AWS CloudFormation y puntos de conexión de VPC de interfaz (AWS PrivateLink) - AWS CloudFormation
Consideraciones para los puntos de conexión de VPC de CloudFormationCreación del punto de conexión de VPC de la interfaz para CloudFormationCreación de una política de punto de conexión de VPC para CloudFormationVéase también

AWS CloudFormation y puntos de conexión de VPC de interfaz (AWS PrivateLink)

Puede establecer una conexión privada entre la VPC y AWS CloudFormation mediante la creación de un punto de conexión de VPC de interfaz. Los puntos de conexión de interfaz cuentan con tecnología de AWS PrivateLink que le permite acceder de forma privada a las API de CloudFormation sin una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con las API de CloudFormation. El tráfico entre la VPC y CloudFormation no sale de la red de Amazon.

Cada punto de conexión de interfaz está representado por una o más interfaces de red elásticas en las subredes.

Para obtener más información, consulte puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Consideraciones para los puntos de conexión de VPC de CloudFormation

Antes de configurar un punto de conexión de VPC de interfaz para CloudFormation, asegúrese de consultar Interface endpoint properties and limitations (Propiedades y limitaciones de los puntos de conexión de interfaz) en la Guía del usuario de Amazon VPC.

CloudFormation admite llamadas a todas sus acciones de la API desde su VPC.

Creación del punto de conexión de VPC de la interfaz para CloudFormation

Puede crear un punto de conexión de VPC para el servicio de CloudFormation mediante la consola de Amazon VPC o la AWS Command Line Interface (AWS CLI). Para más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Cree un punto de conexión de VPC para CloudFormation, mediante el siguiente nombre de servicio:

  • com.amazonaws.region.cloudformation

Si activa el DNS privado para el punto de conexión, puede llevar a cabo solicitudes a la API para CloudFormation usando su nombre de DNS predeterminado para la región, como cloudformation.us-east-1.amazonaws.com.

Para más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Creación de una política de punto de conexión de VPC para CloudFormation

Puede asociar una política de punto de conexión con su punto de conexión de VPC que controla el acceso a CloudFormation. La política especifica la siguiente información:

  • La entidad principal que puede realizar acciones.

  • Las acciones que se pueden realizar.

  • Los recursos en los que se pueden llevar a cabo las acciones.

Para más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.

Ejemplo: política de punto de conexión de VPC para acciones de CloudFormation

A continuación, se muestra un ejemplo de una política de puntos de conexión de CloudFormation. Cuando se asocia con un punto de conexión, esta política concede acceso a las acciones de CloudFormation mostradas para todas las entidades principales en todos los recursos. En el siguiente ejemplo, se deniega a todos los usuarios el permiso para terminar un entorno a través del punto de conexión de VPC y se permite el acceso completo a todas las demás acciones del servicio de CloudFormation.

{
  "Statement": [
    {
      "Action": "cloudformation:*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateStack", 
      "Effect": "Deny", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}

Véase también