AWS CloudFormation
ユーザーガイド (API バージョン 2010-05-15)

AWS CloudFormation の VPC エンドポイントの設定

インターフェイス VPC エンドポイントを使用するように AWS CloudFormation を設定することで、VPC のセキュリティ体制を強化できます。インターフェイスエンドポイントは、プライベート IP アドレスを使用して AWS CloudFormation API にプライベートにアクセスできるテクノロジーである PrivateLink を使用しています。PrivateLink は、VPC および AWS CloudFormation 間のすべてのネットワークトラフィックを Amazon ネットワークに限定します。また、インターネットゲートウェイ、NAT デバイスあるいは仮想プライベートゲートウェイの必要はありません。

PrivateLink の設定は要件ではありませんが、推奨されます。PrivateLink および VPC のエンドポイントの詳細については、「PrivateLink を介した AWS サービスへのアクセス」を参照してください。

開始する前に

AWS CloudFormation の VPC エンドポイントを設定する前に、以下の考慮事項に注意してください。

  • VPC エンドポイント機能を使用する場合は、カスタムリソースリクエストや待機条件に応答する必要がある VPC 内のリソース用に、AWS CloudFormation 固有の S3 バケットへのアクセスを付与します。

    AWS CloudFormation を使用して VPC エンドポイントのある VPC にリソースを作成する場合、特定の S3 バケットへのアクセスが許可されるように IAM エンドポイントポリシーの変更が必要になる可能性があります。

    AWS CloudFormation では、カスタムリソースリクエストまたは待機条件への応答をモニタリングするための S3 バケットが各リージョンにあります。テンプレートに VPC 内のカスタムリソースや待機条件が含まれている場合、その VPC のエンドポイントポリシーにより、次のバケットへの応答の送信がユーザーに許可されている必要があります。

    • カスタムリソースの場合、cloudformation-custom-resource-response-region バケットへのトラフィックを許可します。

    • 待機条件の場合、cloudformation-waitcondition-region バケットへのトラフィックを許可します。

    エンドポイントポリシーでこれらのバケットへのトラフィックがブロックされている場合、AWS CloudFormation は応答を受け取らず、スタックオペレーションは失敗します。たとえば、待機条件に応答する必要がある us-west-2 リージョンの VPC にリソースがある場合、リソースは cloudformation-waitcondition-us-west-2 バケットに応答を送信できる必要があります。

    AWS CloudFormation でサポートされているリージョンのリストについては、アマゾン ウェブ サービス全般のリファレンス の「リージョンとエンドポイント」ページを参照してください。

  • 現在、VPC エンドポイントはクロスリージョンのリクエストをサポートしていません。必ず AWS CloudFormation への API 呼び出しを発行する予定のリージョンと同じリージョンでエンドポイントを作成してください。

  • VPC エンドポイントは、Route 53 を介した Amazon 提供の DNS のみをサポートします。独自の DNS を使用する場合には、条件付き DNS 転送を使用できます。詳細については、Amazon VPC ユーザーガイド の「DHCP オプションセット」を参照してください。

  • VPC エンドポイントにアタッチされたセキュリティグループでは、VPC のプライベートサブネットから、ポート 443 で着信接続を許可する必要があります。

AWS CloudFormation 用の VPC エンドポイントの作成

AWS CloudFormation サービス用の VPC エンドポイントを作成するには、Amazon VPC ユーザーガイド の「 インターフェイスエンドポイントの作成」の手順を使用して、以下のエンドポイントを作成します。

com.amazonaws.region.cloudformation

region は、米国東部 (オハイオ) リージョンの us-east-2 のように、AWS CloudFormation でサポートされている AWS リージョンのリージョン識別子を表します。