As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Considerações do provedor para conexões entre contas em EventBridge
Para criar uma conexão com uma API privada em outra AWS conta, o proprietário dessa conta deve compartilhar uma configuração de recursos do VPC Lattice para a API privada com você. Uma configuração de recurso é um objeto lógico que identifica a API e especifica como e quem pode acessá-lo. A conta do provedor, ou seja, a conta que compartilha a configuração de recurso do VPC Lattice para a API privada com outra conta, compartilha a configuração de recurso do VPC Lattice usando o AWS RAM.
Se a conta for o fornecedor de uma configuração de recurso do VPC Lattice, lembre-se das seguintes considerações:
Política de recursos para configurações de recursos para contas privadas entre contas APIs
Por padrão, a criação de um compartilhamento de AWS RAM recursos inclui a política de compartilhamento necessária,AWSRAMPermissionVpcLatticeResourceConfiguration. Se criar uma política de permissão gerenciada pelo cliente, você deverá incluir as permissões necessárias.
O exemplo de política a seguir fornece as permissões mínimas necessárias EventBridge para criar a associação de recursos necessária para uma conexão com uma API privada.
vpc-lattice:GetResourceConfigurationpermite recuperar EventBridge a configuração de recursos do Amazon VPC Lattice que você especificar.vpc-lattice:CreateServiceNetworkResourceAssociationpermite criar EventBridge a associação de recursos a partir da configuração de recursos do VPC Lattice que você especificar.vpc-lattice:AssociateViaAWSService-EventsAndStatespermite EventBridge criar uma associação de recursos a uma rede de serviços VPC Lattice de propriedade do serviço.
{ "Effect": "Allow", "Action": [ "vpc-lattice:CreateServiceNetworkResourceAssociation", "vpc-lattice:GetResourceConfiguration", "vpc-lattice:AssociateViaAWSService-EventsAndStates" ] }
Para obter mais informações, consulte Gerenciamento de permissões no AWS RAM no Guia do usuário do AWS Resource Access Manager .
Monitoramento da criação de conexão pelo provedor
Quando outra conta cria uma EventBridge conexão usando uma configuração de recursos do VPC Lattice que você compartilhou, AWS CloudTrail registra um evento. CreateServiceNetworkResourceAssociationBySharee Para obter mais informações, consulte Monitoramento da criação de conexões.
Configurando grupos de segurança para acesso privado APIs
Com o VPC Lattice, você pode criar e atribuir grupos de segurança a fim de impor proteções de segurança no nível de rede adicionais para a API de destino e o gateway de recursos. Para EventBridge que o Step Functions acesse sua API privada com sucesso, os grupos de segurança na API de destino e no gateway de recursos devem estar configurados corretamente. Se não forem configurados corretamente, os serviços retornarão erros de “Tempo limite da conexão” durante a tentativa de chamar a API.
Para a API de destino, o grupo de segurança deve ser configurado para permitir todo o tráfego TCP de entrada na porta 443 do grupo de segurança para o gateway de recursos.
Para o gateway de recursos, o grupo de segurança deve ser configurado para permitir o seguinte:
Todo o tráfego IPv6 TCP de entrada em todas as portas do intervalo CIDR: :/0 IPv6 .
Todo o tráfego IPv4 TCP de entrada em todas as portas do intervalo CIDR 0.0.0.0/0 IPv6 .
Todo o tráfego TCP de saída na porta 443 para o grupo de segurança usado pelo seu recurso de destino, para o protocolo IP que sua API de destino aceita (IPv4 ou). IPv6
Para obter mais informações, consulte os seguintes tópicos no Guia do usuário do Amazon VPC Lattice:
