Accès CloudFormation via un point de terminaison d'interface (AWS PrivateLink) - AWS CloudFormation
Considérations relatives aux points de CloudFormation terminaison VPCCréation d'un point de terminaison VPC d'interface pour CloudFormationCréation d'une politique de point de terminaison VPC pour CloudFormation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès CloudFormation via un point de terminaison d'interface (AWS PrivateLink)

Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et. CloudFormation Vous pouvez y accéder CloudFormation comme s'il se trouvait dans votre VPC, sans utiliser de passerelle Internet, de périphérique NAT, de connexion VPN ou AWS Direct Connect de connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour y accéder. CloudFormation

Vous établissez cette connexion privée en créant un point de terminaison d’interface optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic à destination de. CloudFormation

CloudFormation prend en charge les appels à toutes ses actions d'API via le point de terminaison de l'interface.

Considérations relatives aux points de CloudFormation terminaison VPC

Avant de configurer un point de terminaison d'interface, assurez-vous d'abord de remplir les conditions requises dans la rubrique Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface du Guide.AWS PrivateLink

Les conditions préalables et considérations supplémentaires suivantes s'appliquent lors de la configuration d'un point de terminaison d'interface pour CloudFormation :

  • Si des ressources au sein de votre VPC doivent répondre à une demande de ressources personnalisée ou à une condition d'attente, assurez-vous qu'elles ont accès aux compartiments Amazon CloudFormation S3 spécifiques requis. CloudFormation dispose de compartiments S3 dans chaque région pour surveiller les réponses à une demande de ressource personnalisée ou à une condition d'attente. Si un modèle inclut des ressources personnalisées ou des conditions d'attente dans un VPC, la politique de point de terminaison du VPC doit permettre aux utilisateurs d'envoyer des réponses aux compartiments suivants :

    • Pour les ressources personnalisées, autorisez le trafic vers le compartiment cloudformation-custom-resource-response-region. Lorsque vous utilisez des ressources personnalisées, Région AWS les noms ne contiennent pas de tirets. Par exemple, uswest2.

    • Pour les conditions d'attente, autorisez le trafic vers le compartiment cloudformation-waitcondition-region. Lorsque des conditions d'attente sont utilisées, Région AWS les noms contiennent des tirets. Par exemple, us-west-2.

    Si la politique du point de terminaison bloque le trafic vers ces compartiments, CloudFormation ne reçoit pas de réponses et que l'opération de stack échoue. Par exemple, si une ressource d'un VPC situé dans la région us-west-2 doit répondre à une condition d'attente, celle-ci doit être en mesure d'envoyer une réponse au compartiment cloudformation-waitcondition-us-west-2.

    Pour une liste des Régions AWS endroits CloudFormation actuellement disponibles, consultez la page des AWS CloudFormation points de terminaison et des quotas dans le Référence générale d'Amazon Web Services.

  • Les points de terminaison VPC ne prennent actuellement pas en charge les demandes interrégionales. Assurez-vous de créer votre point de terminaison dans la même région que celle à laquelle vous prévoyez d'envoyer vos appels d'API. CloudFormation

  • Les points de terminaison d'un VPC prennent uniquement en charge le DNS fourni par Amazon via Route 53. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser le transfert DNS conditionnel. Pour plus d'informations, consultez les ensembles d'options DHCP dans Amazon VPC dans le guide de l'utilisateur Amazon VPC.

  • Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port 443 à partir du sous-réseau privé du VPC.

Création d'un point de terminaison VPC d'interface pour CloudFormation

Vous pouvez créer un point de terminaison VPC pour CloudFormation utiliser la console Amazon VPC ou le (). AWS Command Line Interface AWS CLI Pour plus d’informations, consultez Créer un point de terminaison d’un VPC dans le Guide AWS PrivateLink .

Créez un point de terminaison d'interface pour CloudFormation utiliser le nom de service suivant :

  • com.amazonaws.region.cloudformation

Si vous activez le DNS privé pour le point de terminaison de l'interface, vous pouvez envoyer des demandes d'API à CloudFormation l'aide de son nom DNS régional par défaut. Par exemple, cloudformation.us-east-1.amazonaws.com.

Création d'une politique de point de terminaison VPC pour CloudFormation

Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet CloudFormation via le point de terminaison de l'interface. Pour contrôler l'accès autorisé CloudFormation depuis votre VPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.

Une politique de point de terminaison spécifie les informations suivantes :

  • Les principaux qui peuvent effectuer des actions (Comptes AWS, utilisateurs IAM et rôles IAM).

  • Les actions qui peuvent être effectuées.

  • La ressource sur laquelle les actions peuvent être effectuées.

Pour plus d'informations, consultez la section Contrôler l'accès aux points de terminaison VPC à l'aide des politiques relatives aux points de terminaison dans le Guide.AWS PrivateLink

Exemple : stratégie de point de terminaison d’un VPC pour les actions CloudFormation

Voici un exemple de politique de point de terminaison pour CloudFormation. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux CloudFormation actions répertoriées à tous les principaux sur toutes les ressources. L'exemple suivant refuse à tous les utilisateurs l'autorisation de créer des piles via le point de terminaison VPC et autorise un accès complet à toutes les autres actions du service. CloudFormation 

{
  "Statement": [
    {
      "Action": "cloudformation:*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateStack", 
      "Effect": "Deny", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}