Condividi le tue risorse VPC Lattice - Amazon VPC Lattice
PrerequisitiCondividi le risorseSmetti di condividere risorseResponsabilità e autorizzazioniEventi tra account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condividi le tue risorse VPC Lattice

Amazon VPC Lattice si integra con AWS Resource Access Manager (AWS RAM) per consentire la condivisione delle risorse. AWS RAMè un servizio che consente di condividere alcune risorse VPC Lattice con altri Account AWS o tramite. AWS Organizations Con AWS RAM, condividi le risorse di cui sei proprietario creando una condivisione delle risorse. Una condivisione delle risorse specifica le risorse da condividere e i consumatori con cui condividerle. I consumatori possono includere:

  • Specifico Account AWS all'interno o all'esterno della sua organizzazione inAWS Organizations.

  • Un'unità organizzativa all'interno della propria organizzazione inAWS Organizations.

  • Un'intera organizzazione inAWS Organizations.

Per ulteriori informazioni su AWS RAM, consulta la Guida per l'utente di AWS RAM.

Prerequisiti per la condivisione delle risorse VPC Lattice

  • Per condividere una risorsa, devi possederla nel tuo. Account AWS Ciò significa che la risorsa deve essere allocata o fornita nel tuo account. Non puoi condividere una risorsa che è stata condivisa con te.

  • Per condividere una risorsa con la tua organizzazione o un'unità organizzativa inAWS Organizations, devi abilitare la condivisione conAWS Organizations. Per ulteriori informazioni, consulta Abilitare la condivisione delle risorse AWS Organizations all'interno della Guida AWS RAM per l'utente.

Condividi le risorse VPC Lattice

Per condividere una risorsa, inizia creando una condivisione di risorse utilizzandoAWS Resource Access Manager. Una condivisione di risorse specifica le risorse da condividere, i consumatori con cui vengono condivise e le azioni che i responsabili possono eseguire.

Quando condividi una risorsa VPC Lattice di tua proprietà con altriAccount AWS, consenti a tali account di associare le proprie risorse alle risorse del tuo account. Quando crei un'associazione con una risorsa condivisa, generiamo un Amazon Resource Name (ARN) nell'account del proprietario della risorsa e più un ARN nell'account che ha creato l'associazione. In questo modo, sia il proprietario della risorsa che l'account che ha creato l'associazione possono eliminare l'associazione.

Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, ai consumatori dell'organizzazione viene automaticamente concesso l'accesso alla risorsa condivisa. In caso contrario, i consumatori ricevono un invito a partecipare alla condivisione di risorse e ottengono l'accesso alla risorsa condivisa dopo aver accettato l'invito.

Considerazioni

  • Puoi condividere due tipi di risorse VPC Lattice: reti di servizi e servizi.

  • Puoi condividere le tue risorse VPC Lattice con chiunque. Account AWS

  • Non puoi condividere le tue risorse VPC Lattice con singoli utenti e ruoli IAM.

  • VPC Lattice supporta le autorizzazioni gestite dai clienti sia per le reti di servizio che per i servizi.

Per condividere una risorsa di tua proprietà utilizzando la console VPC Lattice

  1. Accedi alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, in VPC Lattice, scegli Servizi o Reti di servizio.

  3. Scegli il nome della risorsa per aprire la relativa pagina dei dettagli, quindi scegli Share service o Share service network dalla scheda Condivisione.

  4. Scegli le condivisioni di AWS RAM risorse da Condivisioni di risorse. Per creare una condivisione di risorse, scegli Crea una condivisione di risorse nella console RAM.

  5. Scegli Share service o Share service network.

Per condividere una risorsa di tua proprietà utilizzando la AWS RAM console

Utilizza la procedura descritta in Creare una condivisione di risorse nella Guida AWS RAM per l'utente.

Per condividere una risorsa di tua proprietà utilizzando il AWS CLI

Utilizza il comando associate-resource-share.

Smetti di condividere le risorse VPC Lattice

Per interrompere la condivisione di una risorsa VPC Lattice di tua proprietà, devi rimuoverla dalla condivisione di risorse. Le associazioni esistenti persistono dopo l'interruzione della condivisione della risorsa. Non sono consentite nuove associazioni a una risorsa precedentemente condivisa. Quando il proprietario della risorsa o il proprietario dell'associazione elimina un'associazione, questa viene eliminata da entrambi gli account. Se il proprietario di un account desidera lasciare una condivisione di risorse, deve chiedere al proprietario della condivisione di risorse di rimuovere l'account.

Per interrompere la condivisione di una risorsa di tua proprietà utilizzando la console VPC Lattice

  1. Accedi alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, in VPC Lattice, scegli Servizi o Reti di servizio.

  3. Scegli il nome della risorsa per aprire la pagina dei dettagli.

  4. Nella scheda Condivisione, seleziona la casella di controllo relativa alla condivisione delle risorse, quindi scegli Rimuovi.

