Considerazioni sugli endpoint CloudFormation VPC Creazione di un endpoint VPC di interfaccia per CloudFormation Creazione di una policy per gli endpoint VPC per CloudFormation

Accesso CloudFormation tramite un endpoint di interfaccia ()AWS PrivateLink

Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e. CloudFormation Puoi accedere CloudFormation come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze del tuo VPC non necessitano di indirizzi IP pubblici per accedervi. CloudFormation

Stabilisci questa connessione privata creando un endpoint di interfaccia attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato a. CloudFormation

CloudFormation supporta l'esecuzione di chiamate a tutte le sue azioni API tramite l'endpoint dell'interfaccia.

Considerazioni sugli endpoint CloudFormation VPC

Prima di configurare un endpoint di interfaccia, assicurati di aver soddisfatto i prerequisiti nell'argomento Accedere a un AWS servizio utilizzando un endpoint VPC con interfaccia nella Guida.AWS PrivateLink

I seguenti prerequisiti e considerazioni aggiuntivi si applicano alla configurazione di un endpoint di interfaccia per: CloudFormation

Se hai risorse all'interno del tuo VPC che devono rispondere a una richiesta di risorse personalizzata o a una condizione di attesa, assicurati che abbiano accesso ai bucket Amazon CloudFormation S3 specifici richiesti. CloudFormation dispone di bucket S3 in ogni regione per monitorare le risposte a una richiesta di risorse personalizzata o a una condizione di attesa. Se un modello include risorse personalizzate o condizioni di attesa in un VPC, la policy di endpoint VPC deve consentire agli utenti di inviare risposte ai seguenti bucket:
- Per le risorse personalizzate, consenti il traffico verso il bucket cloudformation-custom-resource-response-region. Quando si utilizzano risorse personalizzate, Regione AWS i nomi non contengono trattini. Ad esempio, uswest2.
- Per le condizioni di attesa, consenti il traffico verso il bucket cloudformation-waitcondition-region. Quando si utilizzano le condizioni di attesa, Regione AWS i nomi contengono trattini. Ad esempio, us-west-2.
Se la policy dell'endpoint blocca il traffico verso questi bucket, CloudFormation non riceverà risposte e l'operazione stack avrà esito negativo. Ad esempio, se disponi di una risorsa in un VPC nella Regione us-west-2 che deve rispondere a una condizione di attesa, la risorsa deve essere in grado di inviare una risposta al bucket cloudformation-waitcondition-us-west-2.

Per un elenco di Regioni AWS dove CloudFormation è attualmente disponibile, consulta la pagina degli AWS CloudFormation endpoint e delle quote nel. Riferimenti generali di Amazon Web Services
Gli endpoint VPC attualmente non supportano le richieste interregionali: assicurati di creare l'endpoint nella stessa regione in cui intendi effettuare le chiamate API. CloudFormation
Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta i set di opzioni DHCP in Amazon VPC nella Amazon VPC User Guide.
Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata del VPC.

Creazione di un endpoint VPC di interfaccia per CloudFormation

Puoi creare un endpoint VPC per CloudFormation utilizzare la console Amazon VPC o (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta la sezione Creazione di un endpoint VPC nella Guida di AWS PrivateLink .

Crea un endpoint di interfaccia per CloudFormation utilizzare il seguente nome di servizio:

com.amazonaws.region.cloudformation

Se abiliti il DNS privato per l'endpoint dell'interfaccia, puoi effettuare richieste API CloudFormation utilizzando il nome DNS regionale predefinito. Ad esempio, cloudformation.us-east-1.amazonaws.com.

Creazione di una policy per gli endpoint VPC per CloudFormation

Una policy dell'endpoint è una risorsa IAM che è possibile allegare all'endpoint dell'interfaccia. La policy predefinita per gli endpoint consente l'accesso completo CloudFormation tramite l'interfaccia endpoint. Per controllare l'accesso consentito CloudFormation dal tuo VPC, collega una policy endpoint personalizzata all'endpoint di interfaccia.

Una policy di endpoint specifica le informazioni riportate di seguito:

I principali che possono eseguire azioni (Account AWS, utenti IAM e ruoli IAM).
Le azioni che possono essere eseguite.
Le risorse in cui è possibile eseguire le operazioni.

Per ulteriori informazioni, consulta Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint nella Guida.AWS PrivateLink

Esempio: policy di endpoint VPC per le operazioni dell' CloudFormation

Di seguito è riportato un esempio di policy sugli endpoint per. CloudFormation Se associata a un endpoint, questa politica consente l'accesso alle CloudFormation azioni elencate per tutti i principali su tutte le risorse. L'esempio seguente nega a tutti gli utenti l'autorizzazione a creare stack tramite l'endpoint VPC e consente l'accesso completo a tutte le altre azioni sul servizio. CloudFormation


{
  "Statement": [
    {
      "Action": "cloudformation:*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateStack", 
      "Effect": "Deny", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Best practice di sicurezza

Risoluzione dei problemi