CloudFormation 使用介面端點 (AWS PrivateLink) 存取 - AWS CloudFormation
端點的 CloudFormation VPC考量事項為 建立介面VPC端點 CloudFormation為 建立VPC端點政策 CloudFormation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CloudFormation 使用介面端點 (AWS PrivateLink) 存取

您可以使用 在 VPC和 之間 AWS PrivateLink 建立私有連線 CloudFormation。您可以 CloudFormation 像在 中一樣存取 VPC,而無需使用網際網路閘道、NAT裝置、VPN連線或 AWS Direct Connect 連線。您 中的執行個體VPC不需要公有 IP 地址即可存取 CloudFormation。

您可以建立由 AWS PrivateLink提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可做為目的地為 的流量進入點 CloudFormation。

CloudFormation 支援透過介面端點呼叫其所有API動作。

端點的 CloudFormation VPC考量事項

在您設定介面端點之前,請先確定您已符合AWS PrivateLink 指南 中的使用介面VPC端點主題存取 AWS 服務中的先決條件。

設定 的介面端點時,適用下列其他先決條件和考量 CloudFormation事項:

  • 如果您在 中有VPC必須回應自訂資源請求或等待條件的資源,請確定他們有權存取每個區域中所需的 CloudFormation特定 Amazon S3 儲存貯體。 CloudFormation 具有 S3 儲存貯體,以監控對自訂資源請求或等待條件的回應。如果範本在 中包含自訂資源或等待條件VPC,VPC端點政策必須允許使用者傳送回應至下列儲存貯體:

    • 對於自訂資源,允許流至 cloudformation-custom-resource-response-region 儲存貯體的流量。使用自訂資源時, AWS 區域 名稱不包含破折號。例如:uswest2

    • 對於等待條件,允許流至 cloudformation-waitcondition-region 儲存貯體的流量。使用等待條件時, AWS 區域 名稱會包含破折號。例如:us-west-2

    如果端點政策封鎖到這些儲存貯體的流量, CloudFormation 將不會收到回應,且堆疊操作會失敗。例如,如果您的 VPC us-west-2 區域中有資源必須回應等待條件,則該資源必須能夠傳送回應至儲存cloudformation-waitcondition-us-west-2貯體。

    如需 CloudFormation 目前可用的 AWS 區域 清單,請參閱 中的AWS CloudFormation 端點和配額頁面Amazon Web Services 一般參考

  • VPC 端點目前不支援跨區域請求 — 確保您在計劃向 發出API呼叫的相同區域中建立端點 CloudFormation。

  • VPC 端點僅支援DNS透過 Route 53 提供的 Amazon。如果您想要使用自己的 DNS,您可以使用條件式DNS轉送。如需詳細資訊,請參閱 DHCPAmazon 使用者指南中的 Amazon 選項集VPC。 VPC

  • 連接至VPC端點的安全群組必須允許連接埠 443 上來自 私有子網路的傳入連線VPC。

為 建立介面VPC端點 CloudFormation

您可以使用 Amazon VPC主控台 CloudFormation 或 AWS Command Line Interface (AWS CLI) 建立VPC端點。如需詳細資訊,請參閱 AWS PrivateLink 指南 中的建立VPC端點

CloudFormation 使用下列服務名稱建立 的介面端點:

  • com.amazonaws。regioncloudformation.

如果您DNS為介面端點啟用私有,則可以 CloudFormation 使用其預設的區域DNS名稱向 提出API請求。例如:cloudformation.us-east-1.amazonaws.com

為 建立VPC端點政策 CloudFormation

端點政策是您可以連接到介面端點IAM的資源。預設端點政策允許 CloudFormation 透過介面端點完整存取 。若要控制允許 CloudFormation 從 存取的 VPC,請將自訂端點政策連接至介面端點。

端點政策會指定以下資訊:

  • 可執行動作的主體 (、AWS 帳戶 IAM使用者和IAM角色)。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱 AWS PrivateLink 指南 中的使用VPC端點政策控制對端點的存取

範例:動作的VPC CloudFormation端點政策

以下是 端點政策的範例 CloudFormation。連接至端點時,此政策會授予所有資源上所有主體的所列 CloudFormation 動作的存取權。下列範例會拒絕所有使用者透過VPC端點建立堆疊的許可,並允許完全存取 CloudFormation 服務上的所有其他動作。

{
  "Statement": [
    {
      "Action": "cloudformation:*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateStack", 
      "Effect": "Deny", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}