Tipos de configuraciones de recursos Puerta de enlace de recursos Nombres de dominio personalizados para los proveedores de recursos Nombres de dominio personalizados para los consumidores de recursos Nombres de dominio personalizados para los propietarios de la red de servicios Definición del recurso Protocolo Intervalos de puertos Acceso a recursos de Asociación con el tipo de red de servicio Tipos de redes de servicio Compartir configuraciones de recursos mediante AWS RAM Monitorización

Configuración de recursos para recursos de VPC

Una configuración de recursos representa un recurso o un grupo de recursos a los que desea que estén accesibles a los clientes de otras cuentas VPCs y cuentas. Al definir una configuración de recursos, puede permitir la conectividad de red unidireccional, segura y privada a los recursos de su VPC desde clientes de VPCs otras cuentas y. Una configuración de recursos está asociada a una puerta de enlace de recursos a través de la cual recibe el tráfico.

Contenido

Tipos de configuraciones de recursos
Puerta de enlace de recursos
Nombres de dominio personalizados para los proveedores de recursos
Nombres de dominio personalizados para los consumidores de recursos
Nombres de dominio personalizados para los propietarios de la red de servicios
Definición del recurso
Protocolo
Intervalos de puertos
Acceso a recursos de
Asociación con el tipo de red de servicio
Tipos de redes de servicio
Compartir configuraciones de recursos mediante AWS RAM
Monitorización
Crear una configuración de recursos
Gestión de asociaciones

Tipos de configuraciones de recursos

Una configuración de recursos puede ser de varios tipos. Los distintos tipos ayudan a representar distintos tipos de recursos. Los tipos son:

Configuración de un solo recurso: una dirección IP o un nombre de dominio. Se puede compartir de forma independiente.
Configuración de recursos de grupo: un conjunto de configuraciones de recursos secundarios. Se puede compartir de forma independiente.
Configuración de recursos de grupo: un miembro de una configuración de recursos de grupos. Representa una dirección IP o un nombre de dominio. No se puede compartir de forma independiente y solo se puede compartir como parte de un grupo. Se puede añadir y eliminar de un grupo sin problemas. Cuando se agrega, quienes pueden acceder al grupo tienen acceso automático a este.
Configuración de recursos del ARN: representa un tipo de recurso compatible aprovisionado por un servicio. AWS Por ejemplo, una base de datos Amazon RDS. AWS administra las configuraciones de recursos secundarios de manera automática.

Puerta de enlace de recursos

Una configuración de recursos está asociada a una puerta de enlace de recursos. Una puerta de enlace de recursos es un conjunto ENIs que sirve como punto de entrada a la VPC en la que se encuentra el recurso. Se pueden asociar varias configuraciones con la misma puerta de enlace de recursos. Cuando los clientes de otras VPCs cuentas acceden a un recurso de su VPC, el recurso ve el tráfico que proviene localmente de la puerta de enlace de recursos de esa VPC.

Nombres de dominio personalizados para los proveedores de recursos

Los proveedores de recursos pueden adjuntar un nombre de dominio personalizado a una configuración de recursos, por ejemploexample.com, qué recursos pueden usar los consumidores para acceder a la configuración de recursos. El nombre de dominio personalizado puede ser propiedad del proveedor de recursos y estar verificado por él, o puede ser un AWS dominio o un tercero. Los proveedores de recursos pueden usar las configuraciones de recursos para compartir clústeres de caché y clústeres de Kafka, aplicaciones basadas en TLS u otros AWS recursos.

Las siguientes consideraciones se aplican a los proveedores de configuraciones de recursos:

Una configuración de recursos solo puede tener un dominio personalizado.
El nombre de dominio personalizado de una configuración de recursos no se puede cambiar.
El nombre de dominio personalizado está visible para todos los consumidores de configuraciones de recursos.
Puedes verificar tu nombre de dominio personalizado mediante el proceso de verificación del nombre de dominio de VPC Lattice. Para obtener más información Para obtener más información, consulte. https://docs.aws.amazon.com/vpc-lattice/latest/ug/create-and-verify.html
Para las configuraciones de recursos de tipo grupo e hijo, primero debe especificar un dominio de grupo en la configuración de recursos del grupo. Después, las configuraciones de recursos secundarios pueden tener dominios personalizados que sean subdominios del dominio del grupo. Si el grupo no tiene un dominio de grupo, puedes usar cualquier nombre de dominio personalizado para el elemento secundario, pero VPC Lattice no aprovisionará ninguna zona alojada para los nombres de dominio secundarios en la VPC del consumidor de recursos.

Nombres de dominio personalizados para los consumidores de recursos

Cuando los consumidores de recursos habilitan la conectividad a una configuración de recursos que tiene un nombre de dominio personalizado, pueden permitir que VPC Lattice administre una zona alojada privada de Route 53 en su VPC. Los consumidores de recursos tienen opciones detalladas para los dominios en los que desean permitir que VPC Lattice administre las zonas alojadas privadas.

