Amazon CloudFormation 和接口 VPC 端点 (Amazon PrivateLink) - Amazon CloudFormation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon CloudFormation 和接口 VPC 端点 (Amazon PrivateLink)

您可以通过创建接口 VPC 端点在 VPC 和 Amazon CloudFormation 之间建立私有连接。接口端点由 Amazon PrivateLink 提供支持,该技术支持您通过私密方式访问 CloudFormation API,而无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例即使没有公有 IP 地址也可与 CloudFormation API 进行通信。您的 VPC 和 CloudFormation 之间的流量不会脱离 Amazon 网络。

每个接口终端节点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅 Amazon VPC 用户指南 中的接口 VPC 端点 (Amazon PrivateLink)

CloudFormation VPC 端点的注意事项

请务必先查看《Amazon VPC 用户指南》中的接口端点属性和限制,然后再为 CloudFormation 设置接口 VPC 端点。

CloudFormation 支持从 VPC 调用它的所有 API 操作。

为 CloudFormation 创建接口 VPC 端点

您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface(Amazon CLI)为 CloudFormation 服务创建 VPC 端点。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建接口端点

使用以下服务名称为 CloudFormation 创建 VPC 端点:

  • com.amazonaws.region.cloudformation

如果为端点启用私有 DNS,则可以使用其默认 DNS 名称作为区域,向 CloudFormation 发送 API 请求,例如 cloudformation.us-east-1.amazonaws.com

有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务

为 CloudFormation 创建 VPC 端点策略

您可以为 VPC 端点附加控制对 CloudFormation 的访问的端点策略。该策略指定以下信息:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 端点控制对服务的访问

示例:CloudFormation 操作的 VPC 端点策略

下面是用于 CloudFormation 的端点策略示例。当附加到端点时,此策略会向所有资源上的所有主体授予对列出的 CloudFormation 操作的访问权限。以下示例拒绝所有用户通过 VPC 端点创建堆栈的权限,并允许对 CloudFormation 服务上的所有其他操作进行完全访问。

{ "Statement": [ { "Action": "cloudformation:*", "Effect": "Allow", "Principal": "*", "Resource": "*" }, { "Action": "cloudformation:CreateStack", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }

另请参阅