AWS CloudFormation の VPC エンドポイントの設定
インターフェース VPC エンドポイントを使用するように AWS CloudFormation を設定することで、VPC のセキュリティ体制を強化できます。インターフェースエンドポイントは、プライベート IP アドレスを使用して CloudFormation API にプライベートにアクセスできるテクノロジーである PrivateLink を使用しています。PrivateLink は、VPC および CloudFormation 間のすべてのネットワークトラフィックを Amazon ネットワークに限定します。また、インターネットゲートウェイ、NAT デバイスあるいは仮想プライベートゲートウェイの必要はありません。
PrivateLink の設定は要件ではありませんが、推奨されます。PrivateLink と VPC エンドポイントの詳細については、「PrivateLink を介した AWS サービスへのアクセス」を参照してください。
開始する前に
CloudFormation の VPC エンドポイントを設定する前に、以下の考慮事項に注意してください。
-
VPC エンドポイント機能を使用する場合は、カスタムリソースリクエストや待機条件に応答する必要がある VPC 内のリソース用に、CloudFormation 固有の S3 バケットへのアクセスを付与します。
CloudFormation を使用して VPC エンドポイントのある VPC にリソースを作成する場合、特定の S3 バケットへのアクセスが許可されるように IAM エンドポイントの変更が必要になる可能性があります。
CloudFormation では、カスタムリソースリクエストまたは待機条件への応答をモニタリングするための S3 バケットが各リージョンにあります。テンプレートに VPC 内のカスタムリソースや待機条件が含まれている場合、その VPC のエンドポイントポリシーにより、次のバケットへの応答の送信がユーザーに許可されている必要があります。
-
カスタムリソースの場合、
cloudformation-custom-resource-response-バケットへのトラフィックを許可します。カスタムリソースを使用する場合、リージョン名にダッシュは含まれません。例えば、regionuswest2です。 -
待機条件の場合、
cloudformation-waitcondition-バケットへのトラフィックを許可します。待機条件を使用する場合、リージョン名にはダッシュが含まれます。例えば、regionus-west-2です。
エンドポイントポリシーでこれらのバケットへのトラフィックがブロックされている場合、CloudFormation は応答を受け取らず、スタックオペレーションは失敗します。たとえば、待機条件に応答する必要がある
us-west-2リージョンの VPC にリソースがある場合、リソースはcloudformation-waitcondition-us-west-2バケットに応答を送信できる必要があります。CloudFormation でサポートされているリージョンのリストについては、「Amazon Web Services 全般のリファレンス」の「リージョンとエンドポイント」ページを参照してください。
-
-
現在、VPC エンドポイントはクロスリージョンの要求をサポートしていません。必ず CloudFormation への API 呼び出しを発行する予定のリージョンでエンドポイントを作成してください。
-
VPC エンドポイントは、Route 53 を介して Amazon が提供する DNS のみをサポートします。独自の DNS を使用したい場合は、条件付き DNS 転送を使用できます。詳細については、『Amazon VPC ユーザーガイド』の「DHCP オプションセット」を参照してください。
-
VPCエンドポイントにアタッチされたセキュリティグループでは、VPCのプライベートサブネットから、ポート443で着信接続を許可する必要があります。
AWS CloudFormation 用の VPC エンドポイントの作成
CloudFormation サービス用の VPC エンドポイントを作成するには、Amazon VPC ユーザーガイド の「インターフェースエンドポイントの作成」の手順を使用して、以下のエンドポイントを作成します。
com.amazonaws.region.cloudformation
リージョンは、米国東部 (オハイオ) リージョンの us-east-2 など、CloudFormation でサポートされている AWS リージョン のリージョン識別子を表します。
