cfn-signalの認証とネットワーク

AWS CloudFormationヘルパースクリプトのcfn-signalがCloudFormationへシグナルを送信する際の、認証とネットワークについてご質問がありましたので調べてみました。

結論

• 認証は必要ありません。
• CloudFormationのAPIエンドポイントへ到達できるネットワークが必要です。
  プライベートサブネットのEC2インスタンスからは、NAT Gateway→Internet Gatewayか、CloudFormationのVPCエンドポイントが必要です。

cfn-signalのユーザーガイドにも「cfn-signal は認証情報を必要としない」と記載があるのですが、一応試してみました。

検証した構成

テンプレート

共通のテンプレートを使用し、スタック作成時に指定するサブネットをパブリックサブネットとプライベートサブネットで分けました。
オートスケーリンググループのCreationPolicyでシグナルを1つ待っています。
EC2インスタンスのユーザーデータでcfn-signalを実行しています。
EC2インスタンスにはIAMロールを設定していませんので、認証情報は与えていません。

結果

パブリックサブネットを指定して作成したスタックは無事作成が完了しました。

プライベートサブネットを指定して作成したスタックは、タイムアウト10分後に次のエラーでオートスケーリンググループの作成がCREATE_FAILEDになりロールバックしました。
Received 0 SUCCESS signal(s) out of 1. Unable to satisfy 100% MinSuccessfulInstancesPercent requirement

結局のところ認証は？

CloudTrailで該当のログを見てみました。

• eventname: SignalResource
• sourceipaddress: EC2のパブリックIPアドレス
• useragent: CfnTools/2.0-30 (Linux-6.1.97-104.177.amzn2023.x86_64-x86_64-with-glibc2.34) python/3.9.16
• userIdentity: {type=Unknown, principalid=, arn=null, accountid=123456789012, invokedby=null, accesskeyid=null, username=, sessioncontext=null}
• {“stackName”:”PublicTest”,”logicalResourceId”:”WebServerGroup”,”uniqueId”:”i-059e89e7746dd04c7″,”status”:”SUCCESS”}

アカウントは指定していますが、匿名ユーザーとしてSignalResourceアクションを許可しているようですね。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト ［DVA-C02対応］ 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。