인터페이스 엔드포인트를 사용하여 CloudFormation 액세스(AWS PrivateLink) - AWS CloudFormation
CloudFormation VPC 엔드포인트에 대한 고려 사항CloudFormation에 대한 인터페이스 VPC 엔드포인트 생성CloudFormation에 대한 VPC 엔드포인트 정책 생성

인터페이스 엔드포인트를 사용하여 CloudFormation 액세스(AWS PrivateLink)

AWS PrivateLink를 사용하여 VPC와 CloudFormation 사이에 프라이빗 연결을 생성할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결을 사용하지 않고 VPC에 있는 것처럼 CloudFormation에 액세스할 수 있습니다. VPC의 인스턴스에서 CloudFormation에 액세스하는 데는 퍼블릭 IP 주소가 필요하지 않습니다.

AWS PrivateLink에서 제공되는 인터페이스 엔드포인트를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 CloudFormation으로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.

CloudFormation에서는 인터페이스 엔드포인트를 통해 모든 API 작업에 대한 호출 수행을 지원합니다.

CloudFormation VPC 엔드포인트에 대한 고려 사항

인터페이스 엔드포인트를 설정하기 전에 먼저 AWS PrivateLink 가이드에서 인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스에 액세스 주제의 사전 요구 사항을 충족했는지 확인하세요.

CloudFormation의 인터페이스 엔드포인트를 설정할 때는 다음과 같은 추가 사전 요구 사항 및 고려 사항이 적용됩니다.

  • 사용자 지정 리소스 요청 또는 대기 조건에 응답해야 하는 VPC 내의 리소스가 있는 경우 해당 리소스가 필요한 CloudFormation 고유의 Amazon S3 버킷에 액세스할 수 있는지 확인합니다. CloudFormation은 사용자 지정 리소스 요청 또는 대기 조건에 대한 응답을 모니터링하기 위해 각 리전에 S3 버킷을 갖추고 있습니다. 템플릿에 VPC의 사용자 지정 리소스 또는 대기 조건이 포함되는 경우 VPC 엔드포인트 정책은 사용자가 다음 버킷에 대한 응답을 전송하도록 허용해야 합니다.

    • 사용자 지정 리소스의 경우 cloudformation-custom-resource-response-region 버킷에 대한 트래픽을 허용합니다. 사용자 지정 리소스를 사용하는 경우 AWS 리전 이름에 대시가 포함되지 않습니다. 예: uswest2.

    • 대기 조건의 경우 cloudformation-waitcondition-region 버킷에 대한 트래픽을 허용합니다. 대기 조건을 사용하는 경우 AWS 리전 이름에 대시가 포함됩니다. 예: us-west-2.

    엔드포인트 정책이 이러한 버킷에 대한 트래픽을 차단하는 경우 CloudFormation은 응답을 수신하지 않으며 스택 작업이 실패합니다. 예를 들어, 대기 조건에 응답해야 하는 us-west-2 리전의 VPC에 리소스가 있는 경우 리소스는 cloudformation-waitcondition-us-west-2 버킷에 응답을 전송할 수 있어야 합니다.

    현재 CloudFormation을 사용할 수 있는 AWS 리전의 목록은 Amazon Web Services 일반 참조의 AWS CloudFormation 엔드포인트 및 할당량 페이지를 참조하세요.

  • VPC 엔드포인트는 교차 리전 요청을 지원하지 않습니다. CloudFormation에 대한 API 호출 발급을 계획하는 리전과 동일한 리전에 엔드포인트를 생성하는지 확인하세요.

  • VPC 엔드포인트는 Route 53을 통해 Amazon 제공 DNS만 지원합니다. 자신의 DNS를 사용하는 경우에는 조건적인 DNS 전송을 사용할 수 있습니다. 자세한 정보는 Amazon VPC 사용 설명서의 Amazon VPC의 DHCP 옵션 세트를 참조하세요.

  • VPC 엔드포인트에 연결된 보안 그룹은 VPC의 프라이빗 서브넷에서 443 포트로 들어오는 연결을 허용해야 합니다.

CloudFormation에 대한 인터페이스 VPC 엔드포인트 생성

Amazon VPC 콘솔이나 AWS Command Line Interface(AWS CLI)를 사용하여 CloudFormation에 대한 VPC 엔드포인트를 생성할 수 있습니다. 자세한 정보는 AWS PrivateLink 가이드VPC 엔드포인트 생성을 참조하세요.

다음 서비스 이름을 사용하여 CloudFormation에 대한 인터페이스 엔드포인트를 생성합니다.

  • com.amazonaws.region.cloudformation

인터페이스 엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우, 리전에 대한 기본 DNS 이름을 사용하여 CloudFormation에 API 요청을 할 수 있습니다. 예: cloudformation.us-east-1.amazonaws.com.

CloudFormation에 대한 VPC 엔드포인트 정책 생성

엔드포인트 정책은 인터페이스 엔드포인트에 연결할 수 있는 IAM 리소스입니다. 기본 엔드포인트 정책을 사용하면 인터페이스 엔드포인트를 통해 CloudFormation에 대한 전체 액세스를 허용합니다. VPC에서 CloudFormation에 허용되는 액세스를 제어하려면 사용자 지정 엔드포인트 정책을 인터페이스 엔드포인트에 연결합니다.

엔드포인트 정책은 다음 정보를 지정합니다.

  • 작업을 수행할 수 있는 보안 주체 (AWS 계정, IAM 사용자, IAM 역할)

  • 수행할 수 있는 작업.

  • 작업을 수행할 수 있는 리소스.

자세한 정보는 AWS PrivateLink 가이드엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어를 참조하세요.

예제: CloudFormation 작업에 대한 VPC 엔드포인트 정책

다음은 CloudFormation에 대한 엔드포인트 정책의 예입니다. 이 정책은 엔드포인트에 연결될 때 모든 리소스의 모든 보안 주체에 대한 액세스 권한을 나열된 CloudFormation 작업에 부여합니다. 다음 예제에서는 모든 사용자에게 VPC 엔드포인트를 통해 스택을 생성할 수 있는 권한을 거부하고 CloudFormation 서비스의 다른 모든 작업에 대한 전체 액세스를 허용합니다.

{
  "Statement": [
    {
      "Action": "cloudformation:*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateStack", 
      "Effect": "Deny", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}