AWS CloudFormation에 대한 VPC 엔드포인트 설정
인터페이스 VPC 엔드포인트를 사용하도록 AWS CloudFormation을 구성하여 VPC의 보안 태세를 향상시킬 수 있습니다. 인터페이스 엔드포인트는 프라이빗 IP 주소를 사용하여 CloudFormation API에 비공개로 액세스할 수 있는 기술인 PrivateLink로 구동됩니다. PrivateLink는 VPC 및 CloudFormation 간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한합니다. 또한 인터넷 게이트웨이, NAT 디바이스 또는 가상 프라이빗 게이트웨이가 필요 없습니다.
PrivateLink를 구성하는 것이 필수는 아니지만 구성하는 것이 좋습니다. PrivateLink 및 VPC 엔드포인트에 대한 자세한 내용을 알아보려면 PrivateLink를 통한 AWS 서비스 액세스를 참조하세요.
시작하기 전에
CloudFormation에 대해 VPC 엔드포인트를 구성하기 전에 다음 고려 사항에 유의하십시오.
-
VPC 엔드포인트 기능을 사용할 때 사용자 지정 리소스 요청 또는 대기 조건에 응답해야 하는 VPC의 리소스에 대해 CloudFormation용 S3 버킷에 대한 액세스 권한을 부여합니다.
CloudFormation을 사용하여 VPC 엔드포인트가 있는 VPC에서 리소스를 생성할 경우 특정 S3 버킷에 대한 액세스를 허용하도록 IAM 엔드포인트 정책을 수정해야 할 수 있습니다.
CloudFormation은 사용자 지정 리소스 요청 또는 대기 조건에 대한 응답을 모니터링하기 위해 각 리전에 S3 버킷을 갖추고 있습니다. 템플릿에 VPC의 사용자 지정 리소스 또는 대기 조건이 포함되는 경우 VPC 엔드포인트 정책은 사용자가 다음 버킷에 대한 응답을 전송하도록 허용해야 합니다.
-
사용자 지정 리소스의 경우
cloudformation-custom-resource-response-버킷에 대한 트래픽을 허용합니다. 사용자 지정 리소스를 사용하는 경우 리전 이름에 대시가 포함되지 않습니다. 예:regionuswest2. -
대기 조건의 경우
cloudformation-waitcondition-버킷에 대한 트래픽을 허용합니다. 대기 조건을 사용하는 경우 리전 이름에 대시가 포함됩니다. 예:regionus-west-2.
엔드포인트 정책이 이러한 버킷에 대한 트래픽을 차단하는 경우 CloudFormation은 응답을 수신하지 않으며 스택 작업이 실패합니다. 예를 들어, 대기 조건에 응답해야 하는
us-west-2리전의 VPC에 리소스가 있는 경우 리소스는cloudformation-waitcondition-us-west-2버킷에 응답을 전송할 수 있어야 합니다.CloudFormation에서 지원하는 리전 목록은 Amazon Web Services 일반 참조의 Regions and endpoints를 참조하세요.
-
-
VPC 엔드포인트는 교차 리전 요청을 지원하지 않습니다. CloudFormation에 대한 API 호출 발급을 계획하는 리전과 동일한 리전에 엔드포인트를 생성하는지 확인하세요.
-
VPC 엔드포인트는 Route 53을 통해 Amazon 제공 DNS만 지원합니다. 자신의 DNS를 사용하는 경우에는 조건적인 DNS 전송을 사용할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서의 DHCP 옵션 세트를 참조하세요.
-
VPC 엔드포인트에 연결된 보안 그룹은 VPC의 프라이빗 서브넷에서 443 포트로 들어오는 연결을 허용해야 합니다.
AWS CloudFormation에 대한 VPC 엔드포인트 생성
CloudFormation 서비스에 대한 VPC 엔드포인트를 생성하려면 Amazon VPC 사용 설명서의 인터페이스 엔드포인트 생성 절차를 사용하여 다음 엔드포인트를 생성하세요.
com.amazonaws.region.cloudformation
리전은 미국 동부(오하이오) 리전의 us-east-2와 같이 CloudFormation이 지원하는 AWS 리전의 리전 식별자를 나타냅니다.
