AWS CloudFormation とインターフェース VPC エンドポイント (AWS PrivateLink)
VPC と AWS CloudFormation とのプライベート接続を確立するには、インターフェース VPC エンドポイントを作成します。インターフェースエンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect 接続のいずれも必要とせずに CloudFormation API にプライベートにアクセスできるテクノロジーである AWS PrivateLink
各インターフェースエンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。
詳細については、Amazon VPC ユーザーガイド の インターフェース VPC エンドポイント (AWS PrivateLink) をご参照ください。
CloudFormation VPC エンドポイントに関する考慮事項
CloudFormation のインターフェース VPC エンドポイントをセットアップする前に、「Amazon VPC ユーザーガイド」の「Interface endpoint properties and limitations」(インターフェースエンドポイントのプロパティと制限) を確認するようにしてください。
CloudFormation は、その API アクションのすべてに対する VPC からの呼び出しをサポートしています。
CloudFormation 用のインターフェイス VPC エンドポイントの作成
CloudFormation サービス用の VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して作成できます。詳細については、「Amazon VPC ユーザーガイド」の「インターフェースエンドポイントの作成」を参照してください。
CloudFormation 用の VPC エンドポイントは、以下のサービス名を使用して作成します。
-
com.amazonaws.
region.cloudformation
エンドポイントに対してプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (cloudformation.us-east-1.amazonaws.com など) を使用して、CloudFormation への API リクエストを実行できます。
詳細については、「Amazon VPC ユーザーガイド」の「インターフェースエンドポイント経由でのサービスへのアクセス」を参照してください。
CloudFormation 用の VPC エンドポイントポリシーの作成
VPC エンドポイントに CloudFormation へのアクセスをコントロールするエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
-
アクションを実行できるプリンシパル。
-
実行可能なアクション。
-
このアクションを実行できるリソース。
詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。
例: CloudFormation アクション用の VPC エンドポイントポリシー
CloudFormation のエンドポイントポリシーの例を次に示します。エンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている CloudFormation アクションへのアクセス権を付与します。次の例では、VPC エンドポイントを経由してスタックを作成するアクセス許可をすべてのユーザーに拒否し、CloudFormation サービスの他のすべてのアクションへのフルアクセスを許可します。
{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateStack", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
以下も参照してください。
