Attività dei provider di API e dei consumatori di API per i nomi di dominio personalizzati per le API private - Amazon API Gateway
Attività di un provider di APIAttività di un consumatore di API

Attività dei provider di API e dei consumatori di API per i nomi di dominio personalizzati per le API private

Quando crei un nome di dominio personalizzato privato, sei un provider di API. Quando invochi un nome di dominio personalizzato privato, sei un consumatore di API. Puoi utilizzare un nome di dominio personalizzato privato dal tuo Account AWS o da un altro Account AWS.

La sezione seguente spiega le attività che il provider e il consumatore di API devono eseguire per utilizzare un nome di dominio personalizzato privato. Se desideri invocare un nome di dominio personalizzato privato nel tuo Account AWS, sei sia il provider che il consumatore di API. Se desideri invocare un dominio privato personalizzato in un altro Account AWS, a seconda della relazione di trust tra il provider e il consumatore di API in AWS Organizations, è possibile che AWS RAM esegua automaticamente alcune attività.

Attività di un provider di API

I provider di API creano API private e le mappano a nomi di dominio personalizzati.

I provider di API gestiscono due policy delle risorse per proteggere i propri nomi di dominio personalizzati privati. La prima policy riguarda il servizio execute-api e controlla quali endpoint VPC possono invocare il nome di dominio personalizzato privato. Nella configurazione del nome di dominio personalizzato privato è denominata policy.

La seconda policy riguarda il servizio di gestione di Gateway Amazon API e controlla quali endpoint VPC in altri Account AWS possono formare un'associazione di accesso al nome di dominio con il tuo nome di dominio personalizzato privato. Un endpoint VPC deve formare un'associazione di accesso al nome di dominio con un nome di dominio personalizzato privato per invocarlo. Nella configurazione del nome di dominio personalizzato privato è denominata managementPolicy. Puoi utilizzare AWS RAM o Gateway API per aggiornare questa policy. Se non intendi consentire agli endpoint VPC in altri Account AWS di invocare il tuo nome di dominio personalizzato, non modificare managementPolicy.

Se sei un provider di API, devi eseguire le seguenti operazioni:

  1. Crea un'API privata.

  2. Aggiorna la policy dell'API privata per concedere all'endpoint VPC l'accesso all'API privata.

  3. Crea un nome di dominio personalizzato privato.

  4. Aggiorna la policy del nome di dominio personalizzato privato per concedere all'endpoint VPC l'accesso al nome di dominio personalizzato privato.

  5. Crea una mappatura percorso di base o una regola di routing per inviare il traffico dall’API privata al nome di dominio personalizzato privato. Per ulteriori informazioni, consulta Invio del traffico alle API tramite il nome di dominio personalizzato in Gateway API.

Se desideri consentire ai consumatori di API in altri Account AWS di accedere al tuo nome di dominio personalizzato privato, procedi come segue:

  1. Aggiorna la managementPolicy del nome di dominio personalizzato privato per consentire ai consumatori di API in altri account di associare i loro endpoint VPC al tuo nome di dominio personalizzato privato. Puoi farlo utilizzando i seguenti metodi:

    AWS RAM

    Con AWS RAM, se il provider e il consumatore di API fanno parte della stessa organizzazione tramite AWS Organizations, la condivisione delle risorse tra il provider e il consumatore viene accettata automaticamente. In caso contrario, è necessario attendere che il consumatore di API accetti la condivisione delle risorse. È consigliabile utilizzare AWS RAM per condividere un nome di dominio personalizzato privato.

    API Gateway

    Con Gateway API, è supportata solo la AWS CLI. Devi aggiornare il nome di dominio personalizzato privato utilizzando un'operazione di patch e fornire il documento di policy per managementPolicy.

  2. Aggiorna la policy del tuo nome di dominio personalizzato privato e di tutte le API private mappate a esso per concedere l'accesso all'endpoint VPC del consumatore di API.

Per istruzioni su come fornire la tua API a un altro Account AWS, consulta Provider di API: condivisione del nome di dominio personalizzato privato tramite AWS RAM.

Attività di un consumatore di API

I consumatori di API associano i propri endpoint VPC a un ARN di nome di dominio per invocare un nome di dominio personalizzato privato. I consumatori di API non devono necessariamente creare un'API di Gateway API.

Se sei un consumatore di API, esegui le seguenti operazioni:

  1. Crea un endpoint VPC con DNS privato abilitato in Amazon VPC.

  2. (Facoltativo, se usi AWS RAM) Accetta una condivisione di risorse del dominio personalizzato privato in AWS RAM entro 12 ore dalla condivisione di risorse. Se fai parte della stessa organizzazione del provider di API, la condivisione di risorse viene accettata automaticamente.

  3. Ottieni l'ARN del nome di dominio personalizzato privato. Poiché l'URL del nome di dominio personalizzato privato non è univoco, devi utilizzare l'ARN del nome di dominio personalizzato privato per creare l'associazione di accesso al nome di dominio tra l'endpoint VPC e il nome di dominio personalizzato privato. Puoi utilizzare AWS RAM per recuperare l'ARN del nome di dominio personalizzato privato.

  4. Associa l'ARN del dominio personalizzato privato all'endpoint VPC in Gateway API. In questo modo viene creata una connessione sicura tra l'endpoint VPC e il nome di dominio personalizzato privato. Il traffico non esce dalla rete Amazon.

  5. Attendi che il provider di API conceda all'endpoint VPC l'accesso al nome di dominio personalizzato privato e a qualsiasi API privata mappata al nome di dominio personalizzato privato. Se sei sia il provider che il consumatore di API, sei tu a concedere l'accesso per l'invocazione all'endpoint VPC.

  6. Crea una zona ospitata privata di Route 53 e un record Route 53 per risolvere il nome di dominio personalizzato privato in Route 53.

Per istruzioni su come utilizzare un'API in un altro Account AWS, consulta Consumatore di API: associazione dell'endpoint VPC a un nome di dominio personalizzato privato condiviso.