HOST=db.internalDB_PASSWORD=s3cr3tAPI_KEY=abc123
5-5. 3点セット: VPC + Secrets Manager 統合
Terraform (要点)
Terraform での完全な HCL は §6 に記載する。ここでは vpc_config と Secrets Manager 統合の要点を示す。
# aws_codebuild_project の vpc_config blockvpc_config { vpc_id = aws_vpc.main.id subnets= [aws_subnet.private_a.id, aws_subnet.private_b.id] security_group_ids = [aws_security_group.codebuild.id]}# Secrets Manager 参照の環境変数environment { compute_type = "BUILD_GENERAL1_SMALL" image = "aws/codebuild/standard:7.0" type= "LINUX_CONTAINER" privileged_mode = true environment_variable { name = "DB_PASSWORD" value = "prod/app/db:password" type = "SECRETS_MANAGER" }}
AWS CLI
# 既存プロジェクトに VPC 設定を追加 (update-project)aws codebuild update-project \ --name my-codebuild-project \ --vpc-config vpcId=vpc-0abc1234,subnets=subnet-0def5678,securityGroupIds=sg-0ghi9012# Secrets Manager の secret 現在値を確認 (ビルド前の動作確認に)aws secretsmanager get-secret-value \ --secret-id prod/app/db \ --query "SecretString" \ --output text | python3 -m json.tool# VPC 設定の確認aws codebuild batch-get-projects \ --names my-codebuild-project \ --query "projects[].vpcConfig"# CodeBuild プロジェクトに resource-based policy を設定 (クロスアカウント共有時)aws codebuild put-resource-policy \ --resource-arn arn:aws:codebuild:ap-northeast-1:123456789012:project/my-project \ --policy file://policy.json
コンソール操作
- CodeBuild コンソール → 対象プロジェクト → 「編集」→「環境」タブを開く
- 「VPC」セクション: VPC を選択 → private subnet を選択 → Security Group を選択して保存
- 「環境変数」セクション: 「タイプ」を「Secrets Manager」→「値」に
secret-id:key 形式で入力 - テストビルドを実行 → 「ビルドログ」→「PROVISIONING」フェーズで ENI 作成ログを確認
5-6. 落とし穴4選
落とし穴1: VPC subnet IP不足で ENI 作成失敗
CLIENT_ERROR: PROVISIONING: Failed to prepare build environment.The subnet does not have enough free addresses to allocate a network interface. subnet-0abc1234
解決策: subnet の CIDR を /24 以上に拡大するか、vpc_config.subnets に複数 subnet を指定して IP プールを AZ 間で分散させる。
落とし穴2: NAT Gateway不在でインターネット通信失敗
private subnet に NAT Gateway (or VPC エンドポイント) がない状態でビルドすると npm install や pip install が全て失敗する。
npm ERR! code ENOTFOUNDnpm ERR! errno ENOTFOUNDnpm ERR! network request to https://registry.npmjs.org/ failed,reason: getaddrinfo ENOTFOUND registry.npmjs.org
解決策: route table に NAT Gateway へのルート (0.0.0.0/0 → nat-XXXXXXXX) を追加する。外部通信が不要な場合は VPC エンドポイント (ECR/S3/Secrets Manager) のみ有効にする構成でコストを削減できる。
落とし穴3: Secrets Manager IAMポリシー権限不足
IAM Role に secretsmanager:GetSecretValue が欠けているとビルドが以下のエラーで失敗する。
CLIENT_ERROR: AccessDeniedException: User: arn:aws:sts::123456789012:assumed-role/codebuild-role is not authorized to perform: secretsmanager:GetSecretValueon resource: prod/app/db because no identity-based policy allows the action
