Tâches des fournisseurs d’API et des utilisateurs d’API pour les noms de domaine personnalisés pour les API privées - Amazon API Gateway
Tâches d’un fournisseur d’APITâches d’un utilisateur d’API

Tâches des fournisseurs d’API et des utilisateurs d’API pour les noms de domaine personnalisés pour les API privées

Lorsque vous créez un nom de domaine personnalisé privé, vous êtes un fournisseur d’API. Lorsque vous invoquez un nom de domaine personnalisé privé, vous êtes un utilisateur d’API. Vous pouvez utiliser un nom de domaine personnalisé privé de votre Compte AWS ou d’un autre Compte AWS.

La section suivante explique les tâches requises par le fournisseur d’API et l’utilisateur d’API pour utiliser un nom de domaine personnalisé privé. Si vous souhaitez invoquer un nom de domaine personnalisé privé de votre propre Compte AWS, vous êtes à la fois le fournisseur et l’utilisateur d’API. Si vous souhaitez invoquer un domaine personnalisé privé d’un autre Compte AWS, selon la relation de confiance établie entre le fournisseur d’API et l’utilisateur d’API dans AWS Organizations, AWS RAM peut effectuer certaines tâches à votre place.

Tâches d’un fournisseur d’API

Les fournisseurs d’API créent des API privées et les mappent à des noms de domaine personnalisés.

Les fournisseurs d’API gèrent deux politiques de ressources pour protéger leurs noms de domaine personnalisés privés. La première politique concerne le service execute-api et contrôle les points de terminaison de VPC qui peuvent invoquer votre nom de domaine personnalisé privé. Dans la configuration du nom de domaine personnalisé privé, elle est baptisée policy.

La deuxième politique concerne le service Amazon API Gateway Management et contrôle les points de terminaison de VPC d’autres comptes Comptes AWS qui peuvent former une association d’accès au nom de domaine avec votre nom de domaine personnalisé privé. Un point de terminaison de VPC doit former une association d’accès au nom de domaine avec un nom de domaine personnalisé privé pour l’invoquer. Dans la configuration du nom de domaine personnalisé privé, cette politique est baptisée managementPolicy. Vous pouvez utiliser AWS RAM ou API Gateway pour mettre à jour cette politique. Si vous ne prévoyez pas d’autoriser les points de terminaison de VPC d’autres Comptes AWS à invoquer votre nom de domaine personnalisé, ne modifiez pas la politique managementPolicy.

Si vous êtes un fournisseur d’API, vous devez :

  1. Créer une API privée.

  2. Mettre à jour la politique policy de votre API privée pour autoriser votre point de terminaison de VPC à accéder à votre API privée.

  3. Créer un nom de domaine personnalisé privé.

  4. Mettre à jour la politique policy de votre nom de domaine personnalisé privé pour autoriser votre point de terminaison de VPC à accéder à votre nom de domaine personnalisé privé.

  5. Créer un mappage du chemin de base ou une règle de routage pour envoyer le trafic de votre API privée vers votre nom de domaine personnalisé privé. Pour plus d’informations, consultez Envoi du trafic à vos API via votre nom de domaine personnalisé dans API Gateway.

Si vous souhaitez autoriser les utilisateurs d’API d’autres comptes Comptes AWS à accéder à votre nom de domaine personnalisé privé, procédez comme suit :

  1. Mettez à jour la politique managementPolicy de votre nom de domaine personnalisé privé pour autoriser les utilisateurs d’API d’autres comptes à associer les points de terminaison de leurs VPC à votre nom de domaine personnalisé privé. Pour ce faire, utilisez les méthodes suivantes :

    AWS RAM

    Avec AWS RAM, si le fournisseur d’API et l’utilisateur d’API font partie d’une même organisation utilisant AWS Organizations, le partage de ressources entre le fournisseur et l’utilisateur est automatiquement accepté. Dans le cas contraire, vous devez attendre que l’utilisateur d’API accepte le partage de ressources. Nous vous recommandons d’utiliser AWS RAM pour partager votre nom de domaine personnalisé privé.

    API Gateway

    Avec API Gateway, seule l’AWS CLI est prise en charge. Vous devez mettre à jour votre nom de domaine personnalisé privé à l’aide d’une opération de correctif et fournir votre propre document de politique pour la politique managementPolicy.

  2. Mettez à jour la politique policy de votre nom de domaine personnalisé privé et toutes les API privées qui y sont mappées pour autoriser l’accès au point de terminaison du VPC de l’utilisateur d’API.

Pour savoir comment fournir votre API à un autre Compte AWS, consultez Fournisseur d’API : partage de votre nom de domaine personnalisé privé à l’aide d’AWS RAM.

Tâches d’un utilisateur d’API

Les utilisateurs d’API associent les points de terminaison de leurs VPC à un nom de domaine ARN pour invoquer un nom de domaine personnalisé privé. Les utilisateurs d’API n’ont pas besoin de créer d’API API Gateway.

Si vous êtes un utilisateur d’API, procédez comme suit :

  1. Créez un point de terminaison de VPC avec le DNS privé activé dans Amazon VPC.

  2. (Facultatif, si AWS RAM est utilisé) Acceptez le partage de ressources du domaine personnalisé privé dans AWS RAM dans les 12 heures suivant le partage de ressources. Si vous et le fournisseur d’API appartenez à la même organisation, le partage des ressources est automatiquement accepté.

  3. Obtenez l’ARN du nom de domaine personnalisé privé. L’URL du nom de domaine personnalisé privé n’étant pas unique, vous allez utiliser l’ARN du nom de domaine personnalisé privé pour former l’association d’accès au nom de domaine entre votre point de terminaison de VPC et le nom de domaine personnalisé privé. Vous pouvez utiliser AWS RAM pour récupérer l’ARN du nom de domaine personnalisé privé.

  4. Associez l’ARN du nom de domaine personnalisé privé à votre point de terminaison de VPC dans API Gateway. Cette opération permet de créer une connexion sécurisée entre votre point de terminaison de VPC et le nom de domaine personnalisé privé. Le trafic ne quitte pas le réseau Amazon.

  5. Attendez que le fournisseur d’API autorise votre point de terminaison de VPC à accéder au nom de domaine personnalisé privé et à toutes les API privées mappées au nom de domaine personnalisé privé. Si vous êtes à la fois le fournisseur et l’utilisateur d’API, vous autorisez votre point de terminaison de VPC à invoquer l’accès.

  6. Créez une zone hébergée privée Route 53 et un enregistrement Route 53 pour résoudre le nom de domaine personnalisé privé dans Route 53.

Pour savoir comment utiliser une API d’un autre Compte AWS, consultez Utilisateur d’API : association de votre point de terminaison de VPC à un nom de domaine personnalisé privé partagé avec vous.