Configurations de ressources pour les ressources d’un VPC - Amazon VPC Lattice
Types de configurations de ressources ProtocolePasserelle de ressourcesNoms de domaine personnalisés pour les fournisseurs de ressourcesNoms de domaine personnalisés pour les consommateurs de ressourcesNoms de domaine personnalisés pour les propriétaires de réseaux de servicesDéfinition de la ressourceGammes de portsAccès aux ressources Association avec le type de réseau de serviceTypes de réseaux de servicesPartage de configurations de ressources via AWS RAMContrôle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurations de ressources pour les ressources d’un VPC

Une configuration de ressources représente une ressource ou un groupe de ressources que vous souhaitez rendre accessible aux clients dans VPCs d'autres comptes. En définissant une configuration de ressources, vous pouvez autoriser une connectivité réseau privée, sécurisée et unidirectionnelle aux ressources de votre VPC à partir de clients appartenant à VPCs d'autres comptes. Une configuration de ressources est associée à une passerelle de ressources par laquelle elle reçoit du trafic. Pour qu'une ressource soit accessible depuis un autre VPC, elle doit disposer d'une configuration de ressources.

Table des matières

Types de configurations de ressources

Une configuration de ressources peut être de plusieurs types. Les différents types permettent de représenter différents types de ressources. Les types sont les suivants :

  • Configuration de ressource unique : représente une adresse IP ou un nom de domaine. Il peut être partagé indépendamment.

  • Configuration des ressources du groupe : il s'agit d'un ensemble de configurations de ressources enfants. Il peut être utilisé pour représenter un groupe de points de terminaison d'adresses DNS et IP.

  • Configuration des ressources enfant : il est membre d'une configuration de ressources de groupe. Il représente une adresse IP ou un nom de domaine. Il ne peut pas être partagé indépendamment ; il ne peut être partagé que dans le cadre d'un groupe. Il peut être ajouté ou retiré d'un groupe. Une fois ajouté, il est automatiquement accessible à ceux qui peuvent accéder au groupe.

  • Configuration des ressources ARN : représente un type de ressource pris en charge fourni par un service. AWS Toute relation groupe-enfant est automatiquement prise en charge.

L'image suivante montre une configuration de ressource unique, enfant ou de groupe :

Configurations de ressources uniques, secondaires et de groupe.

Protocole

Lorsque vous créez une configuration de ressource, vous pouvez définir les protocoles que la ressource prendra en charge. Actuellement, seul le protocole TCP est pris en charge.

Passerelle de ressources

Une configuration de ressources est associée à une passerelle de ressources. Une passerelle de ressources est un ensemble de ENIs passerelles servant de point d'entrée dans le VPC dans lequel se trouve la ressource. Plusieurs configurations de ressources peuvent être associées à la même passerelle de ressources. Lorsque des clients appartenant à un autre compte VPCs ou à un autre accès à une ressource de votre VPC, la ressource reçoit du trafic provenant localement des adresses IP de la passerelle de ressources de ce VPC.

Noms de domaine personnalisés pour les fournisseurs de ressources

Les fournisseurs de ressources peuvent associer un nom de domaine personnalisé à une configuration de ressources, par exempleexample.com, que les consommateurs de ressources peuvent utiliser pour accéder à la configuration des ressources. Le nom de domaine personnalisé peut être détenu et vérifié par le fournisseur de ressources, ou il peut s'agir d'un tiers ou d'un AWS domaine. Les fournisseurs de ressources peuvent utiliser des configurations de ressources pour partager des clusters de cache et des clusters Kafka, des applications basées sur TLS ou d'autres AWS ressources.

Les considérations suivantes s'appliquent aux fournisseurs de configurations de ressources :

  • Une configuration de ressources ne peut comporter qu'un seul domaine personnalisé.

  • Le nom de domaine personnalisé d'une configuration de ressource ne peut pas être modifié.

  • Le nom de domaine personnalisé est visible par tous les consommateurs de configuration de ressources.

