Configurar VPC endpoints VPC para o AWS CloudFormation - AWS CloudFormation

Configurar VPC endpoints VPC para o AWS CloudFormation

Você pode melhorar a postura de segurança da sua VPC configurando o AWS CloudFormation para usar um interface VPC endpoint. Os endpoints da interface são desenvolvidos pelo PrivateLink, uma tecnologia que permite acessar de forma privada as APIs do CloudFormation usando endereços IP privados. O PrivateLink restringe todo o tráfego de rede entre sua VPC e o CloudFormation para a rede da Amazon. Além disso, você não precisa de um Internet gateway, de um dispositivo NAT ou de um gateway privado virtual.

Não é necessário configurar o PrivateLink, mas é recomendável. Para obter mais informações sobre endpoints do PrivateLink e da VPC, consulte Accessing AWS services through PrivateLink (Acesso aos serviços da AWS por meio do PrivateLink).

Antes de começar

Antes de configurar VPC endpoints para o CloudFormation, fique atento às seguintes considerações:

  • Usando o recurso de VPC endpoint, conceda acesso a buckets do S3 específicos do CloudFormation para recursos em uma VPC que devem responder a uma solicitação de recurso personalizada ou uma condição de espera.

    Caso use o CloudFormation para criar recursos em uma VPC com um VPC endpoint, talvez você possa precisar modificar a política de endpoint do IAM, de maneira que ele permita o acesso a determinados buckets do S3.

    O CloudFormation tem buckets do S3 em cada região para monitorar respostas a uma solicitação de recurso personalizado ou a uma condição de espera. Caso um modelo inclua recursos personalizados ou condições de espera em uma VPC, a política de endpoint da VPC deve permitir que usuários enviem respostas para os seguintes buckets:

    • Para recursos personalizados, permita o tráfego para o bucket cloudformation-custom-resource-response-region. Ao usar recursos personalizados, os nomes de região não contêm traços. Por exemplo, uswest2.

    • Para condições de espera, permita o tráfego para o bucket cloudformation-waitcondition-region. Ao usar condições de espera, os nomes de região contêm traços. Por exemplo, us-west-2.

    Se a política de endpoint bloquear tráfego para esses buckets, o CloudFormation não receberá respostas, e a operação de pilha falhará. Por exemplo, se você tiver um recurso em uma VPC na região us-west-2 que deva responder a uma condição de espera, o recurso deverá poder enviar uma resposta para o bucket cloudformation-waitcondition-us-west-2.

    Para uma lista de regiões compatíveis com o CloudFormation, consulte a página Regiões e endpoints no Referência geral do Amazon Web Services.

  • Os endpoints VPC não oferecem suporte a solicitações entre regiões — certifique-se de criar seu endpoint na mesma região em que planeja emitir suas chamadas de API para o CloudFormation.

  • Os VPC endpoints comportam somente DNS fornecido pela Amazon por meio do Route 53. Se quiser usar seu próprio DNS, poderá usar o encaminhamento de DNS condicional. Para obter mais informações, consulte Conjuntos de opções de DHCP no Guia do usuário da Amazon VPC.

  • O grupo de segurança anexado ao VPC endpoint deve permitir conexões de entrada na porta 443 na sub-rede privada da VPC.

Criação do VPC endpoint para o AWS CloudFormation

Para criar o VPC endpoint para o serviço CloudFormation, use o procedimento Criar um endpoint de interface no Guia do usuário da Amazon VPC para criar os seguintes endpoints:

com.amazonaws.region.cloudformation

A região representa o identificador da região para uma região da AWS compatível com o CloudFormation, como us-east-2 para a região Leste dos EUA (Ohio).