Considerazioni sugli endpoint CloudFormation VPC Creazione di un endpoint di interfaccia per VPC CloudFormation Creazione di una policy per VPC gli endpoint per CloudFormation

Accesso CloudFormation tramite un endpoint di interfaccia ()AWS PrivateLink

Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e CloudFormation. Puoi accedere CloudFormation come se fossi nel tuoVPC, senza l'uso di un gateway, NAT dispositivo, VPN connessione o AWS Direct Connect connessione Internet. Le istanze del tuo account VPC non hanno bisogno di indirizzi IP pubblici per accedervi CloudFormation.

Stabilisci questa connessione privata creando un endpoint di interfaccia attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato a. CloudFormation

CloudFormation supporta l'esecuzione di chiamate a tutte le sue API azioni tramite l'endpoint dell'interfaccia.

Considerazioni sugli endpoint CloudFormation VPC

Prima di configurare un endpoint di interfaccia, assicurati di aver soddisfatto i prerequisiti indicati nell'argomento Accedere a un AWS servizio utilizzando un VPC endpoint di interfaccia nella Guida.AWS PrivateLink

I seguenti prerequisiti e considerazioni aggiuntivi si applicano alla configurazione di un endpoint di interfaccia per: CloudFormation

Se hai risorse al tuo interno VPC che devono rispondere a una richiesta di risorse personalizzata o a una condizione di attesa, assicurati che abbiano accesso ai bucket Amazon CloudFormation S3 specifici richiesti. CloudFormation dispone di bucket S3 in ogni regione per monitorare le risposte a una richiesta di risorse personalizzata o a una condizione di attesa. Se un modello include risorse o condizioni di attesa personalizzate in aVPC, la policy dell'VPCendpoint deve consentire agli utenti di inviare risposte ai seguenti bucket:
- Per le risorse personalizzate, consenti il traffico verso il bucket cloudformation-custom-resource-response-region. Quando si utilizzano risorse personalizzate, Regione AWS i nomi non contengono trattini. Ad esempio uswest2.
- Per le condizioni di attesa, consenti il traffico verso il bucket cloudformation-waitcondition-region. Quando si utilizzano le condizioni di attesa, Regione AWS i nomi contengono trattini. Ad esempio us-west-2.
Se la policy dell'endpoint blocca il traffico verso questi bucket, CloudFormation non riceverà risposte e l'operazione stack avrà esito negativo. Ad esempio, se una risorsa VPC in una us-west-2 regione deve rispondere a una condizione di attesa, la risorsa deve essere in grado di inviare una risposta al bucket. cloudformation-waitcondition-us-west-2

Per un elenco di Regioni AWS dove CloudFormation è attualmente disponibile, consulta la pagina degli AWS CloudFormation endpoint e delle quote nel. Riferimenti generali di Amazon Web Services
VPCgli endpoint attualmente non supportano le richieste interregionali: assicurati di creare l'endpoint nella stessa regione verso cui intendi effettuare le chiamate. API CloudFormation
VPCgli endpoint supportano solo i dispositivi forniti da Amazon DNS tramite Route 53. Se desideri utilizzare il tuoDNS, puoi utilizzare l'inoltro condizionale. DNS Per ulteriori informazioni, consulta i set di DHCP opzioni in Amazon VPC nella Amazon VPC User Guide.
Il gruppo di sicurezza collegato all'VPCendpoint deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata di. VPC

Creazione di un endpoint di interfaccia per VPC CloudFormation

Puoi creare un VPC endpoint per CloudFormation utilizzare la VPC console Amazon o AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta Creare un VPC endpoint nella AWS PrivateLink Guida.

Crea un endpoint di interfaccia per CloudFormation utilizzare il seguente nome di servizio:

com.amazonaws.regioncloudformation.

Se abiliti private DNS per l'endpoint dell'interfaccia, puoi effettuare API richieste CloudFormation utilizzando il nome regionale predefinito. DNS Ad esempio cloudformation.us-east-1.amazonaws.com.

Creazione di una policy per VPC gli endpoint per CloudFormation

Una policy per gli endpoint è una IAM risorsa che è possibile collegare a un endpoint di interfaccia. La policy predefinita per gli endpoint consente l'accesso completo CloudFormation tramite l'endpoint dell'interfaccia. Per controllare l'accesso consentito CloudFormation dal tuo dispositivoVPC, allega una policy personalizzata per l'endpoint all'endpoint di interfaccia.

Una policy di endpoint specifica le informazioni riportate di seguito:

I principali che possono eseguire azioni (IAMutenti Account AWS e IAM ruoli).
Le azioni che possono essere eseguite.
Le risorse in cui è possibile eseguire le operazioni.

Per ulteriori informazioni, consulta Controllare l'accesso agli VPC endpoint utilizzando le policy degli endpoint nella Guida.AWS PrivateLink

Esempio: policy per le azioni relative agli VPC endpoint CloudFormation

Di seguito è riportato un esempio di policy sugli endpoint per. CloudFormation Se associata a un endpoint, questa politica consente l'accesso alle CloudFormation azioni elencate per tutti i principali su tutte le risorse. L'esempio seguente nega a tutti gli utenti l'autorizzazione a creare stack tramite l'VPCendpoint e consente l'accesso completo a tutte le altre azioni sul servizio. CloudFormation


{
  "Statement": [
    {
      "Action": "cloudformation:*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateStack", 
      "Effect": "Deny", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Best practice di sicurezza

Monitoraggio con EventBridge