API Gateway에서 포털 제품 공유 - Amazon API Gateway
고려 사항

API Gateway에서 포털 제품 공유

AWS 계정을 사용하여 AWS RAM 간에 포털 제품을 공유할 수 있습니다. 포털 제품을 공유하면 다른 계정이 자체 포털에서 포털 제품을 사용할 수 있습니다. 공유 포털 제품을 사용하면 조직 API의 단일 카탈로그를 생성하고 API 에코시스템 전체에 거버넌스 표준을 적용할 수 있습니다. 동시에 포털 제품을 공유하면 API 공급자가 자신의 계정에서 API를 개발, 테스트 및 유지할 수 있는 유연성이 제공됩니다.

고려 사항

다음 고려 사항은 포털 리소스를 공유하는 방법에 영향을 미칠 수 있습니다.

  • 제품을 다른 계정과 공유하면 해당 계정은 REST API의 속성을 수정할 수 없습니다. 여기에는 통합 엔드포인트, 권한 부여 전략 또는 스테이지 구성이 포함됩니다.

  • 다른 계정의 포털 제품을 포털에 추가하면 포털 제품 소유자가 포털의 다른 속성을 보거나 제어할 수 없습니다. 포털 제품 소유자는 포털에서 제품이 사용 중임을 알기만 합니다.

  • API Gateway 포털 제품은 AWS 리전 수준에서 공유됩니다.

  • 여러 보안 주체와 하나의 리소스 공유를 사용할 수 있으며, 리소스 공유를 생성한 후 보안 주체를 더 추가할 수 있습니다. 가능하면 리소스 공유를 재사용하는 것이 좋습니다.

  • 두 계정이 모두 AWS Organizations을 사용하는 동일한 조직에 있는 경우 리소스 공유가 자동으로 수락됩니다. AWS RAM을 사용하여 리소스 공유를 생성해야 합니다.

  • 두 계정이 모두 AWS Organizations를 사용하는 동일한 조직에 있고 조직 내 리소스 공유가 활성화된 경우, 공유한 조직의 모든 위탁자에게 리소스 공유에 대한 액세스 권한이 자동으로 부여됩니다. 초대할 필요가 없으며 리소스 공유를 건너뛸 수 있습니다.

  • 제품을 공유한 계정이 12시간 이내에 리소스 공유를 수락하지 않으면 리소스를 다시 공유해야 합니다.

  • 리소스 공유를 생성한 후 AWS RAM은 명시적 allow 액세스 없이 위탁자에 액세스하지 못하도록 제품의 제품 공유 정책을 업데이트합니다. 자세한 내용은 IAM 사용 설명서에서 계정 내에서 요청 허용 여부 결정을 참조하세요.

    업데이트된 리소스 정책은 다음과 같습니다.

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "apigateway:GetProduct",
                "apigateway:ListEndpoints",
                "apigateway:ListPages",
                "apigateway:GetEndpoint",
                "apigateway:GetPage"
            ],
            "Resource": [
                "arn:aws:apigateway:us-east-1:111122223333:/portalproducts/product-id",
                "arn:aws:apigateway:us-east-1:111122223333:/portalproducts/product-id/*"
            ]
        }
    ]
}

    AWS RAM에서는 다음을 추가하여 포털에 제품을 추가할 수 있는 액세스를 명시적으로 허용하지 않는 위탁자를 차단했습니다.

    "StringNotEquals": { "aws:PrincipalAccount": "555555555555" }

제품 공유 방법을 알아보려면 API Gateway에서 포털 소유자와 포털 제품 공유 섹션을 참조하세요. 포털에 공유된 제품을 추가하는 방법은 API Gateway의 포털에 공유 포털 제품 추가 섹션을 참조하세요.