Provider di API: condivisione del nome di dominio personalizzato privato tramite AWS RAM
Puoi consentire ai consumatori dell'API in altri Account AWS di accedere al tuo nome di dominio personalizzato privato. In questa sezione, scoprirai come condividere il tuo nome di dominio personalizzato privato tramite AWS RAM e come controllare l'accesso al tuo nome di dominio personalizzato privato.
Considerazioni sulla condivisione del nome di dominio personalizzato privato
Le seguenti considerazioni potrebbero influire sul modo in cui fornisci l'accesso al tuo nome di dominio personalizzato privato tramite AWS RAM. Per informazioni su come condividere il nome di dominio personalizzato privato senza utilizzare AWS RAM, consulta Provider di API: condivisione del nome di dominio personalizzato privato tramite la AWS CLI di Gateway API .
-
I nomi di dominio personalizzati privati vengono condivisi a livello di Regione AWS. Il nome di dominio personalizzato privato e l'endpoint VPC devono trovarsi nello stesso Regione AWS.
-
Puoi utilizzare una condivisione di risorse con più principali e, dopo aver creato la condivisione di risorse, aggiungervi altri principali. È consigliabile riutilizzare la condivisione di risorse, quando possibile.
-
Devi sempre concedere l'accesso all'endpoint VPC del consumatore di API per invocare il nome di dominio personalizzato privato e le API private mappate a esso.
-
Se il consumatore e il provider di API fanno parte della stessa organizzazione tramite AWS Organizations, la condivisione di risorse viene accettata automaticamente. È comunque necessario creare la condivisione di risorse tramite AWS RAM.
-
Se il consumatore e il provider di API fanno parte della stessa organizzazione tramite AWS Organizations e la condivisione di risorse all'interno dell'organizzazione è abilitata, viene automaticamente concesso l'accesso alle condivisioni di risorse a tutti i principali dell'organizzazione con cui è attiva la condivisione. Non è necessario un invito e puoi evitare la condivisione di risorse.
-
Se il consumatore di API non accetta la condivisione di risorse entro 12 ore, il provider di API deve condividere nuovamente la risorsa.
-
Dopo aver creato la condivisione di risorse, AWS RAM aggiorna la
managementPolicyper il servizio di gestione di Gateway Amazon API per il tuo nome di dominio personalizzato privato per impedire l'accesso ai principali senza un esplicitoallow. Per ulteriori informazioni, consulta Determining whether a request is allowed or denied within an account nella Guida per l'utente di IAM.La
managementPolicyaggiornata sarà simile alla seguente:AWS RAM ha impedito ai principali senza accesso
allowesplicito di creare associazioni di accesso con il tuo nome di dominio personalizzato privato, aggiungendo quanto segue:"StringNotEquals": { "aws:PrincipalAccount": "111122223333" }È comunque possibile utilizzare il principale nell'Account AWS che ha creato il nome di dominio personalizzato privato per creare associazioni di accesso al nome di dominio.
Consentire ad altri account di creare associazioni di accesso ai nomi di dominio con il tuo nome di dominio personalizzato privato
Prima di tutto, concedi l'accesso a un altro Account AWS per creare associazioni di accesso ai nomi di dominio con il tuo nome di dominio personalizzato privato.
Dopo aver fornito l'accesso a un altro Account AWS, i consumatori di API di quell'account devono creare un'associazione di accesso al nome di dominio tra il loro endpoint VPC e il tuo nome di dominio personalizzato privato. Non puoi creare l'associazione di accesso al nome di dominio al loro posto. Per ulteriori informazioni, consulta Associazione dell'endpoint VPC a un nome di dominio personalizzato privato condiviso.
Consentire ad altri account di invocare il nome di dominio personalizzato privato
Successivamente, concedi l'accesso all'endpoint VPC del consumatore di API per invocare il tuo nome di dominio personalizzato privato e le API private mappate ad esso.
