设置 AWS CloudFormation 的 VPC 端点 - AWS CloudFormation
开始前的准备工作为 AWS CloudFormation 创建 VPC 端点

设置 AWS CloudFormation 的 VPC 端点

您可以将 AWS CloudFormation 配置为使用接口 VPC 端点以改善 VPC 的安全状况。接口端点由 PrivateLink 提供支持,您可以使用该技术通过私有 IP 地址私下访问 CloudFormation API。PrivateLink 将 VPC 和 CloudFormation 之间的所有网络流量限制在 Amazon 网络以内。而且,您无需 Internet 网关、NAT 设备或虚拟专用网关。

不要求您配置 PrivateLink,但推荐进行配置。有关 PrivateLink 和 VPC 端点的更多信息,请参阅通过 PrivateLink 访问 AWS 服务

开始前的准备工作

在为 CloudFormation 配置 VPC 端点之前,请注意以下事项:

  • 在使用 VPC 端点功能时,请为 VPC 中必须响应自定义资源请求或等待条件的资源授予对 CloudFormation 特定 S3 存储桶的访问权限。

    如果您使用 CloudFormation 在带有 VPC 端点的 VPC 中创建资源,则可能需要修改 IAM 端点策略,以便允许访问特定的 S3 存储桶。

    CloudFormation 在每个区域都有 S3 存储桶,以监视对自定义资源请求或等待条件的响应。如果模板在 VPC 中包含有自定义资源或等待条件,则 VPC 端点策略必须允许用户向以下存储桶发送响应:

    • 对于自定义资源,允许流量前往 cloudformation-custom-resource-response-region 存储桶。使用自定义资源时,区域名称不包含破折号。例如,uswest2

    • 对于等待条件,允许流量前往 cloudformation-waitcondition-region 存储桶。使用等待条件时,区域名称需要包含破折号。例如,us-west-2

    如果端点策略阻止前往这些存储桶的流量,则 CloudFormation 不会收到响应,堆栈操作将失败。例如,如果某个资源位于 us-west-2 区域的 VPC 中且必须响应等待条件,则此资源必须能够向 cloudformation-waitcondition-us-west-2 存储桶发送响应。

    有关 CloudFormation 支持的区域的列表,请参阅 Amazon Web Services 一般参考 中的 Regions and endpoints 页面。

  • VPC 端点当前不支持跨区域请求 - 确保在计划向 CloudFormation 发出 API 调用的同一区域中创建端点。

  • VPC 端点仅支持 Amazon 通过 Route 53 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南 中的 DHCP 选项集

  • 附加到 VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。

为 AWS CloudFormation 创建 VPC 端点

要为 CloudFormation 服务创建 VPC 端点,请使用 Amazon VPC 用户指南 中的创建接口端点过程来创建以下端点:

com.amazonaws.region.cloudformation

region 表示 CloudFormation 支持的 AWS 区域 的区域标识符,例如 us-east-2 表示美国东部(俄亥俄州)区域。