  • Vous pouvez vérifier votre nom de domaine personnalisé à l'aide du processus de vérification du nom de domaine dans VPC Lattice. Pour plus d'informations Pour plus d'informations, consultezCréation et vérification d'un domaine.

  • Pour les configurations de ressources de type groupe et enfant, vous devez d'abord spécifier un domaine de groupe dans la configuration des ressources de groupe. Ensuite, les configurations de ressources enfants peuvent avoir des domaines personnalisés qui sont des sous-domaines du domaine du groupe. Si le groupe ne possède pas de domaine de groupe, vous pouvez utiliser n'importe quel nom de domaine personnalisé pour l'enfant, mais VPC Lattice ne provisionnera aucune zone hébergée pour les noms de domaine enfant dans le VPC du consommateur de ressources.

Noms de domaine personnalisés pour les consommateurs de ressources

Lorsque les consommateurs de ressources activent la connectivité à une configuration de ressources dotée d'un nom de domaine personnalisé, ils peuvent autoriser VPC Lattice à gérer une zone hébergée privée Route 53 dans leur VPC. Les consommateurs de ressources disposent d'options détaillées pour les domaines pour lesquels ils souhaitent autoriser VPC Lattice à gérer des zones hébergées privées.

Les consommateurs de ressources peuvent définir le private-dns-enabled paramètre lorsqu'ils activent la connectivité aux configurations de ressources via un point de terminaison de ressource, un point de terminaison de réseau de service ou une association VPC de réseau de services. Outre le private-dns-enabled paramètre, les consommateurs peuvent utiliser les options DNS pour spécifier les domaines pour lesquels ils souhaitent que VPC Lattice gère des zones hébergées privées. Les consommateurs peuvent choisir entre les préférences DNS privées suivantes :

ALL_DOMAINS

VPC Lattice fournit des zones hébergées privées pour tous les noms de domaine personnalisés.

VERIFIED_DOMAINS_ONLY

VPC Lattice fournit une zone hébergée privée uniquement si le nom de domaine personnalisé a été vérifié par le fournisseur.

VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS

VPC Lattice fournit des zones hébergées privées pour tous les noms de domaine personnalisés vérifiés et les autres noms de domaine spécifiés par le consommateur de ressources. Le consommateur de ressources spécifie les noms de domaine dans le private DNS specified domains paramètre.

SPECIFIED_DOMAINS_ONLY

VPC Lattice fournit une zone hébergée privée pour les noms de domaine spécifiés par le consommateur de ressources. Le consommateur de ressources spécifie les noms de domaine dans le private DNS specified domains paramètre.

Lorsque vous activez le DNS privé, VPC Lattice crée une zone hébergée privée dans votre VPC pour le nom de domaine personnalisé associé à la configuration des ressources. Par défaut, la préférence DNS privée est définie surVERIFIED_DOMAINS_ONLY. Cela signifie que les zones hébergées privées ne sont créées que si le nom de domaine personnalisé a été vérifié par le fournisseur de ressources. Si vous définissez votre préférence DNS privée sur ALL_DOMAINS ou SPECIFIED_DOMAINS_ONLY alors, VPC Lattice crée des zones hébergées privées quel que soit le statut de vérification du nom de domaine personnalisé. Lorsqu'une zone hébergée privée est créée pour un domaine donné, tout le trafic vers ce domaine depuis votre VPC est acheminé via VPC Lattice. Nous vous recommandons d'utiliser les SPECIFIED_DOMAINS_ONLY préférences ALL_DOMAINSVERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS, ou uniquement lorsque vous souhaitez que le trafic vers ces noms de domaine personnalisés passe par VPC Lattice.

Nous recommandons aux consommateurs de ressources de définir leurs préférences DNS privées surVERIFIED_DOMAINS_ONLY. Cela permet aux consommateurs de renforcer leur périmètre de sécurité en autorisant uniquement VPC Lattice à fournir des zones hébergées privées pour les domaines vérifiés du compte du consommateur de ressources.

