Tipos de configurações de recursos Gateway de recursos Nomes de domínio personalizados para provedores de recursos Nomes de domínio personalizados para consumidores de recursos Nomes de domínio personalizados para proprietários de redes de serviços Definição de recurso Protocolo Intervalo de portas Acesso a recursos da Associação com tipo de rede de serviço Tipos de redes de serviço Compartilhando configurações de recursos por meio de AWS RAM Monitoramento

Configuração de recurso para recursos de VPC

Uma configuração de recurso representa um recurso ou um grupo de recursos que você deseja tornar acessível a clientes em VPCs outras contas. Ao definir uma configuração de recursos, você pode permitir conectividade de rede privada, segura e unidirecional aos recursos em sua VPC de clientes em outras contas. VPCs Uma configuração de recursos é associada a um gateway de recursos pelo qual recebe tráfego.

Conteúdo

Tipos de configurações de recursos
Gateway de recursos
Nomes de domínio personalizados para provedores de recursos
Nomes de domínio personalizados para consumidores de recursos
Nomes de domínio personalizados para proprietários de redes de serviços
Definição de recurso
Protocolo
Intervalo de portas
Acesso a recursos da
Associação com tipo de rede de serviço
Tipos de redes de serviço
Compartilhando configurações de recursos por meio de AWS RAM
Monitoramento
Criar uma configuração de recurso
Gerenciar associações

Tipos de configurações de recursos

Um configuração de recurso pode ser de vários tipos. Os diferentes tipos ajudam a representar diferentes tipos de recursos. Os tipos são:

Configuração de recurso único: um endereço IP ou um nome de domínio. Ela pode ser compartilhada de modo independente.
Configuração de recurso de grupo: um conjunto de configurações de recursos secundárias. Ela pode ser compartilhada de modo independente.
Configuração de recurso secundária: um membro de uma configuração de recurso de grupo. Representa um endereço IP ou um nome de domínio. Ela não pode ser compartilhada de modo independente, só pode ser compartilhada como parte de um grupo. Pode ser adicionada e removida de um grupo facilmente. Quando adicionada, pode ser acessada automaticamente por quem pode acessar o grupo.
Configuração do recurso ARN: representa um tipo de recurso compatível que é provisionado por um serviço. AWS Por exemplo, um banco de dados do Amazon RDS. As configurações de recursos secundárias são gerenciadas automaticamente pela AWS.

Gateway de recursos

Uma configuração de recurso é associada a um gateway de recursos. Um gateway de recursos é um conjunto ENIs que serve como um ponto de entrada na VPC na qual o recurso está. Várias configurações de recursos podem ser associadas ao mesmo gateway de recursos. Quando clientes em outras VPCs contas acessam um recurso em sua VPC, o recurso vê o tráfego vindo localmente do gateway de recursos nessa VPC.

Nomes de domínio personalizados para provedores de recursos

Os provedores de recursos podem anexar um nome de domínio personalizado a uma configuração de recursos, comoexample.com, por exemplo, qual recurso os consumidores podem usar para acessar a configuração do recurso. O nome de domínio personalizado pode pertencer e ser verificado pelo provedor de recursos, ou pode ser de terceiros ou de um AWS domínio. Os provedores de recursos podem usar configurações de recursos para compartilhar clusters de cache e clusters Kafka, aplicativos baseados em TLS ou outros recursos. AWS

As considerações a seguir se aplicam aos fornecedores de configurações de recursos:

Uma configuração de recurso só pode ter um domínio personalizado.
O nome de domínio personalizado de uma configuração de recurso não pode ser alterado.
O nome de domínio personalizado é visível para todos os consumidores de configuração de recursos.
Você pode verificar seu nome de domínio personalizado usando o processo de verificação de nome de domínio no VPC Lattice. Para obter mais informações, consultehttps://docs.aws.amazon.com/vpc-lattice/latest/ug/create-and-verify.html.
Para configurações de recursos do tipo grupo e filho, você deve primeiro especificar um domínio de grupo na configuração de recursos do grupo. Depois, as configurações de recursos secundários podem ter domínios personalizados que são subdomínios do domínio do grupo. Se o grupo não tiver um domínio de grupo, você poderá usar qualquer nome de domínio personalizado para o filho, mas o VPC Lattice não provisionará nenhuma zona hospedada para os nomes de domínio secundário na VPC do consumidor do recurso.

Nomes de domínio personalizados para consumidores de recursos

Quando os consumidores de recursos habilitam a conectividade com uma configuração de recurso que tem um nome de domínio personalizado, eles podem permitir que o VPC Lattice gerencie uma zona hospedada privada do Route 53 em sua VPC. Os consumidores de recursos têm opções granulares para quais domínios desejam permitir que o VPC Lattice gerencie zonas hospedadas privadas.

