Compartilhar o armazenamento confiável do Elastic Load Balancing para Application Load Balancers - Elastic Load Balancing
Pré-requisitosPermissõesCompartilhar um armazenamento confiávelParar de compartilhar um armazenamento confiávelFaturamento e medição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhar o armazenamento confiável do Elastic Load Balancing para Application Load Balancers

O Elastic Load Balancing se integra com AWS Resource Access Manager (AWS RAM) para permitir o compartilhamento do armazenamento confiável. AWS RAM é um serviço que permite que você compartilhe com segurança seus recursos de armazenamento fiduciário do Elastic Load Balancing Contas da AWS entre e dentro de sua organização ou unidades organizacionais (). OUs Caso tenha várias contas, poderá criar um armazenamento confiável uma vez e usar o AWS RAM para torná-lo utilizável por outras contas. Se sua conta for gerenciada por AWS Organizations, você poderá compartilhar armazenamentos fiduciários com todas as contas da organização ou somente com contas dentro de unidades organizacionais especificadas (OUs).

Com AWS RAM, você compartilha recursos de sua propriedade criando um compartilhamento de recursos. Um compartilhamento de atributos especifica os atributos a serem compartilhados, e os consumidores com os quais compartilhá-los. Nesse modelo, o Conta da AWS proprietário da loja fiduciária (proprietário) a compartilha com outros Contas da AWS (consumidores). Os consumidores podem associar armazenamentos de confiança compartilhados aos receptores do Application Load Balancer da mesma forma que associam armazenamentos confiáveis em suas próprias contas.

O proprietário de um armazenamento confiável pode compartilhar um armazenamento confiável com:

  • Específico Contas da AWS dentro ou fora de sua organização em AWS Organizations

  • Uma unidade organizacional dentro de sua organização em AWS Organizations

  • Toda a sua organização em AWS Organizations

Pré-requisitos para o compartilhamento de armazenamentos confiáveis

  • Você deve criar um compartilhamento de recursos usando AWS Resource Access Manager. Para obter mais informações, consulte Create a resource share no Guia do usuário do AWS RAM .

  • Para compartilhar uma loja fiduciária, você deve possuí-la em seu Conta da AWS. Não é possível compartilhar um armazenamento confiável que tenha sido compartilhado com você.

  • Para compartilhar um armazenamento confiável com sua organização ou unidade organizacional no AWS Organizations, é preciso habilitar o compartilhamento no AWS Organizations. Para obter mais informações, consulte Habilitar o compartilhamento com o AWS Organizations no Guia do usuário do AWS RAM .

Permissões para armazenamentos confiáveis compartilhados

Proprietários de armazenamentos confiáveis

  • Proprietários de armazenamentos confiáveis podem criar um armazenamento confiável.

  • Proprietários de armazenamentos confiáveis podem usar um armazenamento confiável com balanceadores de carga na mesma conta.

  • Os proprietários de lojas fiduciárias podem compartilhar uma loja fiduciária com outras AWS contas ou AWS Organizations.

  • Os proprietários de lojas fiduciárias podem cancelar o compartilhamento de uma loja confiável de qualquer AWS conta ou AWS Organizations.

  • Proprietários de armazenamentos confiáveis não podem impedir que balanceadores de carga usem um armazenamento confiável na mesma conta.

  • Os proprietários de armazenamentos confiáveis podem listar todos os Application Load Balancers usando um armazenamento confiável compartilhado.

  • Os proprietários de armazenamentos confiáveis podem excluir um armazenamento confiável se não houver associações atuais.

  • Os proprietários de armazenamentos confiáveis podem excluir associações com um armazenamento confiável compartilhado.

  • Os proprietários de lojas fiduciárias recebem CloudTrail registros quando uma loja confiável compartilhada é usada.

Consumidores de armazenamentos confiáveis

  • Os consumidores de armazenamentos confiáveis podem exibir armazenamentos confiáveis compartilhados.

  • Os consumidores de armazenamentos confiáveis podem criar ou modificar receptores usando um armazenamento confiável na mesma conta.

  • Os consumidores de armazenamentos confiáveis podem criar ou modificar receptores usando um armazenamento confiável compartilhado.

  • Os consumidores de armazenamentos confiáveis não podem criar um receptor usando um armazenamento confiável que não é mais compartilhado.

  • Os consumidores de armazenamentos confiáveis não podem modificar um armazenamento confiável compartilhado.

  • Os consumidores de armazenamentos confiáveis podem exibir o ARN de um armazenamento confiável compartilhado quando associados a um receptor.

  • Os consumidores da loja confiável recebem CloudTrail registros ao criar ou modificar um ouvinte usando uma loja confiável compartilhada.

Permissões gerenciadas

Ao compartilhar um armazenamento confiável, o compartilhamento de recursos usa permissões gerenciadas para controlar quais ações são permitidas pelo consumidor do armazenamento confiável. Você pode usar as permissões gerenciadas padrão AWSRAMPermissionElasticLoadBalancingTrustStore, que incluem todas as permissões disponíveis, ou criar suas próprias permissões gerenciadas pelo cliente. As permissões DescribeTrustStores, DescribeTrustStoreRevocations e DescribeTrustStoreAssociations estão sempre habilitadas e não podem ser removidas.

