API 提供者：使用共用您的私有自訂網域名稱 AWS RAM

共用私有自訂網域名稱的考量事項允許其他帳戶與您的私有自訂網域名稱建立網域名稱存取關聯允許其他帳戶調用您的私有自訂網域名稱

您可以在其他 AWS 帳戶存取中為 API 取用者提供私有自訂網域名稱。在本節中，您將了解如何使用共用私有自訂網域名稱， AWS RAM 以及如何控制對私有自訂網域名稱的存取。

下列考量可能會影響您使用 AWS RAM提供私有自訂網域名稱之存取權的方式。若要了解如何共用私有自訂網域名稱而不使用 AWS RAM，請參閱 API 提供者：使用 API Gateway 共用您的私有自訂網域名稱 AWS CLI。

私有自訂網域名稱會在 AWS 區域層級共用。私有自訂網域名稱和 VPC 端點必須位於相同的 AWS 區域中。
您可以與多個主體使用一個資源分享，並在建立資源分享後，為其新增更多主體。建議您盡可能重複使用資源分享。
您始終需要授予 API 取用者的 VPC 端點存取權，才能調用您的私有自訂網域名稱，以及任何與其映射的私有 API。
如果 API 取用者和 API 提供者位於使用的相同組織中 AWS Organizations，則會自動接受資源共用。您仍然需要使用 AWS RAM建立資源分享。
如果 API 取用者和 API 提供者位於使用的相同組織中， AWS Organizations 且組織內的資源共用已啟用，則與您共用的組織中的任何主體都會自動獲得資源共用的存取權。不需要邀請函的，可以略過資源分享。
如果 API 取用者在 12 小時內不接受資源分享，API 提供者必須再次分享資源。

在您建立資源共用後，會 AWS RAM 更新私有自訂網域名稱managementPolicy的 Amazon API Gateway Management 服務的，以防止在沒有明確存取的情況下allow存取主體。如需詳細資訊，請參閱《IAM 使用者指南》中的判斷帳戶中的請求獲得允許或遭到拒絕。

更新的 managementPolicy 如下所示：


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": [
                "execute-api:/*"
            ]
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": [
                "execute-api:/*"
            ],
            "Condition" : {
                "StringNotEquals": {
                    "aws:SourceVpce": "vpce-abcd1234efg"
                }
            }
        }
    ]
}

AWS RAM 已透過新增下列項目，防止主體無法明確allow存取以建立與私有自訂網域名稱的存取關聯：


"StringNotEquals": {
    "aws:PrincipalAccount": "111122223333"
}

您仍然可以在建立私有自訂網域名稱 AWS 帳戶的中使用主體來建立網域名稱存取關聯。

允許其他帳戶與您的私有自訂網域名稱建立網域名稱存取關聯

首先，您將存取權授予另一個， AWS 帳戶以建立與私有自訂網域名稱的網域名稱存取關聯。

在您提供對另一個的存取權之後 AWS 帳戶，該帳戶中的 API 取用者必須在其 VPC 端點與您的私有自訂網域名稱之間建立網域名稱存取關聯。您無法為其建立網域名稱存取關聯。如需詳細資訊，請參閱為您的 VPC 端點與分享的私有自訂網域名稱建立關聯。

允許其他帳戶調用您的私有自訂網域名稱

接下來，您會授予 API 取用者之 VPC 端點的存取權，以調用私有自訂網域名稱和任何與其映射的私有 API。

AWS Management Console

允許其他帳戶中的 VPC 端點調用您的私有自訂網域名稱

在以下網址登入 API Gateway 主控台：https://console.aws.amazon.com/apigateway。
在主要導覽窗格中，選擇自訂網域名稱。
選擇您與其他共用的私有自訂網域名稱 AWS 帳戶。
在資源政策標籤上，選擇編輯資源政策。
將 API 取用者的 VPC 端點 ID 新增至您的資源政策。

您可以在私有自訂網域名稱的網域詳細資訊頁面上的資源分享標籤的網域名稱存取關聯區段中，找到 API 取用者的 VPC 端點 ID。
選擇儲存變更。

AWS CLI

下列的 execute-api 服務 policy，允許從 VPC 端點 vpce-abcd1234efg 和 vpce-xyz000abc 二者傳入私有自訂網域名稱的流量。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": [
                "execute-api:/*"
            ]
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": [
                "execute-api:/*"
            ],
            "Condition" : {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                    "vpce-abcd1234efg",
                    "vpce-xyz000abc"
                    ]
                }
            }
        }
    ]
}

下列 update-domain-name 命令使用修補程式作業來更新私有自訂網域名稱的 policy：


aws apigateway update-domain-name
    --domain-name private.example.com \
    --domain-name-id abcd1234 \
    --patch-operations op=replace,path=/policy,value='"{\"Version\": \"2012-10-17\",\"Statement\": [{\"Effect\": \"Allow\",\"Principal\": \"*\",\"Action\": \"execute-api:Invoke\",\"Resource\":[\"execute-api:/*\"]},{\"Effect\": \"Deny\",\"Principal\": \"*\",\"Action\": \"execute-api:Invoke\",\"Resource\":[\"execute-api:/*\"],\"Condition\":{\"StringNotEquals\":[\"vpce-abcd1234efg\", \"vpce-xyz000abc\"]}}}]}"

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用跨帳戶私有自訂網域名稱

API 提供者：使用停止共用私有自訂網域名稱 AWS RAM

API 提供者：使用 共用您的私有自訂網域名稱 AWS RAM

共用私有自訂網域名稱的考量事項

允許其他帳戶與您的私有自訂網域名稱建立網域名稱存取關聯

允許其他帳戶調用您的私有自訂網域名稱

允許其他帳戶中的 VPC 端點調用您的私有自訂網域名稱

API 提供者：使用共用您的私有自訂網域名稱 AWS RAM