Amazon ECS Service Connect avec espaces de noms AWS Cloud Map partagés
Amazon ECS Service Connect prend en charge l’utilisation d’espaces de noms AWS Cloud Map partagés entre plusieurs Comptes AWS au sein d’une même Région AWS. Cette fonctionnalité vous permet de créer des applications distribuées dans lesquelles des services exécutés dans différents Comptes AWS peuvent se détecter et communiquer entre eux via Service Connect. Les espaces de noms partagés sont gérés à l’aide d’AWS Resource Access Manager (AWS RAM), qui permet un partage sécurisé des ressources entre comptes. Pour plus d’informations sur les espaces de noms partagés, consultez la section Partage d’espaces de noms AWS Cloud Map entre comptes dans le Guide du développeur AWS Cloud Map.
Important
Vous devez utiliser l’autorisation gérée AWSRAMPermissionCloudMapECSFullPermission pour partager l’espace de noms afin que Service Connect fonctionne correctement avec l’espace de noms.
Lorsque vous utilisez des espaces de noms AWS Cloud Map partagés avec Service Connect, les services de plusieurs Comptes AWS peuvent participer au même espace de noms de service. Cela est particulièrement utile pour les organisations disposant de plusieurs Comptes AWS qui doivent maintenir la communication entre les services au-delà des limites des comptes tout en préservant la sécurité et l’isolation.
Note
Pour communiquer avec des services situés dans différents VPC, vous devez configurer la connectivité entre VPC. Cela peut être réalisé à l’aide d’une connexion d’appairage de VPC. Pour plus d’informations, consultez la section Création ou suppression d’une connexion d’appairage de VPC dans le Guide d’appairage de VPC Amazon Virtual Private Cloud.
Considérations
Tenez compte des éléments suivants lorsque vous utilisez des espaces de noms AWS Cloud Map partagés avec Service Connect :
-
AWS RAM doit être disponible dans l’Région AWS où vous souhaitez utiliser l’espace de noms partagé.
-
L’espace de noms doit se trouver dans la même Région AWS que les services et clusters Amazon ECS.
-
Vous devez utiliser l’ARN de l’espace de noms, et non l’ID, lorsque vous configurez Service Connect avec un espace de noms partagé.
-
Tous les types d’espaces de noms sont pris en charge : espaces de noms HTTP, DNS privé et DNS public.
-
Si l’accès à un espace de noms partagé est révoqué, les opérations Amazon ECS qui nécessitent une interaction avec l’espace de noms (telles que
CreateService,UpdateServiceetListServicesByNamespace) échoueront. Pour plus d’informations sur la résolution des problèmes d’autorisation liés aux espaces de noms partagés, consultez la section Résolution des problèmes liés à Amazon ECS Service Connect avec des espaces de noms AWS Cloud Map partagés. -
Pour la découverte de service à l’aide de requêtes DNS dans un espace de noms DNS privé partagé :
-
Le propriétaire de l’espace de noms devra appeler
create-vpc-association-authorizationavec l’ID de la zone hébergée privée associée à l’espace de noms et le VPC du consommateur.aws route53 create-vpc-association-authorization --hosted-zone-idZ1234567890ABC--vpc VPCRegion=us-east-1,VPCId=vpc-12345678 -
Le consommateur de l’espace de noms devra appeler
associate-vpc-with-hosted-zoneavec l’ID de la zone hébergée privée.aws route53 associate-vpc-with-hosted-zone --hosted-zone-idZ1234567890ABC--vpc VPCRegion=us-east-1,VPCId=vpc-12345678
-
-
Seul le propriétaire de l’espace de noms peut gérer le partage des ressources.
-
Les consommateurs de l’espace de noms peuvent créer et gérer des services au sein de l’espace de noms partagé, mais ne peuvent pas modifier l’espace de noms lui-même.
-
Les noms de découverte doivent être uniques dans l’espace de noms partagé, quel que soit le compte qui crée le service.
-
Les services dans l’espace de noms partagé peuvent découvrir et se connecter à des services provenant d’autres comptes AWS qui ont accès à l’espace de noms.
-
Lorsque vous activez TLS pour Service Connect et utilisez un espace de noms partagé, l’autorité de certification (CA) AWS Private CA est limitée à l’espace de noms. Lorsque l’accès à l’espace de noms partagé est révoqué, l’accès à l’autorité de certification est interrompu.