Os consumidores de recursos podem definir o private-dns-enabled parâmetro ao habilitar a conectividade às configurações de recursos por meio de um endpoint de recursos, endpoint de rede de serviços ou associação VPC de rede de serviços. Junto com o private-dns-enabled parâmetro, os consumidores podem usar as opções de DNS para especificar para quais domínios desejam que o VPC Lattice gerencie zonas hospedadas privadas. Os consumidores podem escolher entre as seguintes preferências de DNS privado:

ALL_DOMAINS: O VPC Lattice provisiona zonas hospedadas privadas para todos os nomes de domínio personalizados.
VERIFIED_DOMAINS_ONLY: O VPC Lattice provisiona uma zona hospedada privada somente se o nome de domínio personalizado tiver sido verificado pelo provedor.
VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS: O VPC Lattice provisiona zonas hospedadas privadas para todos os nomes de domínio personalizados verificados e outros nomes de domínio especificados pelo consumidor do recurso. O consumidor do recurso especifica os nomes de domínio no private DNS specified domains parâmetro.
SPECIFIED_DOMAINS_ONLY: O VPC Lattice provisiona uma zona hospedada privada para nomes de domínio especificados pelo consumidor do recurso. O consumidor do recurso especifica os nomes de domínio no private DNS specified domains parâmetro.

Quando você ativa o DNS privado, o VPC Lattice cria uma zona hospedada privada em sua VPC para o nome de domínio personalizado associado à configuração do recurso. Por padrão, a preferência de DNS privado é definida como. VERIFIED_DOMAINS_ONLY Isso significa que as zonas hospedadas privadas são criadas somente se o nome de domínio personalizado tiver sido verificado pelo provedor de recursos. Se você definir sua preferência de DNS privado como ALL_DOMAINS ouSPECIFIED_DOMAINS_ONLY, em seguida, o VPC Lattice cria zonas hospedadas privadas, independentemente do status de verificação do nome de domínio personalizado. Quando uma zona hospedada privada é criada para um determinado domínio, todo o tráfego da sua VPC para esse domínio é roteado pela VPC Lattice. Recomendamos que você use as SPECIFIED_DOMAINS_ONLY preferênciasALL_DOMAINS,VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS, ou somente quando quiser que o tráfego para esses nomes de domínio personalizados passe pelo VPC Lattice.

Recomendamos que os consumidores de recursos definam suas preferências de DNS privado comoVERIFIED_DOMAINS_ONLY. Isso permite que os consumidores aumentem seu perímetro de segurança, permitindo apenas que a VPC Lattice provisione zonas hospedadas privadas para domínios verificados na conta do consumidor do recurso.

Para selecionar domínios nos domínios específicos do DNS privado, os consumidores de recursos podem inserir um nome de domínio totalmente qualificado, como, my.example.com ou usar um caractere curinga, como. *.example.com

As considerações a seguir se aplicam aos consumidores de configurações de recursos:

O parâmetro DNS privado habilitado não pode ser alterado.
O DNS privado deve estar habilitado em uma associação de recursos de rede de serviços para que uma hospedagem privada seja criada em uma VPC. Para uma configuração de recursos, o status habilitado para DNS privado da associação de recursos de rede de serviços substitui o status habilitado para DNS privado do endpoint da rede de serviços ou da associação VPC da rede de serviços.

Nomes de domínio personalizados para proprietários de redes de serviços

A propriedade habilitada para DNS privado da associação de recursos da rede de serviços substitui a propriedade habilitada para DNS privado do endpoint da rede de serviços e a associação VPC da rede de serviços.

Se o proprietário de uma rede de serviços criar uma associação de recursos de rede de serviços e não habilitar o DNS privado, o VPC Lattice não provisionará zonas hospedadas privadas para essa configuração de recursos em VPCs nenhuma das quais a rede de serviço esteja conectada, mesmo que o DNS privado esteja habilitado no endpoint da rede de serviços ou nas associações VPC da rede de serviços.

Para configurações de recursos do tipo ARN, o sinalizador DNS privado é verdadeiro e imutável.

Definição de recurso

Na configuração do recurso, identifique o recurso de uma das seguintes maneiras:

Por um nome de recurso da Amazon (ARN): os tipos de recursos compatíveis que são provisionados por AWS serviços podem ser identificados por seu ARN. Somente os bancos de dados do Amazon RDS são compatíveis. Você não pode criar uma configuração de recurso para um cluster acessível publicamente.
Por um destino de nome de domínio: qualquer nome de domínio que possa ser resolvido publicamente. Se o nome de domínio apontar para um IP fora de sua VPC, você deverá ter um gateway NAT em sua VPC.
Por endereço IP: Para IPv4, especifique um IP privado dos seguintes intervalos: 10.0.0.0/8, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16. Para IPv6, especifique um IP da VPC. O público IPs não é suportado.

Protocolo

Quando você cria uma configuração de recurso, pode definir os protocolos com que o recurso será compatível. Atualmente, apenas o protocolo TCP é compatível.

