Acceso a CloudFormation mediante un punto de conexión de la interfaz (AWS PrivateLink)
Puede utilizar AWS PrivateLink para establecer una conexión privada entre su VPC y CloudFormation. Puede acceder a CloudFormation como si estuviera en su VPC, sin el uso de una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect. Las instancias en su VPC no necesitan direcciones IP públicas para acceder a CloudFormation.
Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Son interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a CloudFormation.
CloudFormation permite realizar llamadas a todas sus acciones de API a través del punto de conexión de interfaz.
Consideraciones para los puntos de conexión de VPC de CloudFormation
Antes de configurar un punto de conexión de interfaz, asegúrese de cumplir con los requisitos previos detallados en el tema Acceso a un servicio de AWS a través de un punto de conexión de VPC de interfaz en la Guía de AWS PrivateLink.
A continuación se aplican las siguientes consideraciones y requisitos previos adicionales al configurar un punto de conexión de interfaz para CloudFormation:
-
Si tiene recursos dentro de su VPC que deben responder a una solicitud de recurso personalizado o a una condición de espera, asegúrese de que tengan acceso a los buckets necesarios de Amazon S3 específicos de CloudFormation. CloudFormation dispone de buckets de S3 en cada Región para monitorizar las respuestas a una solicitud de recurso personalizado o una condición de espera. Si una plantilla incluye recursos personalizados o condiciones de espera en una VPC, la política de conexión de la VPC debe permitir a los usuarios enviar respuestas a los siguientes buckets:
-
En el caso de recursos personalizados, permita el tráfico al bucket
cloudformation-custom-resource-response-
. Cuando se utilizan recursos personalizados, los nombres de la Región de AWS no contienen guiones. Por ejemplo,region
uswest2
. -
Para condiciones de espera, permita el tráfico al bucket
cloudformation-waitcondition-
. Cuando se utilizan condiciones de espera, los nombres de la Región de AWS sí contienen guiones. Por ejemplo,region
us-west-2
.
Si la política de puntos de enlace bloquea el tráfico a estos buckets, CloudFormation no recibirá respuestas y la operación de la pila fallará. Por ejemplo, si dispone de un recurso en una VPC en la región
us-west-2
que deben responder a una condición de espera, el recurso debe ser capaz de enviar una respuesta al bucketcloudformation-waitcondition-us-west-2
.Para obtener una lista de las Regiones de AWS donde CloudFormation está actualmente disponible, consulte la página de cuotas y puntos de conexión de AWS CloudFormation en la Referencia general de Amazon Web Services.
-
-
Los puntos de conexión de VPC actualmente no admiten las solicitudes entre regiones. Asegúrese de crear su punto de conexión en la misma región en que planea llamar a la API destinadas a CloudFormation.
-
Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Route 53. Si desea utilizar su propio DNS, puede utilizar el enrutamiento de DNS condicional. Para obtener más información, consulte Conjuntos de opciones de DHCP en Amazon VPC en la Guía del usuario de Amazon VPC.
-
El grupo de seguridad asociado al punto de conexión de la VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de la VPC.
Creación del punto de conexión de VPC de la interfaz para CloudFormation
Puede crear un punto de conexión de VPC para CloudFormation mediante la consola de Amazon VPC o la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Create a VPC endpoint (Creación de un punto de conexión de VPC) en la Guía de AWS PrivateLink.
Creación de un punto de conexión de interfaz para CloudFormation con el siguiente nombre de servicio:
-
com.amazonaws.
region
.cloudformation
Si habilita el DNS privado para el punto de conexión de interfaz, podrá realizar solicitudes de la API a CloudFormation con su nombre del DNS regional predeterminado. Por ejemplo, cloudformation.us-east-1.amazonaws.com
.
Creación de una política de punto de conexión de VPC para CloudFormation
Una política de punto de conexión es un recurso de IAM que puede adjuntar a un punto de conexión de interfaz. La política de punto de conexión predeterminada permite acceso completo a CloudFormation a través del punto de conexión de interfaz. Para controlar el acceso permitido a CloudFormation desde su VPC, adjunte una política de punto de conexión personalizada al punto de conexión de interfaz.
Una política de punto de conexión especifica la siguiente información:
-
Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).
-
Las acciones que se pueden realizar.
-
El recurso en el que se pueden realizar las acciones.
Para obtener más información, consulte Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC en la Guía de AWS PrivateLink.
Ejemplo: política de punto de conexión de VPC para acciones de CloudFormation
A continuación, se muestra un ejemplo de una política de puntos de conexión de CloudFormation. Cuando se asocia con un punto de conexión, esta política concede acceso a las acciones de CloudFormation mostradas para todas las entidades principales en todos los recursos. En el siguiente ejemplo, se deniega a todos los usuarios el permiso para terminar un entorno a través del punto de conexión de VPC y se permite el acceso completo a todas las demás acciones del servicio de CloudFormation.
{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateStack", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }