CloudFormation 使用界面端點存取 (AWS PrivateLink) - AWS CloudFormation
CloudFormation VPC 端點的考量事項建立 的介面 VPC 端點 CloudFormation為 建立 VPC 端點政策 CloudFormation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CloudFormation 使用界面端點存取 (AWS PrivateLink)

您可以使用 在 VPC 與 之間 AWS PrivateLink 建立私有連線 CloudFormation。您可以 CloudFormation 像在 VPC 中一樣存取 ,無需使用網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取 CloudFormation。

您可以建立由 AWS PrivateLink提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 CloudFormation之流量的進入點。

CloudFormation 支援透過界面端點呼叫其所有 API 動作。

CloudFormation VPC 端點的考量事項

在您設定介面端點之前,請先確定您已符合《 AWS PrivateLink 指南》中的使用介面 VPC 端點主題存取 AWS 服務中的先決條件。

設定介面端點時,適用下列額外的先決條件和考量事項 CloudFormation:

  • 若您的 VPC 中有資源必須回應自訂資源請求或等待條件,請確保這些資源可存取所需的 CloudFormation 專屬 Amazon S3 儲存貯體。CloudFormation 在每個區域中擁有 S3 儲存貯體,以監控對於自訂資源請求或等待條件的回應。如果範本包含 VPC 中的自訂資源或等待條件,VPC 端點政策必須允許使用者將回應傳送至以下儲存貯體:

    • 對於自訂資源,允許流至 cloudformation-custom-resource-response-region 儲存貯體的流量。使用自訂資源時, AWS 區域 名稱不包含破折號。例如 uswest2

    • 對於等待條件,允許流至 cloudformation-waitcondition-region 儲存貯體的流量。使用等待條件時, AWS 區域 名稱會包含破折號。例如 us-west-2

    如果端點政策封鎖流至這些儲存貯體的流量,CloudFormation 將不會收到回應,堆疊操作將會失敗。例如,如果您在必須回應等待條件之 us-west-2 區域中的 VPC 有一個資源,此資源必須能夠傳送回應至 cloudformation-waitcondition-us-west-2 儲存貯體。

    如需 CloudFormation 目前可用 AWS 區域 位置的清單,請參閱 中的CloudFormation 端點和配額頁面Amazon Web Services 一般參考

  • VPC 端點目前不支援跨區域請求 – 請確定在您打算對 CloudFormation 發出 API 呼叫的同一區域中建立端點。

  • 透過 Route 53,VPC 端點僅支援 Amazon 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 Amazon VPC 中的 DHCP 選項集

  • 連接到 VPC 端點的安全群組,必須允許從 VPC 的私有子網路,透過 443 埠傳入的連線。

建立 的介面 VPC 端點 CloudFormation

您可以使用 Amazon VPC CloudFormation 主控台或 AWS Command Line Interface (AWS CLI) 來建立 VPC 端點。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立 VPC 端點

CloudFormation 使用下列服務名稱建立 的介面端點:

  • com.amazonaws.region.cloudformation – 建立用於 CloudFormation API 操作的端點。

如果您為介面端點啟用私有 DNS,您可以使用 CloudFormation 其預設的區域 DNS 名稱向 提出 API 請求。例如 cloudformation.us-east-1.amazonaws.com

在支援 FIPS 特定端點 AWS 區域 的情況下,您也可以 CloudFormation 使用下列服務名稱建立 的介面端點:

如需 CloudFormation 端點的完整清單,請參閱 Amazon Web Services 一般參考 中的 CloudFormation 端點與配額

為 建立 VPC 端點政策 CloudFormation

端點政策為 IAM 資源,您可將其連接至介面端點。預設端點政策允許 CloudFormation 透過介面端點完整存取 。若要控制允許 CloudFormation 從您的 VPC 存取 ,請將自訂端點政策連接至介面端點。

端點政策會指定以下資訊:

  • 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱《AWS PrivateLink 指南》中的使用端點政策控制 VPC 端點的存取

範例: CloudFormation 動作的 VPC 端點政策

以下是 端點政策的範例 CloudFormation。連接至 端點時,此政策會授予所有資源上所有委託人所列出 CloudFormation 動作的存取權。下列範例拒絕所有使用者透過 VPC 端點建立堆疊的許可,並允許完整存取 CloudFormation 服務上的所有其他動作。

{
  "Statement": [
    {
      "Action": "cloudformation:*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateStack", 
      "Effect": "Deny", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}