Pour sélectionner des domaines dans les domaines privés spécifiés par le DNS, les consommateurs de ressources peuvent saisir un nom de domaine complet, tel que my.example.com ou utiliser un caractère générique tel que*.example.com.

Les considérations suivantes s'appliquent aux consommateurs de configurations de ressources :

  • Le paramètre DNS privé activé ne peut pas être modifié.

  • Le DNS privé doit être activé sur une association de ressources de réseau de services pour que l'hébergement privé soit créé dans un VPC. Pour une configuration de ressources, le statut DNS privé activé de l'association de ressources du réseau de service remplace le statut DNS privé activé du point de terminaison du réseau de service ou de l'association VPC du réseau de services.

Noms de domaine personnalisés pour les propriétaires de réseaux de services

La propriété privée activée par le DNS de l'association de ressources du réseau de service remplace la propriété privée activée par le DNS du point de terminaison du réseau de service et de l'association VPC du réseau de service.

Si le propriétaire d'un réseau de service crée une association de ressources de réseau de service et n'active pas le DNS privé, VPC Lattice ne fournira aucune VPCs zone hébergée privée pour cette configuration de ressources dans les zones auxquelles le réseau de service est connecté, même si le DNS privé est activé sur le point de terminaison du réseau de service ou sur les associations VPC du réseau de service.

Pour les configurations de ressources de type ARN, l'indicateur DNS privé est vrai et immuable.

Définition de la ressource

Dans la configuration de la ressource, identifiez la ressource de l'une des manières suivantes :

  • Par un nom de ressource Amazon (ARN) : les types de ressources pris en charge fournis par les AWS services peuvent être identifiés par leur ARN. Seules les bases de données Amazon RDS sont prises en charge. Vous ne pouvez pas créer de configuration de ressources pour un cluster accessible au public.

  • Par une cible de nom de domaine : vous pouvez utiliser n'importe quel nom de domaine pouvant être résolu publiquement. Si votre nom de domaine pointe vers une adresse IP extérieure à votre VPC, vous devez disposer d'une passerelle NAT dans votre VPC.

  • Par adresse IP : Pour IPv4, spécifiez une adresse IP privée parmi les plages suivantes : 10.0.0.0/8, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16. Pour IPv6, spécifiez une adresse IP à partir du VPC. Le public IPs n'est pas pris en charge.

Gammes de ports

Lorsque vous créez une configuration de ressources, vous pouvez définir les ports sur lesquels elle acceptera les demandes. L'accès des clients sur les autres ports ne sera pas autorisé.

Accès aux ressources

Les consommateurs peuvent accéder aux configurations des ressources directement depuis leur VPC via un point de terminaison VPC ou via un réseau de services. En tant que consommateur, vous pouvez autoriser l'accès depuis votre VPC à une configuration de ressources qui se trouve dans votre compte ou qui a été partagée avec vous depuis un autre compte via. AWS RAM

  • Accès direct à une configuration de ressources

    Vous pouvez créer un point de terminaison AWS PrivateLink VPC de type ressource (point de terminaison de ressource) dans votre VPC pour accéder à une configuration de ressource de manière privée depuis votre VPC. Pour plus d'informations sur la création d'un point de terminaison de ressource, consultez la section Accès aux ressources VPC dans le guide de l'AWS PrivateLink utilisateur.

  • Accès à une configuration de ressources via un réseau de service

    Vous pouvez associer une configuration de ressources à un réseau de service et connecter votre VPC au réseau de service. Vous pouvez connecter votre VPC au réseau de service via une association ou à l'aide d'un point de terminaison VPC du AWS PrivateLink réseau de services.

    Pour plus d'informations sur les associations de réseaux de service, consultez Gérer les associations pour un réseau de services VPC Lattice.

    Pour plus d'informations sur les points de terminaison VPC des réseaux de services, consultez la section Accès aux réseaux de services dans le guide de l'AWS PrivateLink utilisateur.