解決策: IAM Policy に secretsmanager:GetSecretValue を追加する。CMK で暗号化している場合は kms:Decrypt も必要だ。リソース ARN は arn:aws:secretsmanager:*:*:secret:prod*' - '/root/.gradle/caches*' - '/root/.cache/pip*'phases: install: commands:- npm ci # S3/LOCAL cache hit で 50-70% 短縮
# キャッシュヒット確認 (CloudWatch Logs でフィルタ)aws logs filter-log-events \ --log-group-name "/aws/codebuild/my-project" \ --filter-pattern "Cache" \ --query 'events[*].message'
7-4-3. Lambda compute (BUILD_LAMBDA)
コンテナ起動時間なし・最小課金単位 100ms でコスト効率が高い。ただし Docker daemon は使用不可 (§7-6 落とし穴 参照)。
resource "aws_codebuild_project" "lambda_compute" { name = "my-lambda-compute-project" environment { compute_type = "BUILD_LAMBDA_1GB" image = "aws/codebuild/amazonlinux-x86_64-lambda-standard:corretto21" type= "LINUX_LAMBDA_CONTAINER" # privileged_mode = true は Lambda compute で無効 (設定しても効果なし) } # ...}
# Lambda compute 設定確認aws codebuild batch-get-projects \ --names my-lambda-compute-project \ --query 'projects[0].environment.{type:type,compute:computeType,image:image}'
コンソール: プロジェクト → 「環境」→ コンピューティング: 「Lambda」を選択 → メモリ 1GB / 2GB / 4GB から選択。
7-4-4. コスト比較表
| 設定 | $/分 | 起動時間 | Docker 対応 | 月額目安 (100ビルド×5分/日) |
|---|
| GENERAL1_SMALL (On-Demand) | $0.005 | ~30s | ✅ | ~$750 |
| GENERAL1_LARGE (On-Demand) | $0.020 | ~30s | ✅ | ~$3,000 |
| GENERAL1_LARGE (Spot fleet) | ~$0.006 | ~30s | ✅ | ~$900 (70%削減) |
| BUILD_LAMBDA_1GB | $0.00003/秒 | <1s | ❌ | 短時間ジョブに最適 |
| GENERAL1_SMALL + S3 cache | $0.005 | ~30s | ✅ | ~$375 (cache 50%短縮) |
※ 1 ビルドあたり平均 5 分と仮定。リージョン・コンピュートタイプにより変動あり。
7-5. Terraform 使い分けまとめ
# 変数でコンピュートタイプを切替variable "use_spot" { description = "Spot fleet を使用するか" type = bool default = true}variable "use_lambda_compute" { description = "Lambda compute を使用するか (Docker 不要のジョブのみ)" type = bool default = false}locals { environment_type = var.use_lambda_compute ? "LINUX_LAMBDA_CONTAINER" : "LINUX_CONTAINER" compute_type = var.use_lambda_compute ? "BUILD_LAMBDA_1GB" : "BUILD_GENERAL1_LARGE" image= var.use_lambda_compute ? "aws/codebuild/amazonlinux-x86_64-lambda-standard:corretto21" : "aws/codebuild/standard:7.0"}
コンソール: CodeBuild → 「ビルド履歴」→ 「期間」列で実際のビルド時間を確認 → プロジェクト設定の「タイムアウト」を実績の 2 倍程度に設定すると無駄なコスト上限を設けられる。
7-6. ローカルデバッグ・コスト関連の落とし穴
- BUILD_LAMBDA は Docker daemon 非対応:
privileged_mode = true を設定しても docker build は実行できない。Docker イメージビルドが必要な場合は EC2 ベースコンピューティングを使用する。 - Spot fleet 中断によるビルド失敗: EC2 Spot が中断されるとビルドが途中で終了する。CodePipeline 連携時は retryOnFailure、スタンドアロン時は CloudWatch Events + Lambda で自動再試行を設定する。
- cache invalidation 手動実行が必要:
buildspec.yml の cache.paths を変更しても S3 キャッシュは自動無効化されない。変更後は aws codebuild invalidate-project-cache --project-name <name> を実行する。 - LOCAL DOCKER_LAYER_CACHE は VPC 内ビルド非対応: VPC 設定と LOCAL キャッシュを併用する場合は
S3 タイプのキャッシュを使用する。
8. まとめ + Vol3予告 + よくある落とし穴10選
8-1. 本記事の振り返り
本記事では CodeBuild を本番運用品質で活用するための 6 テーマを解説した。
| 章 | テーマ | 到達点 |
|---|
| §3 | buildspec.yml 完全解説 | phases/cache/artifacts/env/batch build 全機能習得 |
| §4 | マルチアーキ Docker build | arm64+x86_64 manifest list を ECR push |
| §5 | VPC内ビルド + Secrets Manager | private subnet+NAT+env-vars-files 統合 |
| §6 | Terraform 完全実装 | aws_codebuild_project + webhook + IAM 完全 HCL |
| §7 | ローカルデバッグ + コスト最適化 | codebuild_build.sh + Spot/cache/Lambda で 60-80%削減 |
よくある落とし穴 10 選- version: 0.1 使用 — 非推奨・
version: 0.2 が必須。phases の finally / on-failure や exported-variables 等の機能が使えない。 - docker buildx driver 省略でマルチアーキ失敗 —
docker buildx create --driver docker-container --use を必ず実行。省略すると linux/arm64 ビルドがスキップされ x86_64 のみになる。 - VPC subnet IP 不足で ENI 作成失敗 — CodeBuild は同時ビルド数分の ENI を作成する。/24 以上 (254 IP) を確保し subnet IP 残量を定期監視すること。
- BUILD_LAMBDA で docker build 実行 — Lambda compute は Docker daemon 非対応。docker build が必要なジョブは EC2 ベースコンピューティング (LINUX_CONTAINER) を使用する。
- cache.paths の YAML 構文罠 —
cache.paths: '***'] (配列) は意味が異なる。必ずリスト形式で記述する。誤ると S3 cache が全く効かない。 - secrets-manager env var に大文字英数字以外を使用 — 環境変数名は大文字英数字とアンダースコアのみ許容。ハイフンを含む場合は parameter-store 経由で取得し別名を付与する。
- artifacts.files に相対パス指定ミス —
base-directory と files の組み合わせに注意。***' - '/root/.cache/pip*'artifacts: files: - '**/*' base-directory: dist discard-paths: noreports: jest-report: files:- 'test-results/junit.xml' file-format: JUNITXML8-3. 次のステップ
本記事で習得した技術を活用するためのロードマップ:
| ステップ | 内容 | 推奨リソース |
|---|
| ① buildspec.yml 本番化 | phases/cache/artifacts/env を実プロジェクトに適用 | §3 チートシート |
| ② マルチアーキ対応 | docker buildx + ECR manifest list を CI に組み込み | §4 docker buildx 手順 |
| ③ VPC 内セキュア化 | private subnet + Secrets Manager で本番グレード | §5 VPC 設定 |
| ④ IaC 一元管理 | Terraform で CodeBuild + IAM + webhook を管理 | §6 完全 HCL |
| ⑤ コスト最適化 | Spot fleet + S3 cache で月額 50-70% 削減 | §7-4 比較表 |
Vol3 では CodePipeline V2 + CodeDeploy を用いたマルチステージパイプライン (dev → stg → prod) の本番運用を解説する。 CodeBuild を CI のビルドステージとして組み込み、ブルーグリーンデプロイメントまでの一連のフローを Terraform で完全実装する予定だ。
本記事で紹介した buildspec.yml のチートシートと落とし穴10選は、既存プロジェクトの CodeBuild 運用改善にもすぐに活用できる。まずは §7-4 のコスト比較表を確認し、現在のコンピュートタイプを見直すことから始めると、追加実装なしで即座にコスト削減効果が得られる。
8-4. 関連記事・シリーズナビ
AWS Code* ファミリーシリーズと関連実装記事へのリンクを以下にまとめた。Vol3 では CodePipeline V2 + CodeDeploy を中心とした CD パイプラインを解説する。
Vol1: 全体像+サービス選定+GHA/ecspresso比較
Vol3: CodePipeline V2 + CodeDeploy 本番運用
Vol4: CodeArtifact + CodeGuru 補完運用 (シリーズ完結)
