AWS CloudFormation
用户指南 (API 版本 2010-05-15)

设置 AWS CloudFormation 的 VPC 终端节点

您可以将 AWS CloudFormation 配置为使用接口 VPC 终端节点以改善 VPC 的安全状况。接口终端节点由 PrivateLink 提供支持,您可以使用该技术通过私有 IP 地址私下访问 AWS CloudFormation API。PrivateLink 将 VPC 和 AWS CloudFormation 之间的所有网络流量限制在 Amazon 网络以内。而且,您无需 Internet 网关、NAT 设备或虚拟专用网关。

不要求您配置 PrivateLink,但推荐进行配置。有关 PrivateLink 和 VPC 终端节点的更多信息,请参阅通过 PrivateLink 访问 AWS 服务

开始前的准备工作

在为 AWS CloudFormation 配置 VPC 终端节点之前,请注意以下事项。

  • 在使用 VPC 终端节点功能时,请为 VPC 中必须响应自定义资源请求或等待条件的资源授予对 AWS CloudFormation 特定 S3 存储桶的访问权限。

    如果您使用 AWS CloudFormation 在带有 VPC 终端节点的 VPC 中创建资源,则可能需要修改 IAM 终端节点策略,以便允许访问特定的 S3 存储桶。

    AWS CloudFormation 在每个区域都有 S3 存储桶,以监视对自定义资源请求或等待条件的响应。如果模板在 VPC 中包含有自定义资源或等待条件,则 VPC 终端节点策略必须允许用户向以下存储桶发送响应:

    • 对于自定义资源,允许流量前往 cloudformation-custom-resource-response-region 存储桶。

    • 对于等待条件,允许流量前往 cloudformation-waitcondition-region 存储桶。

    如果终端节点策略阻止前往这些存储桶的流量,则 AWS CloudFormation 不会收到响应,堆栈操作将失败。例如,如果某个资源位于 us-west-2 区域的 VPC 中且必须响应等待条件,则此资源必须能够向 cloudformation-waitcondition-us-west-2 存储桶发送响应。

    有关 AWS CloudFormation 支持的区域的列表,请参阅 Amazon Web Services 一般参考 中的区域和终端节点页面。

  • 终端节点当前不支持跨区域请求;确保在计划向 AWS CloudFormation 发出 API 调用的同一区域中创建终端节点。

  • VPC 终端节点仅通过 Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南中的 DHCP 选项集

  • 附加到 VPC 终端节点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。

为 AWS CloudFormation 创建 VPC 终端节点

要为 AWS CloudFormation 服务创建 VPC 终端节点,请使用Amazon VPC 用户指南中的创建接口终端节点过程来创建以下终端节点。

com.amazonaws.region.cloudformation

region 表示 AWS CloudFormation 支持的 AWS 区域的区域标识符,例如,us-east-2 表示美国东部(俄亥俄)区域。