Lorsque le DNS privé est activé pour votre VPC, vous ne pouvez pas créer de point de terminaison de ressource et de point de terminaison de réseau de services pour la même configuration de ressources.

Association avec le type de réseau de service

Lorsque vous partagez une configuration de ressources avec un compte client, par exemple, Account-B AWS RAM, via Account-B peut accéder à la configuration des ressources soit directement via un point de terminaison VPC de ressources, soit via un réseau de services.

Pour accéder à une configuration de ressources via un réseau de service, le compte B doit associer la configuration de ressources à un réseau de service. Les réseaux de services peuvent être partagés entre les comptes. Ainsi, le compte B peut partager son réseau de service (auquel la configuration des ressources est associée) avec le compte C, ce qui rend votre ressource accessible depuis le compte C.

Afin d'empêcher un tel partage transitif, vous pouvez spécifier que votre configuration de ressources ne peut pas être ajoutée aux réseaux de services partageables entre comptes. Si vous le spécifiez, le compte B ne pourra pas ajouter votre configuration de ressources aux réseaux de service partagés ou susceptibles d'être partagés avec un autre compte à l'avenir.

Types de réseaux de services

Lorsque vous partagez une configuration de ressources avec un autre compte, par exemple Account-B AWS RAM, via Account-B peut accéder aux ressources spécifiées dans la configuration des ressources de l'une des trois manières suivantes :

  • Utilisation d'un point de terminaison VPC de type ressource (point de terminaison VPC ressource).

  • Utilisation d'un point de terminaison VPC de type réseau de services (point de terminaison VPC du réseau de services).

  • Utilisation d'une association VPC de réseau de services.

    Lorsque vous utilisez une association service-réseau, chaque ressource se voit attribuer une adresse IP par sous-réseau à partir du bloc 129.224.0.0/17, qui est détenue et non routable. AWS Cela s'ajoute à la liste de préfixes gérée que VPC Lattice utilise pour acheminer le trafic vers les services via le réseau VPC Lattice. Ces deux éléments IPs sont mis à jour dans votre table de routage VPC.

Pour l'association du point de terminaison VPC du réseau de services et du VPC du réseau de services, la configuration des ressources doit être associée à un réseau de service dans le compte B. Les réseaux de services peuvent être partagés entre les comptes. Ainsi, le compte B peut partager son réseau de service (qui contient la configuration des ressources) avec le compte C, ce qui rend votre ressource accessible depuis le compte C. Afin d'empêcher un tel partage transitif, vous pouvez interdire l'ajout de votre configuration de ressources aux réseaux de services partageables entre comptes. Si vous l'interdisez, le compte B ne pourra pas ajouter votre configuration de ressources à un réseau de service partagé ou pouvant être partagé avec un autre compte.

Partage de configurations de ressources via AWS RAM

Les configurations de ressources sont intégrées à AWS Resource Access Manager. Vous pouvez partager la configuration de vos ressources avec un autre compte via AWS RAM. Lorsque vous partagez une configuration de ressource avec un AWS compte, les clients de ce compte peuvent accéder à la ressource en privé. Vous pouvez partager une configuration de ressources à l'aide d'un partage de ressources AWS RAM.

Utilisez la AWS RAM console pour afficher les partages de ressources auxquels vous avez été ajouté, les ressources partagées auxquelles vous pouvez accéder et les AWS comptes qui ont partagé des ressources avec vous. Pour plus d'informations, consultez la section Ressources partagées avec vous dans le Guide de AWS RAM l'utilisateur.

Pour accéder à une ressource depuis un autre VPC sur le même compte que la configuration des ressources, il n'est pas nécessaire de partager la configuration des ressources via. AWS RAM

Contrôle

Vous pouvez activer les journaux de surveillance sur la configuration de vos ressources. Vous pouvez choisir la destination à laquelle envoyer les journaux.