设置 Amazon CloudFormation 的 VPC 终端节点 - Amazon CloudFormation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

设置 Amazon CloudFormation 的 VPC 终端节点

您可以将 Amazon CloudFormation 配置为使用接口 VPC 终端节点以改善 VPC 的安全状况。接口终端节点由 PrivateLink 提供支持,您可以使用该技术通过私有 IP 地址私下访问 CloudFormation API。PrivateLink 将 VPC 和 CloudFormation 之间的所有网络流量限制在 Amazon 网络以内。而且,您无需 Internet 网关、NAT 设备或虚拟专用网关。

不要求您配置 PrivateLink,但推荐进行配置。有关 PrivateLink 和 VPC 终端节点的更多信息,请参阅 通过 PrivateLink 访问Amazon服务

开始前的准备工作

在为 CloudFormation 配置 VPC 终端节点之前,请注意以下事项:

  • 在使用 VPC 端点功能时,请为 VPC 中必须响应自定义资源请求或等待条件的资源授予对 CloudFormation 特定 S3 存储桶的访问权限。

    如果您使用 CloudFormation 在带有 VPC 端点的 VPC 中创建资源,则可能需要修改 IAM 端点策略,以便允许访问特定的 S3 存储桶。

    CloudFormation 在每个区域都有 S3 存储桶,以监视对自定义资源请求或等待条件的响应。如果模板在 VPC 中包含有自定义资源或等待条件,则 VPC 终端节点策略必须允许用户向以下存储桶发送响应:

    • 对于自定义资源,允许流量前往 cloudformation-custom-resource-response-region 存储桶。使用自定义资源时,区域名称不包含破折号。例如:uswest2

    • 对于等待条件,允许流量前往 cloudformation-waitcondition-region 存储桶。使用等待条件时,区域名称需要包含破折号。例如:us-west-2

    如果端点策略阻止前往这些存储桶的流量,则 CloudFormation 不会收到响应,堆栈操作将失败。例如,如果某个资源位于 us-west-2 区域的 VPC 中且必须响应等待条件,则此资源必须能够向 cloudformation-waitcondition-us-west-2 存储桶发送响应。

    有关 CloudFormation 支持的区域的列表,请参阅 Amazon Web Services 一般参考 中的区域和终端节点页面。

  • VPC 终端节点当前不支持跨区域请求;— 确保在计划向 CloudFormation 发出 API 调用的同一区域中创建终端节点。

  • VPC 终端节点仅通过 Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南 中的 DHCP 选项集

  • 附加到 VPC 终端节点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。

为 Amazon CloudFormation 创建 VPC 终端节点

要为 CloudFormation 服务创建 VPC 终端节点,请使用 Amazon VPC 用户指南 中的创建接口终端节点过程来创建以下终端节点:

com.amazonaws.region.cloudformation

region 表示 CloudFormation 支持的 Amazon 区域的区域标识符,例如美国东部(俄亥俄)区域的 us-east-2