Intervalo de portas

Quando você cria uma configuração de recurso, pode definir as portas em que aceitará solicitações. O acesso de cliente em outras portas não será permitido.

Acesso a recursos da

Os consumidores podem acessar as configurações de recursos diretamente de sua VPC usando um endpoint da VPC ou por uma rede de serviço. Como consumidor, você pode habilitar o acesso de sua VPC a uma configuração de recurso que esteja em sua conta ou que tenha sido compartilhada com você de outra conta pelo AWS RAM.

Acessar uma configuração de recurso diretamente

Você pode criar um AWS PrivateLink VPC endpoint do tipo resource (endpoint de recurso) na sua VPC para acessar uma configuração de recursos de forma privada a partir da sua VPC. Para obter mais informações sobre como criar um endpoint de recurso, consulte Accessing VPC resources no AWS PrivateLink User Guide.
Acessar uma configuração de recurso por uma rede de serviço

Você pode associar uma configuração de recurso a uma rede de serviço e conectar sua VPC à rede de serviço. Você pode conectar sua VPC à rede de serviços por meio de uma associação ou usando um endpoint VPC de AWS PrivateLink rede de serviços.

Para obter mais informações sobre associações de rede de serviço, consulte Manage the associations for a VPC Lattice service network.

Para obter mais informações sobre endpoints da VPC de rede de serviço, consulte Access service networks no AWS PrivateLink User Guide.

Quando DNS privado está habilitado para a VPC, você não pode criar um endpoint de recurso e um endpoint de rede de serviço para a mesma configuração de recurso.

Associação com tipo de rede de serviço

Quando você compartilha uma configuração de recurso com uma conta de consumidor, por exemplo, Conta-B, por meio AWS RAM de, a Conta B pode acessar a configuração do recurso diretamente por meio de um endpoint VPC de recursos ou por meio de uma rede de serviços.

Para acessar uma configuração de recurso por uma rede de serviço, a Conta B precisaria associar a configuração de recurso a uma rede de serviço. As redes de serviço podem ser compartilhadas entre contas. Assim, a Conta B pode compartilhar sua rede de serviço (à qual a configuração de recurso está associada) com a Conta C, tornando o recurso acessível da Conta C.

Para evitar esse compartilhamento transitivo, você pode especificar que a configuração de recurso não pode ser adicionada a redes de serviço que possam ser compartilhadas entre contas. Se essa for sua especificação, a Conta B não poderá adicionar sua configuração de recurso a redes de serviço que sejam ou possam ser compartilhadas com outra conta no futuro.

Tipos de redes de serviço

Quando você compartilha uma configuração de recurso com outra conta, por exemplo, Conta-B, por meio AWS RAM de, a Conta-B pode acessar o recurso de uma das três maneiras:

Usando um endpoint da VPC do tipo recurso (endpoint da VPC de recurso).
Usando um endpoint da VPC do tipo rede de serviço (endpoint da VPC de rede de serviço).
Usando uma associação de VPC de rede de serviço.

Quando você usa uma associação de serviço-rede, cada recurso recebe um IP por sub-rede do bloco 129.224.0.0/17, que é próprio e não roteável. AWS Isso é além da lista de prefixos gerenciados que o VPC Lattice usa para rotear o tráfego para serviços pela rede do VPC Lattice. Ambos IPs são atualizados na tabela de rotas da sua VPC.

Para o endpoint da VPC de rede de serviço e a associação da VPC de rede de serviço, a configuração de recurso teria que ser colocada em uma rede de serviço na Conta B. As redes de serviço podem ser compartilhadas entre contas. Assim, a Conta B pode compartilhar sua rede de serviço (que contém a configuração de recurso) com a Conta C, tornando o recurso acessível da Conta C. Para evitar esse compartilhamento transitivo, você pode impedir que a configuração de recurso seja adicionada a redes de serviço que possam ser compartilhadas entre contas. Se você não permitir isso, a Conta B não poderá adicionar sua configuração de recurso a uma rede de serviço que seja ou possa ser compartilhada com outra conta.

As configurações de recursos são integradas com o. AWS Resource Access Manager Você também pode compartilhar a configuração de recurso com outra conta pelo AWS RAM. Quando você compartilha uma configuração de recurso com uma AWS conta, os clientes dessa conta podem acessar o recurso de forma privada. Você pode compartilhar uma configuração de recurso usando um compartilhamento de recurso no AWS RAM.

Use o AWS RAM console para ver os compartilhamentos de recursos aos quais você foi adicionado, os recursos compartilhados que você pode acessar e as AWS contas que compartilharam recursos com você. Para obter mais informações, consulte Resources shared with you no AWS RAM User Guide.

Para acessar um recurso de outra VPC na mesma conta da configuração do recurso, você não precisa compartilhar a configuração do recurso por meio de. AWS RAM

Monitoramento

Você pode habilitar logs de monitoramento na configuração de recurso. Você pode escolher um destino para enviar os logs.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciar endpoints de recurso

Criar uma configuração de recurso