Los consumidores de recursos pueden establecer el private-dns-enabled parámetro al habilitar la conectividad con las configuraciones de recursos a través de un punto final de recursos, un punto final de red de servicio o una asociación de VPC de red de servicio. Junto con el private-dns-enabled parámetro, los consumidores pueden usar las opciones de DNS para especificar los dominios en los que quieren que VPC Lattice administre las zonas alojadas privadas. Los consumidores pueden elegir entre las siguientes preferencias de DNS privado:

ALL_DOMAINS: VPC Lattice proporciona zonas alojadas privadas para todos los nombres de dominio personalizados.
VERIFIED_DOMAINS_ONLY: VPC Lattice aprovisiona una zona alojada privada solo si el proveedor ha verificado el nombre de dominio personalizado.
VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS: VPC Lattice aprovisiona zonas alojadas privadas para todos los nombres de dominio personalizados verificados y otros nombres de dominio que especifique el consumidor de recursos. El consumidor de recursos especifica los nombres de dominio en el private DNS specified domains parámetro.
SPECIFIED_DOMAINS_ONLY: VPC Lattice proporciona una zona alojada privada para los nombres de dominio especificados por el consumidor de recursos. El consumidor de recursos especifica los nombres de dominio en el private DNS specified domains parámetro.

Al habilitar el DNS privado, VPC Lattice crea una zona alojada privada en la VPC para el nombre de dominio personalizado asociado a la configuración de recursos. De forma predeterminada, la preferencia de DNS privado está establecida en. VERIFIED_DOMAINS_ONLY Esto significa que las zonas alojadas privadas se crean solo si el proveedor de recursos ha verificado el nombre de dominio personalizado. Si estableces tu preferencia de DNS privado en ALL_DOMAINS oSPECIFIED_DOMAINS_ONLY, a continuación, VPC Lattice crea zonas alojadas privadas independientemente del estado de verificación del nombre de dominio personalizado. Cuando se crea una zona alojada privada para un dominio determinado, todo el tráfico a ese dominio desde la VPC se enruta a través de VPC Lattice. Le recomendamos que utilice las SPECIFIED_DOMAINS_ONLY preferencias ALL_DOMAINSVERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS, o solo cuando desee que el tráfico a estos nombres de dominio personalizados pase por VPC Lattice.

Recomendamos que los consumidores de recursos establezcan sus preferencias de DNS privado en. VERIFIED_DOMAINS_ONLY Esto permite a los consumidores reforzar su perímetro de seguridad al permitir que VPC Lattice solo aprovisione zonas alojadas privadas para dominios verificados en la cuenta del consumidor de recursos.

Para seleccionar dominios en los dominios especificados por el DNS privado, los consumidores de recursos pueden introducir un nombre de dominio completo, por ejemplo, my.example.com o utilizar un comodín como. *.example.com

Las siguientes consideraciones se aplican a los consumidores de configuraciones de recursos:

El parámetro de DNS privado habilitado no se puede cambiar.
El DNS privado debe estar habilitado en una asociación de recursos de red de servicio para que un alojamiento privado se cree en una VPC. Para una configuración de recursos, el estado habilitado para el DNS privado de la asociación de recursos de la red de servicio anula el estado habilitado para el DNS privado del punto final de la red de servicio o de la asociación de VPC de la red de servicio.

Nombres de dominio personalizados para los propietarios de la red de servicios

La propiedad habilitada para el DNS privado de la asociación de recursos de la red de servicio anula la propiedad habilitada para el DNS privado del punto final de la red de servicio y la asociación de VPC de la red de servicio.

Si el propietario de una red de servicios crea una asociación de recursos de red de servicios y no habilita el DNS privado, VPC Lattice no aprovisionará zonas alojadas privadas para esa configuración de recursos en ninguna zona a la VPCs que esté conectada la red de servicio, aunque el DNS privado esté habilitado en el punto final de la red de servicio o en las asociaciones de VPC de la red de servicio.

Para las configuraciones de recursos de tipo ARN, el indicador de DNS privado es verdadero e inmutable.

Definición del recurso

En la configuración del recurso, identifique el recurso de una de las siguientes formas:

Mediante un nombre de recurso de Amazon (ARN): los tipos de recursos admitidos que aprovisionan los AWS servicios se pueden identificar por su ARN. Solo se admiten las bases de datos de Amazon RDS. No se puede crear una configuración de recursos para un clúster de acceso público.
Por destino de nombre de dominio: cualquier nombre de dominio que se pueda resolver públicamente. Si el nombre de dominio apunta a una IP que está fuera de la VPC, debe tener una puerta de enlace NAT en la VPC.
Mediante una dirección IP: Para ello IPv4, especifique una IP privada de los siguientes rangos: 10.0.0.0/8, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16. Para IPv6, especifique una IP de la VPC. IPs No se admiten las públicas.

Protocolo

Al crear una configuración de recursos, puede definir los protocolos que admitirá el recurso. En la actualidad solo se admite el protocolo de TCP.

Intervalos de puertos

Al crear una configuración de recursos, se pueden definir los puertos en los que aceptará las solicitudes. No se permitirá el acceso del cliente a otros puertos.

