Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazioni delle risorse per le risorse VPC
Una configurazione di risorse rappresenta una risorsa o un gruppo di risorse che desideri rendere accessibili ai client di altri VPCs account. Definendo una configurazione delle risorse, puoi consentire la connettività di rete privata, sicura e unidirezionale alle risorse del tuo VPC da client di altri account. VPCs Una configurazione delle risorse è associata a un gateway di risorse attraverso il quale riceve il traffico. Affinché una risorsa sia accessibile da un altro VPC, deve disporre di una configurazione delle risorse.
Tipi di configurazioni delle risorse
Una configurazione delle risorse può essere di diversi tipi. I diversi tipi aiutano a rappresentare diversi tipi di risorse. I tipi sono:
-
Configurazione a risorsa singola: rappresenta un indirizzo IP o un nome di dominio. Può essere condivisa indipendentemente.
-
Configurazione delle risorse di gruppo: è una raccolta di configurazioni di risorse secondarie. Può essere usato per rappresentare un gruppo di endpoint DNS e indirizzi IP.
-
Configurazione delle risorse secondarie: è un membro di una configurazione di risorse di gruppo. Rappresenta un indirizzo IP o un nome di dominio. Non può essere condiviso in modo indipendente; può essere condiviso solo come parte di un gruppo. Può essere aggiunto e rimosso da un gruppo. Una volta aggiunto, è automaticamente accessibile a coloro che possono accedere al gruppo.
-
Configurazione delle risorse ARN: rappresenta un tipo di risorsa supportato fornito da un servizio. AWS Qualsiasi relazione gruppo-figlio viene gestita automaticamente.
L'immagine seguente mostra una configurazione di risorse singole, secondarie e di gruppo:
Gateway di risorse
Una configurazione delle risorse è associata a un gateway di risorse. Un gateway di risorse è un insieme di ENIs dispositivi che fungono da punto di ingresso nel VPC in cui si trova la risorsa. È possibile associare più configurazioni di risorse allo stesso gateway di risorse. Quando i client di altri VPCs account accedono a una risorsa nel tuo VPC, la risorsa vede il traffico proveniente localmente dagli indirizzi IP del gateway di risorse in quel VPC.
Definizione della risorsa
Nella configurazione della risorsa, identificate la risorsa in uno dei seguenti modi:
-
Con un Amazon Resource Name (ARN): i tipi di risorse supportati forniti dai servizi AWS , come i database Amazon RDS, possono essere identificati dal relativo ARN.
-
In base a un nome di dominio come destinazione: puoi utilizzare qualsiasi nome di dominio risolvibile pubblicamente. Se il tuo nome di dominio punta a un IP esterno al tuo VPC, devi avere un gateway NAT nel tuo VPC.
-
Tramite un indirizzo IP: Per IPv4, specifica un IP privato tra i seguenti intervalli: 10.0.0.0/8, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16. Per IPv6, specifica un IP dal VPC. IPs I pubblici non sono supportati.
Protocollo
Quando crei una configurazione di risorse, puoi definire i protocolli che la risorsa supporterà. Attualmente è supportato solo il protocollo TCP.
Intervalli di porte
Quando si crea una configurazione di risorse, è possibile definire le porte su cui verranno accettate le richieste. L'accesso del client su altre porte non sarà consentito.
Accesso alle risorse
I consumatori possono accedere alle configurazioni delle risorse direttamente dal proprio VPC utilizzando un endpoint VPC o tramite una rete di servizi. In qualità di consumatore, puoi abilitare l'accesso dal tuo VPC a una configurazione di risorse presente nel tuo account o che è stata condivisa con te da un altro account tramite. AWS RAM
-
Accesso diretto a una configurazione delle risorse
Puoi creare un endpoint AWS PrivateLink VPC di tipo risorsa (endpoint di risorse) nel tuo VPC per accedere a una configurazione di risorse in modo privato dal tuo VPC. Per ulteriori informazioni su come creare un endpoint di risorse, consulta Accesso alle risorse VPC nella guida per AWS PrivateLink l'utente.
