翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# EventBridge でのクロスアカウント接続に関するプロバイダーの考慮事項
<a name="connection-private-rc-provider"></a>

別の AWS アカウントのプライベート API への接続を作成するには、そのアカウントの所有者がプライベート API の VPC Lattice リソース設定をユーザーと共有する必要があります。リソース設定は、API を識別し、それにアクセスする方法とユーザーを指定する論理オブジェクトです。*プロバイダー*アカウント、つまりプライベート API の VPC Lattice リソース設定を別のアカウントと共有しているアカウントは、 AWS RAMを使用して VPC Lattice リソース設定を共有します。

アカウントが VPC Lattice リソース設定のプロバイダーである場合は、次の考慮事項に注意してください。

## クロスアカウントプライベート API のリソース設定のリソースポリシー
<a name="connection-private-rc-provider-policy"></a>

デフォルトでは、 AWS RAM リソース共有の作成に必要な共有ポリシー が含まれます`AWSRAMPermissionVpcLatticeResourceConfiguration`。カスタマー管理アクセス許可ポリシーを作成する場合は、必要なアクセス許可を含める必要があります。

次のポリシー例は、EventBridge がプライベート API への接続に必要なリソースの関連付けを作成するために必要な最小限のアクセス許可を提供します。
+ `vpc-lattice:GetResourceConfiguration` によって、EventBridge はユーザーの指定した Amazon VPC Lattice リソース設定を取得できるようになります。
+ `vpc-lattice:CreateServiceNetworkResourceAssociation` によって、EventBridge はユーザーの指定した VPC Lattice リソース設定からリソースの関連付けを作成できるようになります。
+ `vpc-lattice:AssociateViaAWSService-EventsAndStates` によって、EventBridge はサービスが所有する VPC Lattice サービスネットワークへのリソース関連付けを作成できるようになります。

```
{
    "Effect": "Allow",
    "Action": [
      "vpc-lattice:CreateServiceNetworkResourceAssociation", 
      "vpc-lattice:GetResourceConfiguration", 
      "vpc-lattice:AssociateViaAWSService-EventsAndStates"
      ]
}
```

詳細については、「*AWS Resource Access Manager User Guide*」の「[Managing permissions in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/security-ram-permissions.html)」を参照してください。

## 接続作成のプロバイダーモニタリング
<a name="connection-private-provider-monitor"></a>

別のアカウントが、共有した VPC Lattice リソース設定を使用して EventBridge 接続を作成すると、 AWS CloudTrail は `CreateServiceNetworkResourceAssociationBySharee` イベントを記録します。詳細については、「[接続作成をモニタリング](connection-private.md#connection-private-monitoring-create)」を参照してください。

## プライベート API にアクセスするためのセキュリティグループを設定
<a name="connection-private-provider-security"></a>

VPC Lattice を使用すると、セキュリティグループを作成して割り当て、ターゲット API とリソースゲートウェイに追加のネットワークレベルのセキュリティ保護を適用できます。EventBridge と Step Functions がプライベート API に正常にアクセスするには、ターゲット API とリソースゲートウェイのセキュリティグループが正しく設定されている必要があります。正しく設定されていない場合、サービスは API を呼び出すときに「Connection Timed Out」エラーを返します。

ターゲット API の場合、セキュリティグループは、リソースゲートウェイのセキュリティグループから受信したポート 443 上のインバウンド TCP トラフィックをすべて許可するように設定する必要があります。

リソースゲートウェイでは、以下を許可するようにセキュリティグループを設定する必要があります。
+ ::/0 IPv6 CIDR 範囲のすべてのポートにわたるすべてのインバウンド IPv6 TCP トラフィック。
+ 0.0.0.0/0 IPv6 CIDR 範囲のすべてのポートにわたるすべてのインバウンド IPv4 TCP トラフィック。
+ ターゲット API が受け入れる IP プロトコル (IPv4 または IPv6) について、ターゲットリソースが使用するセキュリティグループに送信されるポート 443 上のすべてのアウトバウンド TCP トラフィック。

詳細については、「*Amazon VPC Lattice User Guide*」の次のトピックを参照してください。
+ [セキュリティグループを使用して VPC Lattice のトラフィックを制御する](https://docs.aws.amazon.com/vpc-lattice/latest/ug/security-groups.html)
+ [VPC Lattice のリソースゲートウェイ](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html)