Acceso a recursos de

Los consumidores pueden acceder a configuraciones de recursos directamente desde su VPC mediante un punto de conexión de VPC o a través de una red de servicio. Como consumidor, puede habilitar el acceso desde su VPC a una configuración de recursos que esté en su cuenta o que se haya compartido con usted desde otra cuenta a través de AWS RAM.

Acceder directamente a una configuración de recursos

Puede crear un punto de enlace de AWS PrivateLink VPC de tipo recurso (punto de enlace de recurso) en su VPC para acceder a una configuración de recursos de forma privada desde su VPC. Para obtener más información sobre cómo crear un punto de conexión de recursos, consulte Acceder a los recursos de VPC en la guía del usuario de AWS PrivateLink.
Acceso a una configuración de recursos a través de una red de servicios

Se puede asociar una configuración de recursos a una red de servicio y conectar su VPC a la red de servicio. Puede conectar la VPC a la red de servicio mediante una asociación o mediante un punto final de VPC de la AWS PrivateLink red de servicio.

Para obtener más información sobre las asociaciones de red de servicios, consulte Administrar las asociaciones para una red de servicios de VPC Lattice.

Para obtener más información sobre los puntos de conexión de VPC de la red de servicio, consulte Acceder a las redes de servicio en la guía del usuario de AWS PrivateLink .

Cuando el DNS privado está habilitado para la VPC, no se puede crear un punto de conexión de recursos y un punto de conexión de red de servicios para la misma configuración de recursos.

Asociación con el tipo de red de servicio

Al compartir una configuración de recursos con una cuenta de consumidor, por ejemplo, la cuenta B, la cuenta B puede acceder a la configuración de recursos directamente a través AWS RAM de un punto final de VPC de recursos o a través de una red de servicios.

Para acceder a una configuración de recursos a través de una red de servicios, la cuenta B tendría que asociar la configuración de recursos a una red de servicios. Las redes de servicios se pueden compartir entre cuentas. Por lo tanto, la cuenta B puede compartir su red de servicios (a la que está asociada la configuración de recursos) con la cuenta C, lo que permite acceder al recurso desde la cuenta C.

Para evitar este uso compartido transitivo, se puede especificar que la configuración de recursos no se pueda agregar a las redes de servicios que se puedan compartir entre cuentas. Si se especifica esto, la cuenta B no podrá agregar su configuración de recursos a las redes de servicios que se comparten o se pueden compartir con otra cuenta en el futuro.

Tipos de redes de servicio

Cuando compartes una configuración de recursos con otra cuenta, por ejemplo, la Cuenta B AWS RAM, la Cuenta B puede acceder al recurso de una de estas tres maneras:

Uso de un punto de conexión de VPC de tipo recurso (punto de conexión de VPC de recurso).
Uso de un punto de conexión de VPC de tipo red de servicios (punto de conexión de VPC de red de servicio).
Uso de una asociación de VPC de red de servicio.

Cuando utilizas una asociación de red de servicio, a cada recurso se le asigna una IP por subred del bloque 129.224.0.0/17, que es propia y no se puede enrutar. AWS Esto se suma a la lista de prefijos administrados que VPC Lattice usa para enrutar el tráfico a los servicios a través de la red VPC Lattice. Ambos IPs se actualizan en la tabla de enrutamiento de la VPC.

Para el punto de conexión de VPC de la red de servicio y la asociación de VPC de la red de servicio, la configuración de recursos tendría que colocarse en una red de servicio en la cuenta B. Las redes de servicio se pueden compartir entre cuentas. Por lo tanto, la cuenta B puede compartir su red de servicios (que contiene la configuración de recursos) con la cuenta C, lo que permite acceder al recurso desde la cuenta C. Para evitar que se comparta de forma transitiva, se puede impedir que su configuración de recursos se agregue a las redes de servicio que se pueden compartir entre cuentas. Si no se permite, la cuenta B no podrá agregar su configuración de recursos a una red de servicios que esté compartida o que pueda compartirse con otra cuenta.

Las configuraciones de recursos están integradas con AWS Resource Access Manager. También se puede compartir la configuración con otra cuenta mediante AWS RAM. Cuando compartes una configuración de recursos con una AWS cuenta, los clientes de esa cuenta pueden acceder al recurso de forma privada. Puede compartir una configuración de recursos, con un recurso compartido en AWS RAM.

Utilice la AWS RAM consola para ver los recursos compartidos a los que se le ha agregado, los recursos compartidos a los que puede acceder y las AWS cuentas que han compartido recursos con usted. Para obtener más información, consulte Recursos compartidos con usted en la Guía del usuario de AWS RAM .

Para acceder a un recurso desde otra VPC de la misma cuenta que la configuración de recursos, no es necesario compartir la configuración de recursos a través de ella. AWS RAM

Monitorización

Se pueden habilitar los registros de supervisión en la configuración de sus recursos. Se puede elegir un destino al que enviar los registros.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de puntos de conexión de recursos

Crear una configuración de recursos