ヤマムギ

growing hard days.

*

cfn-signalの認証とネットワーク

   

AWS CloudFormationヘルパースクリプトのcfn-signalがCloudFormationへシグナルを送信する際の、認証とネットワークについてご質問がありましたので調べてみました。

結論

  • 認証は必要ありません。
  • CloudFormationのAPIエンドポイントへ到達できるネットワークが必要です。
    プライベートサブネットのEC2インスタンスからは、NAT Gateway→Internet Gatewayか、CloudFormationのVPCエンドポイントが必要です。

cfn-signalのユーザーガイドにも「cfn-signal は認証情報を必要としない」と記載があるのですが、一応試してみました。

検証した構成

テンプレート

共通のテンプレートを使用し、スタック作成時に指定するサブネットをパブリックサブネットとプライベートサブネットで分けました。
オートスケーリンググループのCreationPolicyでシグナルを1つ待っています。
EC2インスタンスのユーザーデータでcfn-signalを実行しています。
EC2インスタンスにはIAMロールを設定していませんので、認証情報は与えていません。

結果

パブリックサブネットを指定して作成したスタックは無事作成が完了しました。

プライベートサブネットを指定して作成したスタックは、タイムアウト10分後に次のエラーでオートスケーリンググループの作成がCREATE_FAILEDになりロールバックしました。
Received 0 SUCCESS signal(s) out of 1. Unable to satisfy 100% MinSuccessfulInstancesPercent requirement

結局のところ認証は?

CloudTrailで該当のログを見てみました。

  • eventname: SignalResource
  • sourceipaddress: EC2のパブリックIPアドレス
  • useragent: CfnTools/2.0-30 (Linux-6.1.97-104.177.amzn2023.x86_64-x86_64-with-glibc2.34) python/3.9.16
  • userIdentity: {type=Unknown, principalid=, arn=null, accountid=123456789012, invokedby=null, accesskeyid=null, username=, sessioncontext=null}
  • {“stackName”:”PublicTest”,”logicalResourceId”:”WebServerGroup”,”uniqueId”:”i-059e89e7746dd04c7″,”status”:”SUCCESS”}

アカウントは指定していますが、匿名ユーザーとしてSignalResourceアクションを許可しているようですね。


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS ,

ad

ad

  関連記事

DynamoDB IAMポリシーで特定属性だけを許可する

検証記録です。 対象テーブル 書籍のサンプルで作ったこちらです。 所属バンドの楽 …

新しいVPCウィザード(2022年)がすんごく便利になってました

VPCウィザードがすんごく便利になってました。 ウィザードの左ペインで設定を選択 …

AWS Summit Tokyo 2017 聴講したセッションのメモ

2017年6月に参加しましたAWS Summitで聴講したセッションのメモを記し …

Pepperで撮影した写真をAmazon Rekognitionで分析してその結果をPepperがしゃべる ~(1)AWS編~

Pepperの機能を使えるところは使って、何かしたいなあと思ってまして。 目(カ …

Amazon S3オブジェクトロック

S3のオブジェクトロックを確認しました。 オブジェクトロックの有効化 現在、既存 …

TwilioからのリクエストをAPI Gateway+LambdaでTwimlを返して処理する

Twilioで着信した時のリクエスト先としてTwimlをWebサーバやS3で用意 …

EC2 Global Viewで不要なインスタンスを見つけて4つほど終了しました

EC2 Global Viewという機能がリリースされました。 EC2コンソール …

ヤマムギvol.23 Amazon RDS for MySQLとAmazon Aurora Serverlessの起動のデモをしました

ゴールデンウィーク毎朝デモ勉強会は終わったのですが、土曜日にやれるときがあれば、 …

Lucidchart AWSアカウントからインポート機能で自動作図

SNSでLucidchartというサービスが話題になってました。 AWSの環境を …

AWS Cloud9でJavaサンプルを実行する

リモートで共有開発ができるCloud9便利ですね。 Cloud9でJavaのサン …