Configuración de puntos de enlace de la VPC para AWS CloudFormation
Puede mejorar el estado de seguridad de su VPC configurando AWS CloudFormation para que utilice una interfaz de punto de enlace de la VPC. Los puntos de enlace de la interfaz tienen tecnología PrivateLink, que le permite obtener acceso de forma privada a las API de CloudFormation mediante direcciones IP privadas. PrivateLink restringe todo el tráfico de red entre su VPC y CloudFormation a la red de Amazon. Asimismo, no necesita una gateway de Internet ni un dispositivo NAT ni una gateway privada virtual.
No es necesario configurar PrivateLink, pero es recomendable. Para obtener más información sobre PrivateLink y los puntos de conexión de VPC, consulte Acceso a los servicios de AWS a través de PrivateLink.
Antes de empezar
Antes de configurar los puntos de enlace de la VPC para CloudFormation, debe tener en cuenta las consideraciones siguientes.
-
Cuando se utiliza la característica de punto de enlace de la VPC, se concede acceso a buckets de S3 específicos de CloudFormation para recursos en una VPC que deben responder a una solicitud de recursos personalizados o una condición de espera.
Si utiliza CloudFormation para crear recursos en una VPC con un punto de enlace de la VPC, es posible que tenga que modificar la política de puntos de enlace de IAM para que permita el acceso a ciertos buckets de S3.
CloudFormation dispone de buckets de S3 en cada Región para monitorizar las respuestas a una solicitud de recurso personalizado o una condición de espera. Si una plantilla incluye recursos personalizados o condiciones de espera en una VPC, la política de conexión de la VPC debe permitir a los usuarios enviar respuestas a los siguientes buckets:
-
En el caso de recursos personalizados, permita el tráfico al bucket
cloudformation-custom-resource-response-. Cuando se utilizan recursos personalizados, los nombres de Región no contienen guiones. Por ejemplo,regionuswest2. -
Para condiciones de espera, permita el tráfico al bucket
cloudformation-waitcondition-. Cuando se utilizan condiciones de espera, los nombres de región contienen guiones. Por ejemplo,regionus-west-2.
Si la política de puntos de enlace bloquea el tráfico a estos buckets, CloudFormation no recibirá respuestas y la operación de la pila fallará. Por ejemplo, si dispone de un recurso en una VPC en la región
us-west-2que deben responder a una condición de espera, el recurso debe ser capaz de enviar una respuesta al bucketcloudformation-waitcondition-us-west-2.Para ver una lista de las Regiones que admite CloudFormation, consulte la página Regiones y puntos de conexión en la Referencia general de Amazon Web Services.
-
-
Los puntos de conexión de VPC actualmente no admiten las solicitudes entre regiones. Asegúrese de crear su punto de conexión en la misma región en que planea llamar a la API destinadas a CloudFormation.
-
Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Route 53. Si desea utilizar su propio DNS, puede utilizar el enrutamiento de DNS condicional. Para obtener más información, consulte Conjuntos de opciones de DHCP en la Guía del usuario de Amazon VPC.
-
El grupo de seguridad asociado al punto de enlace de la VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de la VPC.
Creación del punto de enlace de la VPC para AWS CloudFormation
Para crear el punto de enlace de la VPC para el servicio CloudFormation, utilice el procedimiento Creación de un punto de enlace de interfaz indicado en la Guía del usuario de Amazon VPC para crear el punto de enlace siguiente:
com.amazonaws.región.cloudformation
region representa el identificador de región de una Región de AWS compatible con CloudFormation, como us-east-2 para la región Este de EE. UU. (Ohio).
