Considerações sobre endpoints de VPC do CloudFormation Criar um endpoint de VPC de interface para o CloudFormation Criar uma política de endpoint de VPC para o CloudFormation

Acessar o CloudFormation usando um endpoint de interface (AWS PrivateLink)

Você pode usar o AWS PrivateLink para criar uma conexão privada entre a VPC e o .CloudFormation. Você pode acessar o CloudFormation como se ele estivesse em sua VPC, sem usar um gateway da internet, um dispositivo NAT, uma conexão VPN ou conexão do AWS Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para acessar o CloudFormation.

Você estabelece essa conectividade privada criando um endpoint de interface, desenvolvido pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao CloudFormation.

O CloudFormation permite fazer chamadas para todas as suas ações de API pelo endpoint de interface.

Considerações sobre endpoints de VPC do CloudFormation

Antes de configurar um endpoint de interface, verifique se você atendeu aos pré-requisitos no tópico Access an AWS service using an interface VPC endpoint no AWS PrivateLink Guide.

Os seguintes pré-requisitos e considerações adicionais se aplicam ao configurar um endpoint de interface para o CloudFormation:

Se você tiver recursos na VPC que devam responder a uma solicitação de recurso personalizado ou a uma condição de espera, certifique-se de que eles tenham acesso aos buckets do Amazon S3 específicos do CloudFormation. O CloudFormation tem buckets do S3 em cada região para monitorar respostas a uma solicitação de recurso personalizado ou a uma condição de espera. Caso um modelo inclua recursos personalizados ou condições de espera em uma VPC, a política de endpoint da VPC deve permitir que usuários enviem respostas para os seguintes buckets:
- Para recursos personalizados, permita o tráfego para o bucket cloudformation-custom-resource-response-region. Ao usar recursos personalizados, os nomes de Região da AWS não contêm traços. Por exemplo, uswest2.
- Para condições de espera, permita o tráfego para o bucket cloudformation-waitcondition-region. Ao usar condições de espera, os nomes de Região da AWS contêm traços. Por exemplo, us-west-2.
Se a política de endpoint bloquear tráfego para esses buckets, o CloudFormation não receberá respostas, e a operação de pilha falhará. Por exemplo, se você tiver um recurso em uma VPC na região us-west-2 que deva responder a uma condição de espera, o recurso deverá poder enviar uma resposta para o bucket cloudformation-waitcondition-us-west-2.

Para obter uma lista de todas as Regiões da AWS em que o CloudFormation está disponível atualmente, consulte a página AWS CloudFormation endpoints and quotas na Referência geral da Amazon Web Services.
No momento, os VPC endpoints não são compatíveis com solicitações entre regiões: crie o endpoint na mesma região em que planeja emitir suas chamadas de API para o CloudFormation.
Endpoints de VPC oferecem suporte somente a DNS fornecido pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, poderá usar o encaminhamento de DNS condicional. Para obter mais informações, consulte Conjuntos de opções DHCP no Amazon VPC no Manual do usuário da Amazon VPC.
O grupo de segurança anexado ao endpoint da VPC deve permitir conexões de entrada na porta 443 na sub-rede privada da VPC.

Criar um endpoint de VPC de interface para o CloudFormation

É possível criar um endpoint da VPC para o CloudFormation usando o console da Amazon VPC ou a AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Create a VPC endpoint (Criar um endpoint da VPC) no Guia do AWS PrivateLink.

Crie um endpoint de interface da VPC para o CloudFormation usando o seguinte nome de serviço:

com.amazonaws.region.cloudformation

Se você habilitar o DNS privado para o endpoint de interface, poderá fazer solicitações de API ao CloudFormation usando seu nome DNS regional padrão. Por exemplo, cloudformation.us-east-1.amazonaws.com.

Criar uma política de endpoint de VPC para o CloudFormation

Política de endpoint é um recurso do IAM que você pode anexar ao endpoint de interface. A política de endpoint padrão permite total acesso ao CloudFormation pelo endpoint de interface. Para controlar o acesso permitido ao CloudFormation a partir da VPC, anexe uma política de endpoint personalizada ao endpoint de interface.

Uma política de endpoint especifica as seguintes informações:

As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).
As ações que podem ser executadas.
Os recursos nos quais as ações podem ser executadas.

Para obter mais informações, consulte Controlar o acesso aos endpoints da VPC usando políticas de endpoint no Guia AWS PrivateLink.

Exemplo: política de endpoint de VPC para ações do CloudFormation

Veja a seguir um exemplo de uma política de endpoints do CloudFormation. Quando anexada a um endpoint, essa política concede acesso às ações indicadas do CloudFormation para todas as entidades principais em todos os recursos. O exemplo a seguir nega a todos os usuários a permissão para criar pilhas por meio do endpoint de VPC e permite acesso total a todas as outras ações no serviço CloudFormation.


{
  "Statement": [
    {
      "Action": "cloudformation:*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateStack", 
      "Effect": "Deny", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Práticas recomendadas de segurança

Solução de problemas