Akses CloudFormation menggunakan endpoint antarmuka ()AWS PrivateLink - AWS CloudFormation
Pertimbangan untuk titik akhir CloudFormation VPCMembuat titik akhir VPC antarmuka untuk CloudFormationMembuat kebijakan titik akhir VPC untuk CloudFormation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses CloudFormation menggunakan endpoint antarmuka ()AWS PrivateLink

Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan. CloudFormation Anda dapat mengakses CloudFormation seolah-olah itu ada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses. CloudFormation

Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka, didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditakdirkan. CloudFormation

CloudFormation mendukung panggilan ke semua tindakan API-nya melalui titik akhir antarmuka.

Pertimbangan untuk titik akhir CloudFormation VPC

Sebelum Anda menyiapkan titik akhir antarmuka, pertama-tama pastikan Anda telah memenuhi prasyarat dalam Akses layanan AWS menggunakan topik titik akhir VPC antarmuka di Panduan.AWS PrivateLink

Prasyarat dan pertimbangan tambahan berikut berlaku saat menyiapkan titik akhir antarmuka untuk: CloudFormation

  • Jika Anda memiliki sumber daya dalam VPC yang harus menanggapi permintaan sumber daya khusus atau kondisi tunggu, pastikan mereka memiliki akses ke bucket Amazon CloudFormation S3 khusus yang diperlukan. CloudFormation memiliki bucket S3 di setiap Wilayah untuk memantau respons terhadap permintaan sumber daya khusus atau kondisi tunggu. Jika templat menyertakan sumber daya kustom atau kondisi menunggu di VPC, kebijakan akhir VPC endpoint harus mengizinkan pengguna untuk mengirim respons ke bucket berikut:

    • Untuk sumber daya kustom, izinkan lalu lintas ke bucket cloudformation-custom-resource-response-region. Saat menggunakan sumber daya khusus, Wilayah AWS nama tidak mengandung tanda hubung. Misalnya, uswest2.

    • Untuk kondisi menunggu, izinkan lalu lintas ke bucket cloudformation-waitcondition-region. Saat menggunakan kondisi tunggu, Wilayah AWS nama memang mengandung tanda hubung. Misalnya, us-west-2.

    Jika kebijakan endpoint memblokir lalu lintas ke bucket ini, tidak CloudFormation akan menerima tanggapan dan operasi stack gagal. Misalnya, jika Anda memiliki sumber daya VPC di us-west-2 Region yang harus menanggapi kondisi menunggu, sumber daya harus dapat mengirim respons ke bucket cloudformation-waitcondition-us-west-2.

    Untuk daftar Wilayah AWS tempat yang CloudFormation tersedia saat ini, lihat halaman AWS CloudFormation titik akhir dan kuota di halaman. Referensi Umum Amazon Web Services

  • Titik akhir VPC saat ini tidak mendukung permintaan lintas wilayah — pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana untuk mengeluarkan panggilan API. CloudFormation

  • Titik akhir VPC hanya mendukung DNS yang disediakan Amazon melalui Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasi selengkapnya, lihat set opsi DHCP di Amazon VPC di Panduan Pengguna Amazon VPC.

  • Grup keamanan yang dilampirkan ke VPC endpoint harus mengizinkan koneksi masuk pada port 443 dari subnet privat VPC.

Membuat titik akhir VPC antarmuka untuk CloudFormation

Anda dapat membuat titik akhir VPC untuk CloudFormation menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir VPC di Panduan Pengguna AWS PrivateLink .

Buat titik akhir antarmuka untuk CloudFormation menggunakan nama layanan berikut:

  • com.amazonaws.region.cloudformation

Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API untuk CloudFormation menggunakan nama DNS Regional default. Misalnya, cloudformation.us-east-1.amazonaws.com.

Membuat kebijakan titik akhir VPC untuk CloudFormation

Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh CloudFormation melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan CloudFormation dari VPC Anda, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.

kebijakan titik akhir mencantumkan informasi berikut:

  • Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).

  • Tindakan yang dapat dilakukan.

  • Sumber daya untuk melakukan tindakan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir di Panduan.AWS PrivateLink

Contoh: Kebijakan VPC endpoint untuk tindakan CloudFormation

Berikut ini adalah contoh kebijakan endpoint untuk CloudFormation. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke CloudFormation tindakan yang tercantum untuk semua prinsipal di semua sumber daya. Contoh berikut menolak semua pengguna izin untuk membuat tumpukan melalui titik akhir VPC, dan memungkinkan akses penuh ke semua tindakan lain pada layanan. CloudFormation 

{
  "Statement": [
    {
      "Action": "cloudformation:*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateStack", 
      "Effect": "Deny", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}