Akses CloudFormation menggunakan endpoint antarmuka ()AWS PrivateLink - AWS CloudFormation
Pertimbangan untuk titik akhir CloudFormation VPCMembuat VPC titik akhir antarmuka untuk CloudFormationMembuat kebijakan VPC endpoint untuk CloudFormation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses CloudFormation menggunakan endpoint antarmuka ()AWS PrivateLink

Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara Anda VPC dan CloudFormation. Anda dapat mengakses CloudFormation seolah-olah itu ada di AndaVPC, tanpa menggunakan gateway internet, NAT perangkat, VPN koneksi, atau AWS Direct Connect koneksi. Contoh di Anda VPC tidak memerlukan alamat IP publik untuk mengakses CloudFormation.

Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditakdirkan. CloudFormation

CloudFormation mendukung membuat panggilan ke semua API tindakannya melalui titik akhir antarmuka.

Pertimbangan untuk titik akhir CloudFormation VPC

Sebelum Anda menyiapkan titik akhir antarmuka, pertama-tama pastikan Anda telah memenuhi prasyarat dalam Access an AWS service menggunakan topik VPC endpoint antarmuka di Panduan.AWS PrivateLink

Prasyarat dan pertimbangan tambahan berikut berlaku saat menyiapkan titik akhir antarmuka untuk: CloudFormation

  • Jika Anda memiliki sumber daya di dalam Anda VPC yang harus menanggapi permintaan sumber daya khusus atau kondisi tunggu, pastikan mereka memiliki akses ke bucket Amazon CloudFormation S3 khusus yang diperlukan. CloudFormation memiliki bucket S3 di setiap Wilayah untuk memantau respons terhadap permintaan sumber daya khusus atau kondisi tunggu. Jika templat menyertakan sumber daya khusus atau kondisi tunggu dalam aVPC, kebijakan VPC titik akhir harus mengizinkan pengguna mengirim respons ke bucket berikut:

    • Untuk sumber daya kustom, izinkan lalu lintas ke bucket cloudformation-custom-resource-response-region. Saat menggunakan sumber daya khusus, Wilayah AWS nama tidak mengandung tanda hubung. Misalnya, uswest2.

    • Untuk kondisi menunggu, izinkan lalu lintas ke bucket cloudformation-waitcondition-region. Saat menggunakan kondisi tunggu, Wilayah AWS nama memang mengandung tanda hubung. Misalnya, us-west-2.

    Jika kebijakan endpoint memblokir lalu lintas ke bucket ini, tidak CloudFormation akan menerima tanggapan dan operasi stack gagal. Misalnya, jika Anda memiliki sumber daya VPC di dalam us-west-2 Wilayah yang harus merespons kondisi tunggu, sumber daya harus dapat mengirim respons ke cloudformation-waitcondition-us-west-2 bucket.

    Untuk daftar Wilayah AWS tempat yang CloudFormation tersedia saat ini, lihat halaman AWS CloudFormation titik akhir dan kuota di halaman. Referensi Umum Amazon Web Services

  • VPCEndpoint saat ini tidak mendukung permintaan Lintas wilayah — pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana untuk mengeluarkan panggilan. API CloudFormation

  • VPCendpoint hanya mendukung Amazon yang disediakan DNS melalui Route 53. Jika Anda ingin menggunakan milik Anda sendiriDNS, Anda dapat menggunakan DNS penerusan bersyarat. Untuk informasi selengkapnya, lihat set DHCP opsi VPC di Amazon di Panduan VPC Pengguna Amazon.

  • Grup keamanan yang terpasang pada VPC titik akhir harus mengizinkan koneksi masuk pada port 443 dari subnet pribadi. VPC

Membuat VPC titik akhir antarmuka untuk CloudFormation

Anda dapat membuat VPC titik akhir untuk CloudFormation menggunakan VPC konsol Amazon atau AWS Command Line Interface (AWS CLI). Untuk informasi selengkapnya, lihat Membuat VPC titik akhir di AWS PrivateLink Panduan.

Buat titik akhir antarmuka untuk CloudFormation menggunakan nama layanan berikut:

  • com.amazonaws.regioncloudformation.

Jika Anda mengaktifkan private DNS untuk titik akhir antarmuka, Anda dapat membuat API permintaan untuk CloudFormation menggunakan DNS nama Regional default. Misalnya, cloudformation.us-east-1.amazonaws.com.

Membuat kebijakan VPC endpoint untuk CloudFormation

Kebijakan endpoint adalah IAM sumber daya yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh CloudFormation melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan CloudFormation dari AndaVPC, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.

kebijakan titik akhir mencantumkan informasi berikut:

  • Prinsipal yang dapat melakukan tindakan (Akun AWS, IAM pengguna, dan IAM peran).

  • Tindakan yang dapat dilakukan.

  • Sumber daya untuk melakukan tindakan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke VPC titik akhir menggunakan kebijakan titik akhir dalam Panduan.AWS PrivateLink

Contoh: kebijakan VPC endpoint untuk tindakan CloudFormation

Berikut ini adalah contoh kebijakan endpoint untuk CloudFormation. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke CloudFormation tindakan yang tercantum untuk semua prinsipal di semua sumber daya. Contoh berikut menolak semua pengguna izin untuk membuat tumpukan melalui VPC titik akhir, dan memungkinkan akses penuh ke semua tindakan lain pada layanan. CloudFormation 

{
  "Statement": [
    {
      "Action": "cloudformation:*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateStack", 
      "Effect": "Deny", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}