-
Accesso a una configurazione di risorse tramite una rete di servizi
Puoi associare una configurazione di risorse a una rete di servizi e connettere il tuo VPC alla rete di servizi. Puoi connettere il tuo VPC alla rete di servizio tramite un'associazione o utilizzando un endpoint VPC AWS PrivateLink della rete di servizi.
Per ulteriori informazioni sulle associazioni delle reti di servizio, consulta Gestire le associazioni per una rete di servizi VPC Lattice.
Per ulteriori informazioni sugli endpoint VPC della rete di servizio, consulta Accedere alle reti di servizio nella guida per l'AWS PrivateLink utente.
Associazione con il tipo di rete di servizio
Quando condividi una configurazione di risorse con un account consumatore, ad esempio Account-B AWS RAM, tramite Account-B puoi accedere alla configurazione delle risorse direttamente tramite un endpoint VPC di risorse o tramite una rete di servizi.
Per accedere a una configurazione delle risorse tramite una rete di servizi, l'Account-B dovrebbe associare la configurazione delle risorse a una rete di servizi. Le reti di servizio sono condivisibili tra account. Pertanto, l'Account-B può condividere la propria rete di servizi (a cui è associata la configurazione delle risorse) con l'Account-C, rendendo la risorsa accessibile dall'Account-C.
Per impedire tale condivisione transitiva, è possibile specificare che la configurazione delle risorse non può essere aggiunta alle reti di servizi condivisibili tra account. Se lo specifichi, l'Account-B non sarà in grado di aggiungere la configurazione delle risorse alle reti di servizi che sono condivise o che possono essere condivise con un altro account in futuro.
Tipi di reti di servizio
Quando condividi una configurazione di risorse con un altro account, ad esempio Account-B AWS RAM, tramite Account-B puoi accedere alle risorse specificate nella configurazione delle risorse in tre modi:
-
Utilizzo di un endpoint VPC di tipo risorsa (endpoint VPC di risorsa).
-
Utilizzo di un endpoint VPC di tipo service network (endpoint VPC della rete di assistenza).
-
Utilizzo di un'associazione VPC di rete di servizi.
Per l'endpoint VPC della rete di servizio e l'associazione VPC della rete di servizio, la configurazione delle risorse dovrebbe essere associata a una rete di servizi nell'Account-B. Le reti di servizi sono condivisibili tra account. Pertanto, l'Account-B può condividere la propria rete di servizi (che contiene la configurazione delle risorse) con l'Account-C, rendendo la risorsa accessibile dall'Account-C. Per impedire tale condivisione transitiva, è possibile impedire che la configurazione delle risorse venga aggiunta a reti di servizi condivisibili tra account. Se non consentite questa opzione, l'Account-B non sarà in grado di aggiungere la configurazione delle risorse a una rete di servizi condivisa o condivisa con un altro account.
Condivisione delle configurazioni delle risorse tramite AWS RAM
Le configurazioni delle risorse sono integrate con. AWS Resource Access ManagerÈ possibile condividere la configurazione delle risorse con un altro account tramite AWS RAM. Quando condividi una configurazione di risorse con un AWS account, i client di quell'account possono accedere privatamente alla risorsa. È possibile condividere una configurazione di risorse utilizzando una condivisione di risorse in AWS RAM.
Usa la AWS RAM console per visualizzare le condivisioni di risorse a cui sei stato aggiunto, le risorse condivise a cui puoi accedere e gli AWS account che hanno condiviso risorse con te. Per ulteriori informazioni, consulta Risorse condivise con te nella Guida AWS RAM per l'utente.
Per accedere a una risorsa da un altro VPC nello stesso account della configurazione della risorsa, non è necessario condividere la configurazione della risorsa tramite. AWS RAM
Monitoraggio
È possibile abilitare i log di monitoraggio sulla configurazione delle risorse. È possibile scegliere una destinazione a cui inviare i log.
