Einrichten von VPC-Endpunkten für AWS CloudFormation - AWS CloudFormation

Einrichten von VPC-Endpunkten für AWS CloudFormation

Sie können die Sicherheit Ihrer VPC erhöhen, indem Sie AWS CloudFormation so konfigurieren, dass ein interface VPC endpoint verwendet wird. Schnittstellenendpunkte werden mittels PrivateLink, also einer Technologie realisiert, mit der Sie unter Verwendung privater IP-Adressen privat auf CloudFormation-APIs zugreifen können. PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihrer VPC und CloudFormation auf das Amazon-Netzwerk ein. Zudem benötigen Sie kein Internet-Gateway, kein NAT-Gerät und kein virtuelles privates Gateway.

Es ist nicht erforderlich, PrivateLink zu konfigurieren, aber wir empfehlen es. Weitere Informationen zu PrivateLink und VPC-Endpunkten finden Sie unter Zugriff auf AWS-Services über PrivateLink.

Bevor Sie beginnen

Seien Sie sich der folgenden Überlegungen bewusst, bevor Sie VPC-Endpunkte für CloudFormation konfigurieren.

  • Wenn Sie die Funktion "VPC-Endpunkt" verwenden, gewähren Sie Ressourcen, die auf eine benutzerdefinierte Ressourcenanforderung oder eine Wartebedingung reagieren müssen, Zugriff auf CloudFormation-spezifische S3-Buckets.

    Wenn Sie CloudFormation zum Erstellen von Ressourcen in einer VPC mit einem VPC-Endpunkt verwenden, müssen Sie möglicherweise Ihre IAM-Endpunktrichtlinie so ändern, dass Zugriff auf bestimmte S3-Buckets gewährt wird.

    CloudFormation weist S3-Buckets in jeder Region zur Überwachung der Antworten auf eine benutzerdefinierte Ressourcenanforderung oder eine Wartebedingung auf. Wenn eine Vorlage benutzerdefinierte Ressourcen oder Wartebedingungen in einer VPC enthält, muss die VPC-Endpunktrichtlinie Benutzern ermöglichen, Antworten auf die folgenden Buckets zu senden:

    • Lassen Sie bei benutzerdefinierten Ressourcen Datenverkehr zum cloudformation-custom-resource-response-region-Bucket zu. Wenn Sie benutzerdefinierte Ressourcen verwenden, enthalten Regionennamen keine Bindestriche. Beispiel, uswest2.

    • Lassen Sie bei Wartebedingungen Datenverkehr zum cloudformation-waitcondition-region-Bucket zu. Wenn Sie Wartebedingungen verwenden, enthalten Regionennamen Bindestriche. Beispiel, us-west-2.

    Wenn die Endpunktrichtlinie Datenverkehr zu diesen Buckets zulässt, erhält CloudFormation keine Antworten, und die Stack-Operation schlägt fehl. Wenn Sie beispielsweise eine Ressource in einer VPC in der us-west-2-Region haben, die auf eine Wartebedingung reagieren muss, muss die Ressource in der Lage sein, eine Antwort auf den cloudformation-waitcondition-us-west-2-Bucket zu senden.

    Eine Liste der Regionen, die CloudFormation unterstützt, finden Sie auf der Seite Regionen und Endpunkte im Allgemeine Amazon Web Services-Referenz.

  • VPC-Endpunkte unterstützen derzeit keine überregionalen Anfragen.— Stellen Sie sicher, dass Sie Ihren Endpunkt in der gleichen Region erstellen, in der Sie planen, Ihre API-Aufrufe an CloudFormation zu senden.

  • VPC-Endpunkte unterstützen nur von Amazon über Route 53 bereitgestellte DNS. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter DHCP-Optionsgruppen im Amazon VPC Benutzerhandbuch.

  • Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf Port 443 aus dem privaten Subnetz der VPC zulassen.

Erstellen des VPC-Endpunkts für AWS CloudFormation

Um den VPC-Endpunkt für den CloudFormation-Service zu erstellen, verwenden Sie die Prozedur Creating an Interface Endpoint in der Prozedur Amazon VPC Benutzerhandbuch, um den folgenden Endpunkt zu erstellen:

com.amazonaws.region.cloudformation

region repräsentiert die Regions-ID für eine von CloudFormation unterstützte AWS-Region, z. B. us-east-2 für die Region USA Ost (Ohio).