As seguintes permissões são compatíveis com compartilhamentos de recursos do armazenamento confiável:

balanceamento elástico de carga: CreateListener

Pode anexar um armazenamento confiável compartilhado a um novo receptor.

balanceamento elástico de carga: ModifyListener

Pode anexar um armazenamento confiável compartilhado a um receptor existente.

balanceamento elástico de carga: GetTrustStoreCaCertificatesBundle

Pode baixar o pacote de certificados de CA associado ao armazenamento confiável compartilhado.

balanceamento elástico de carga: GetTrustStoreRevocationContent

Pode baixar o arquivo de revogação associado ao armazenamento confiável compartilhado.

elasticloadbalancing: (Padrão) DescribeTrustStores

Pode listar todos os armazenamentos confiáveis pertencentes e compartilhados com a conta.

elasticloadbalancing: (Padrão) DescribeTrustStoreRevocations

Pode listar todo o conteúdo de revogação de um determinado armazenamento confiável.

elasticloadbalancing: (Padrão) DescribeTrustStoreAssociations

Pode listar todos os recursos na conta do consumidor do armazenamento confiável que estão associados ao armazenamento confiável compartilhado.

Compartilhar um armazenamento confiável

Para compartilhar um armazenamento confiável, é necessário adicioná-lo a um compartilhamento de recursos. Um compartilhamento de recursos é um recurso do AWS RAM que permite que você compartilhe seus recursos entre Contas da AWS. Um compartilhamento de recursos especifica os recursos a serem compartilhados, os consumidores com os quais compartilhá-los e quais ações as entidades principais poderão executar. Ao compartilhar um repositório fiduciário usando o EC2 console da Amazon, você o adiciona a um compartilhamento de recursos existente. Para adicionar o armazenamento confiável a um novo compartilhamento de recursos, primeiramente você deve criar o compartilhamento de recursos usando o console do AWS RAM.

Ao compartilhar um repositório confiável que você possui com outras pessoas Contas da AWS, você permite que essas contas associem seus ouvintes do Application Load Balancer aos armazenamentos confiáveis em sua conta.

Se você faz parte de uma organização AWS Organizations e o compartilhamento dentro de sua organização está ativado, os consumidores em sua organização recebem automaticamente acesso ao armazenamento confiável compartilhado. Caso contrário, os consumidores receberão um convite para participar do compartilhamento de recursos e terão acesso ao armazenamento confiável compartilhado depois de aceitar o convite.

Você pode compartilhar uma loja fiduciária de sua propriedade usando o EC2 console da Amazon, o AWS RAM console ou AWS CLI o.

Para compartilhar uma loja fiduciária que você possui usando o EC2 console da Amazon

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Balanceamento de carga, escolha Armazenamentos confiáveis.

  3. Selecione o nome do armazenamento confiável para exibir a página de detalhes.

  4. Na guia Compartilhamento, escolha Compartilhar armazenamento confiável.

  5. Na página Compartilhar armazenamento confiável, em Compartilhamentos de recursos, selecione com quais compartilhamentos de recursos seu armazenamento confiável será compartilhado.

  6. (Opcional) Caso precise criar um novo compartilhamento de recursos, selecione o link Criar um compartilhamento de recursos no console do RAM.

  7. Selecione Compartilhar armazenamento confiável.

Para compartilhar um repositório fiduciário que você possui usando o AWS RAM console

Consulte Criar um compartilhamento de recursos no Manual do usuário do AWS RAM .

Para compartilhar uma loja fiduciária que você possui usando o AWS CLI

Use o comando create-resource-share.

Parar de compartilhar um armazenamento confiável

Para interromper o compartilhamento de um armazenamento confiável de sua propriedade, remova-o do compartilhamento de recursos. As associações existentes persistem após você parar de compartilhar seu armazenamento confiável, no entanto, novas associações com um armazenamento confiável compartilhado anteriormente não são permitidas. Quando o proprietário do armazenamento confiável ou o consumidor do armazenamento confiável excluir uma associação, ela será excluída de ambas as contas. Se um consumidor de armazenamento confiável quiser sair de um compartilhamento de recursos, ele deverá pedir ao proprietário do compartilhamento de recursos que remova a conta.

Excluir associações

Os proprietários de lojas confiáveis podem excluir com força as associações existentes de lojas confiáveis usando o DeleteTrustStoreAssociationcomando. Quando uma associação é excluída, qualquer receptor do balanceador de carga que usa o armazenamento confiável não pode mais verificar os certificados do cliente e falhará nos handshakes de TLS.

Você pode parar de compartilhar uma loja fiduciária usando o EC2 console da Amazon, o AWS RAM console ou AWS CLI o.

Para parar de compartilhar uma loja fiduciária que você possui usando o EC2 console da Amazon

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Balanceamento de carga, escolha Armazenamentos confiáveis.

  3. Selecione o nome do armazenamento confiável para exibir a página de detalhes.

  4. Na guia Compartilhamento, em Compartilhamento de recursos, selecione os compartilhamentos de recursos com os quais interromper o compartilhamento.

  5. Escolha Remover.

Para parar de compartilhar um repositório fiduciário que você possui usando o AWS RAM console

Consulte Atualização de um compartilhamento de atributos no Guia do usuário do AWS RAM .

Para parar de compartilhar uma loja confiável que você possui usando o AWS CLI

Use o comando disassociate-resource-share.

Faturamento e medição

Os armazenamentos confiáveis compartilhados têm a mesma taxa padrão de armazenamento confiável, cobrada por hora, por associação de armazenamento confiável com um Application Load Balancer.

Para obter mais informações, incluindo a taxa específica por região, consulte os preços do Elastic Load Balancing