使 CloudFormation 用介面端點存取 (AWS PrivateLink) - AWS CloudFormation
CloudFormation VPC 端點的考量為建立介面 VPC 端點 CloudFormation建立 VPC 端點原則 CloudFormation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使 CloudFormation 用介面端點存取 (AWS PrivateLink)

您可以使 AWS PrivateLink 用在 VPC 和 CloudFormation. 之間建立私人連線。您可以 CloudFormation 像在 VPC 中一樣進行存取,而無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體不需要公用 IP 位址即可存取 CloudFormation。

您可以建立由 AWS PrivateLink提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是由要求者管理的網路介面,可做為目的地流量的進入點。 CloudFormation

CloudFormation 支援透過介面端點呼叫其所有 API 動作。

CloudFormation VPC 端點的考量

在設定介面端點之前,請先確定您已符合AWS PrivateLink 指南中〈使用介面 VPC 端點存取 AWS 服務〉主題中的先決條件。

設定的介面端點時,需要注意下列其他先決條件和考量事項 CloudFormation:

  • 如果您的 VPC 中有必須回應自訂資源請求或等待條件的資源,請確定這些資源可以存取所需的 CloudFormation特定 Amazon S3 儲存貯體。 CloudFormation 每個區域中都有 S3 儲存貯體,以監控對自訂資源請求或等待條件的回應。如果範本包含 VPC 中的自訂資源或等待條件,VPC 端點政策必須允許使用者將回應傳送至以下儲存貯體:

    • 對於自訂資源,允許流至 cloudformation-custom-resource-response-region 儲存貯體的流量。使用自訂資源時, AWS 區域 名稱不包含破折號。例如 uswest2

    • 對於等待條件,允許流至 cloudformation-waitcondition-region 儲存貯體的流量。使用等待條件時, AWS 區域 名稱確實包含破折號。例如 us-west-2

    如果端點策略封鎖到這些值區的流量,將 CloudFormation 不會收到回應,且堆疊作業會失敗。例如,如果您在必須回應等待條件之 us-west-2 區域中的 VPC 有一個資源,此資源必須能夠傳送回應至 cloudformation-waitcondition-us-west-2 儲存貯體。

    如需目前可用 AWS 區域 CloudFormation 位置的清單,請參閱中的AWS CloudFormation 端點和配額頁面Amazon Web Services 一般參考

  • VPC 端點目前不支援跨區域要求,請確保您在計劃向其發出 API 呼叫的相同區域中建立端點。 CloudFormation

  • 透過 Route 53,VPC 端點僅支援 Amazon 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的 Amazon VPC 中的 DHCP 選項集

  • 連接到 VPC 端點的安全群組,必須允許從 VPC 的私有子網路,透過 443 埠傳入的連線。

為建立介面 VPC 端點 CloudFormation

您可以建立 VPC 端點以 CloudFormation 使用 Amazon VPC 主控台或 AWS Command Line Interface ()AWS CLI。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立 VPC 端點

建立 CloudFormation 使用下列服務名稱的介面端點:

  • com.amazonaws.region.cloudformation

如果您為介面端點啟用私有 DNS,您可以 CloudFormation 使用其預設的區域 DNS 名稱向 API 要求。例如 cloudformation.us-east-1.amazonaws.com

建立 VPC 端點原則 CloudFormation

端點政策為 IAM 資源,您可將其連接至介面端點。預設端點策略允許 CloudFormation 透過介面端點進行完整存取。若要控制允許 CloudFormation 從您的 VPC 存取,請將自訂端點原則附加到介面端點。

端點政策會指定以下資訊:

  • 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱AWS PrivateLink 指南中的使用端點策略控制對 VPC 端點的存取。

範例: CloudFormation 動作的 VPC 端點政策

以下是的端點策略範例 CloudFormation。連接至端點時,此策略會授與所有資源上所有主參與者所列 CloudFormation 動作的存取權。下列範例會拒絕所有使用者透過 VPC 端點建立堆疊的權限,並允許對服務上的所有其他動作進行完整存取。 CloudFormation 

{
  "Statement": [
    {
      "Action": "cloudformation:*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateStack", 
      "Effect": "Deny", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}