Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Consideraciones del proveedor para las conexiones entre cuentas en EventBridge
Para crear una conexión a una API privada en otra AWS cuenta, el propietario de esa cuenta debe compartir contigo una configuración de recursos de VPC Lattice para la API privada. Una configuración de recursos es un objeto lógico que identifica la API y especifica quién puede acceder a ella y cómo. La cuenta del proveedor (es decir, la cuenta que comparte la configuración de recursos de VPC Lattice para la API privada con otra cuenta) comparte la configuración de recursos de VPC Lattice mediante AWS RAM.
Si su cuenta es el proveedor de una configuración de recursos de VPC Lattice, tenga en cuenta lo siguiente:
Política de recursos para configuraciones de recursos para cuentas múltiples privadas APIs
De forma predeterminada, la creación de un AWS RAM recurso compartido incluye la política de uso compartido necesaria,AWSRAMPermissionVpcLatticeResourceConfiguration. Si crea una política de permisos administrada por el cliente, debe incluir los permisos necesarios.
El siguiente ejemplo de política proporciona los permisos mínimos necesarios EventBridge para crear la asociación de recursos necesaria para una conexión a una API privada.
vpc-lattice:GetResourceConfigurationpermite EventBridge recuperar la configuración de recursos de Amazon VPC Lattice que especifique.vpc-lattice:CreateServiceNetworkResourceAssociationpermite EventBridge crear la asociación de recursos a partir de la configuración de recursos de VPC Lattice que especifique.vpc-lattice:AssociateViaAWSService-EventsAndStatespermite EventBridge crear una asociación de recursos a una red de servicios de VPC Lattice propiedad del servicio.
{ "Effect": "Allow", "Action": [ "vpc-lattice:CreateServiceNetworkResourceAssociation", "vpc-lattice:GetResourceConfiguration", "vpc-lattice:AssociateViaAWSService-EventsAndStates" ] }
Para obtener más información, consulte Administración de permisos en AWS RAM en la Guía del usuario de AWS Resource Access Manager .
Supervisión por parte del proveedor de la creación de conexiones
Cuando otra cuenta crea una EventBridge conexión mediante una configuración de recursos de VPC Lattice que haya compartido, AWS CloudTrail registra un evento. CreateServiceNetworkResourceAssociationBySharee Para obtener más información, consulte Supervisión de la creación de conexiones.
Configuración de grupos de seguridad para acceder a la red privada APIs
Con VPC Lattice, puede crear y asignar grupos de seguridad para forzar la aplicación de protecciones de seguridad adicionales en la red para su API de destino y la puerta de enlace de recursos. Para EventBridge que Step Functions pueda acceder correctamente a su API privada, los grupos de seguridad de la API de destino y la puerta de enlace de recursos deben estar configurados correctamente. Si no se configuran correctamente, los servicios mostrarán el error «Connection Timed Out» al intentar llamar a la API.
En el caso de la API de destino, su grupo de seguridad debe estar configurado para permitir todo el tráfico TCP entrante en el puerto 443 procedente del grupo de seguridad para la puerta de enlace de recursos.
En el caso de la puerta de enlace de recursos, el grupo de seguridad debe estar configurado para permitir lo siguiente:
Todo el tráfico IPv6 TCP entrante en todos los puertos del rango CIDR: :/0 IPv6 .
Todo el tráfico IPv4 TCP entrante en todos los puertos del rango CIDR 0.0.0.0/0. IPv6
Todo el tráfico TCP saliente del puerto 443 al grupo de seguridad utilizado por el recurso de destino, para el protocolo IP que acepte la API de destino (o). IPv4 IPv6
Para obtener más información, consulte los siguientes temas en la Guía del usuario de Amazon VPC Lattice.
