本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 中跨账户连接的提供商注意事项 EventBridge
要在另一个 AWS 账户中创建与私有 API 的连接,该账户的所有者必须与您共享该私有 API 的 VPC Lattice 资源配置。资源配置是一个逻辑对象,用于标识 API,并指定可访问该资源的对象及访问方式。*提供者*账户(即与其他账户共享私有 API 的 VPC Lattice 资源配置的账户)使用 AWS RAM共享 VPC Lattice 资源配置。
如果您的账户是 VPC Lattice 资源配置的提供者,请谨记以下注意事项:
## 跨账户私有账户资源配置的资源策略 APIs
默认情况下,创建 AWS RAM 资源共享包括必要的共享策略`AWSRAMPermissionVpcLatticeResourceConfiguration`。如果创建的是客户托管权限策略,则必须包括必要的权限。
以下策略示例提供了创建连接私有 API 所需的 EventBridge 资源关联所需的最低必要权限。
+ `vpc-lattice:GetResourceConfiguration` EventBridge 允许检索您指定的 Amazon VPC Lattice 资源配置。
+ `vpc-lattice:CreateServiceNetworkResourceAssociation` EventBridge 允许根据您指定的 VPC Lattice 资源配置创建资源关联。
+ `vpc-lattice:AssociateViaAWSService-EventsAndStates` EventBridge 允许创建与该服务拥有的VPC莱迪思服务网络的资源关联。
```
{
"Effect": "Allow",
"Action": [
"vpc-lattice:CreateServiceNetworkResourceAssociation",
"vpc-lattice:GetResourceConfiguration",
"vpc-lattice:AssociateViaAWSService-EventsAndStates"
]
}
```
有关更多信息,请参阅《AWS Resource Access Manager 用户指南》**中的[在 AWS RAM中管理权限](https://docs.aws.amazon.com/ram/latest/userguide/security-ram-permissions.html)。
## 提供者监控连接创建
当另一个账户使用您共享的 VPC Lattice 资源配置创建 EventBridge 连接时,会 AWS CloudTrail 记录一个`CreateServiceNetworkResourceAssociationBySharee`事件。有关更多信息,请参阅 [监控连接创建](connection-private.md#connection-private-monitoring-create)。
## 配置安全组以访问私有网络 APIs
借助 VPC Lattice,您可以创建和分配安全组,从而为您的目标 API 和资源网关实施额外的网络级安全保护。为了让 EventBridge和 Step Functions 成功访问您的私有 API,必须正确配置目标 API 和资源网关上的安全组。如果配置不正确,服务将在尝试调用您的 API 时返回“连接超时”错误。
对于您的目标 API,安全组必须配置为允许来自资源网关安全组的所有端口 443 入站 TCP 流量。
对于您的资源网关,安全组必须配置为允许以下流量:
+ 来自:: /0 CIDR 范围的所有端口上的所有入站 IPv6 T IPv6 CP 流量。
+ 通过 0.0.0.0/ IPv6 0 CIDR 范围的所有端口上的所有入站 IPv4 TCP 流量。
+ 对于您的目标 API 接受的 IP 协议,所有通过端口 443 流向目标资源使用的安全组的出站 TCP 流量(IPv4 或 IPv6)。
有关更多信息,请参阅《Amazon VPC Lattice 用户指南》**中的以下主题:
+ [使用安全组控制 VPC 莱迪思中的流量](https://docs.aws.amazon.com/vpc-lattice/latest/ug/security-groups.html)
+ [VPC Lattice 中的资源网关](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html)