翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EventBridge でのクロスアカウント接続に関するプロバイダーの考慮事項

別の AWS アカウントのプライベート API への接続を作成するには、そのアカウントの所有者がプライベート API の VPC Lattice リソース設定をユーザーと共有する必要があります。リソース設定は、API を識別し、それにアクセスする方法とユーザーを指定する論理オブジェクトです。プロバイダーアカウント、つまりプライベート API の VPC Lattice リソース設定を別のアカウントと共有しているアカウントは、 AWS RAMを使用して VPC Lattice リソース設定を共有します。

アカウントが VPC Lattice リソース設定のプロバイダーである場合は、次の考慮事項に注意してください。

クロスアカウントプライベート API のリソース設定のリソースポリシー

デフォルトでは、 AWS RAM リソース共有の作成に必要な共有ポリシー が含まれますAWSRAMPermissionVpcLatticeResourceConfiguration。カスタマー管理アクセス許可ポリシーを作成する場合は、必要なアクセス許可を含める必要があります。

次のポリシー例は、EventBridge がプライベート API への接続に必要なリソースの関連付けを作成するために必要な最小限のアクセス許可を提供します。

{
    "Effect": "Allow",
    "Action": [
      "vpc-lattice:CreateServiceNetworkResourceAssociation", 
      "vpc-lattice:GetResourceConfiguration", 
      "vpc-lattice:AssociateViaAWSService-EventsAndStates"
      ]
}

詳細については、「AWS Resource Access Manager User Guide」の「Managing permissions in AWS RAM」を参照してください。

接続作成のプロバイダーモニタリング

別のアカウントが、共有した VPC Lattice リソース設定を使用して EventBridge 接続を作成すると、 AWS CloudTrail は CreateServiceNetworkResourceAssociationBySharee イベントを記録します。詳細については、「接続作成をモニタリング」を参照してください。

プライベート API にアクセスするためのセキュリティグループを設定

VPC Lattice を使用すると、セキュリティグループを作成して割り当て、ターゲット API とリソースゲートウェイに追加のネットワークレベルのセキュリティ保護を適用できます。EventBridge と Step Functions がプライベート API に正常にアクセスするには、ターゲット API とリソースゲートウェイのセキュリティグループが正しく設定されている必要があります。正しく設定されていない場合、サービスは API を呼び出すときに「Connection Timed Out」エラーを返します。

ターゲット API の場合、セキュリティグループは、リソースゲートウェイのセキュリティグループから受信したポート 443 上のインバウンド TCP トラフィックをすべて許可するように設定する必要があります。

リソースゲートウェイでは、以下を許可するようにセキュリティグループを設定する必要があります。

詳細については、「Amazon VPC Lattice User Guide」の次のトピックを参照してください。