AWS CloudFormation y puntos de conexión de VPC de interfaz (AWS PrivateLink)
Puede establecer una conexión privada entre la VPC y AWS CloudFormation mediante la creación de un punto de conexión de VPC de interfaz. Los puntos de conexión de interfaz cuentan con tecnología de AWS PrivateLink
Cada punto de conexión de interfaz está representado por una o más interfaces de red elásticas en las subredes.
Para obtener más información, consulte puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.
Consideraciones para los puntos de conexión de VPC de CloudFormation
Antes de configurar un punto de conexión de VPC de interfaz para CloudFormation, asegúrese de consultar Interface endpoint properties and limitations (Propiedades y limitaciones de los puntos de conexión de interfaz) en la Guía del usuario de Amazon VPC.
CloudFormation admite llamadas a todas sus acciones de la API desde su VPC.
Creación del punto de conexión de VPC de la interfaz para CloudFormation
Puede crear un punto de conexión de VPC para el servicio de CloudFormation mediante la consola de Amazon VPC o la AWS Command Line Interface (AWS CLI). Para más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.
Cree un punto de conexión de VPC para CloudFormation, mediante el siguiente nombre de servicio:
-
com.amazonaws.
region
.cloudformation
Si activa el DNS privado para el punto de conexión, puede llevar a cabo solicitudes a la API para CloudFormation usando su nombre de DNS predeterminado para la región, como cloudformation.us-east-1.amazonaws.com
.
Para más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.
Creación de una política de punto de conexión de VPC para CloudFormation
Puede asociar una política de punto de conexión con su punto de conexión de VPC que controla el acceso a CloudFormation. La política especifica la siguiente información:
-
La entidad principal que puede realizar acciones.
-
Las acciones que se pueden realizar.
-
Los recursos en los que se pueden llevar a cabo las acciones.
Para más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.
Ejemplo: política de punto de conexión de VPC para acciones de CloudFormation
A continuación, se muestra un ejemplo de una política de puntos de conexión de CloudFormation. Cuando se asocia con un punto de conexión, esta política concede acceso a las acciones de CloudFormation mostradas para todas las entidades principales en todos los recursos. En el siguiente ejemplo, se deniega a todos los usuarios el permiso para terminar un entorno a través del punto de conexión de VPC y se permite el acceso completo a todas las demás acciones del servicio de CloudFormation.
{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateStack", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }