设置 Amazon CloudFormation 的 VPC 端点
您可以将 Amazon CloudFormation 配置为使用接口 VPC 端点以改善 VPC 的安全状况。接口端点由 PrivateLink 提供支持,您可以使用该技术通过私有 IP 地址私下访问 CloudFormation API。PrivateLink 将 VPC 和 CloudFormation 之间的所有网络流量限制在 Amazon 网络以内。而且,您无需 Internet 网关、NAT 设备或虚拟专用网关。
不要求您配置 PrivateLink,但推荐进行配置。有关 PrivateLink 和 VPC 端点的更多信息,请参阅通过 PrivateLink 访问 Amazon 服务。
开始前的准备工作
在为 CloudFormation 配置 VPC 端点之前,请注意以下事项:
-
在使用 VPC 端点功能时,请为 VPC 中必须响应自定义资源请求或等待条件的资源授予对 CloudFormation 特定 S3 存储桶的访问权限。
如果您使用 CloudFormation 在带有 VPC 端点的 VPC 中创建资源,则可能需要修改 IAM 端点策略,以便允许访问特定的 S3 存储桶。
CloudFormation 在每个区域都有 S3 存储桶,以监视对自定义资源请求或等待条件的响应。如果模板在 VPC 中包含有自定义资源或等待条件,则 VPC 端点策略必须允许用户向以下存储桶发送响应:
-
对于自定义资源,允许流量前往
cloudformation-custom-resource-response-
存储桶。使用自定义资源时,区域名称不包含破折号。例如,region
uswest2
。 -
对于等待条件,允许流量前往
cloudformation-waitcondition-
存储桶。使用等待条件时,区域名称需要包含破折号。例如,region
us-west-2
。
如果端点策略阻止前往这些存储桶的流量,则 CloudFormation 不会收到响应,堆栈操作将失败。例如,如果某个资源位于
us-west-2
区域的 VPC 中且必须响应等待条件,则此资源必须能够向cloudformation-waitcondition-us-west-2
存储桶发送响应。有关 CloudFormation 支持的区域的列表,请参阅 Amazon Web Services 一般参考 中的 Regions and endpoints 页面。
-
-
VPC 端点当前不支持跨区域请求 - 确保在计划向 CloudFormation 发出 API 调用的同一区域中创建端点。
-
VPC 端点仅支持 Amazon 通过 Route 53 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南 中的 DHCP 选项集。
-
附加到 VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。
为 Amazon CloudFormation 创建 VPC 端点
要为 CloudFormation 服务创建 VPC 端点,请使用 Amazon VPC 用户指南 中的创建接口端点过程来创建以下端点:
com.amazonaws.region
.cloudformation
region
表示 CloudFormation 支持的 Amazon Web Services 区域 的区域标识符,例如 us-east-2
表示美国东部(俄亥俄州)区域。