Per interrompere la condivisione di una risorsa di tua proprietà utilizzando la AWS RAM console

Vedi Aggiornare una condivisione di risorse nella Guida AWS RAM per l'utente.

Per interrompere la condivisione di una risorsa di tua proprietà, utilizza il AWS CLI

Utilizza il comando disassociate-resource-share.

Responsabilità e autorizzazioni

Le seguenti responsabilità e autorizzazioni si applicano all'utilizzo di risorse VPC Lattice condivise.

Proprietari delle risorse

  • Il proprietario della rete di servizi non può modificare un servizio creato da un consumatore.

  • Il proprietario della rete di assistenza non può eliminare un servizio creato da un consumatore.

  • Il proprietario della rete di assistenza può descrivere tutte le associazioni di servizi per la rete di assistenza.

  • Il proprietario della rete di assistenza può dissociare qualsiasi servizio associato alla rete di servizi, indipendentemente da chi ha creato l'associazione.

  • Il proprietario della rete di servizi può descrivere tutte le associazioni VPC per la rete di servizi.

  • Il proprietario della rete di servizi può dissociare qualsiasi VPC associato da un consumatore alla rete di servizio.

  • Il proprietario del servizio può descrivere tutte le associazioni di rete con il servizio.

  • Il proprietario del servizio può dissociare un servizio da qualsiasi rete di assistenza a cui è associato.

  • Solo l'account che ha creato un'associazione può aggiornare l'associazione tra la rete di servizi e il VPC.

Consumatori di risorse

  • Il consumatore non può eliminare un servizio che non ha creato.

  • Il consumatore può dissociare solo i servizi che ha associato a una rete di servizi.

  • Il consumatore e il proprietario della rete possono descrivere tutte le associazioni tra una rete di servizi e un servizio.

  • Il consumatore non può recuperare le informazioni di servizio di un servizio di cui non è proprietario.

  • Il consumatore può descrivere tutte le associazioni di servizi con una rete di servizi condivisa.

  • Il consumatore può associare un servizio a una rete di servizi condivisa.

  • Il consumatore può vedere tutte le associazioni VPC con una rete di servizi condivisa.

  • Il consumatore può associare un VPC a una rete di servizi condivisa.

  • Il consumatore può dissociare solo i VPC che ha associato a una rete di servizi.

  • Il consumatore di un servizio condiviso non può associare un servizio a una rete di servizi di cui non è proprietario.

  • L'utente di una rete di servizi condivisa non può associare un VPC o un servizio di cui non è proprietario.

  • Il consumatore può descrivere un servizio o una rete di servizi condivisa con lui.

  • Il consumatore non può associare due risorse se entrambe sono condivise con lui.

Eventi tra account

Quando i proprietari e i consumatori delle risorse eseguono azioni su una risorsa condivisa, tali azioni vengono registrate come eventi tra account in. AWS CloudTrail

CreateServiceNetworkServiceAssociationBySharee

Inviato al proprietario della risorsa quando un utente di risorse chiama CreateServiceNetworkServiceAssociationcon una risorsa condivisa. Se il chiamante è proprietario del servizio, l'evento viene inviato al proprietario della rete di assistenza. Se il chiamante è proprietario della rete di assistenza, l'evento viene inviato al proprietario del servizio.

CreateServiceNetworkVpcAssociationBySharee

Inviato al proprietario della risorsa quando un utente di risorse chiama CreateServiceNetworkVpcAssociationcon una rete di servizi condivisa.

DeleteServiceNetworkServiceAssociationByOwner

Inviato al proprietario dell'associazione quando il proprietario della risorsa chiama DeleteServiceNetworkServiceAssociationcon una risorsa condivisa. Se il chiamante è proprietario del servizio, l'evento viene inviato al proprietario dell'associazione della rete di servizio. Se il chiamante è proprietario della rete di servizi, l'evento viene inviato al proprietario dell'associazione di servizio.

DeleteServiceNetworkServiceAssociationBySharee

Inviato al proprietario della risorsa quando un utente di risorse chiama DeleteServiceNetworkServiceAssociationcon una risorsa condivisa. Se il chiamante è proprietario del servizio, l'evento viene inviato al proprietario della rete di assistenza. Se il chiamante è proprietario della rete di assistenza, l'evento viene inviato al proprietario del servizio.

DeleteServiceNetworkVpcAssociationByOwner

Inviato al proprietario dell'associazione quando il proprietario della risorsa chiama DeleteServiceNetworkVpcAssociationcon una rete di servizi condivisa.

DeleteServiceNetworkVpcAssociationBySharee

Inviato al proprietario della risorsa quando un utente di risorse chiama DeleteServiceNetworkVpcAssociationcon una rete di servizi condivisa.

GetServiceBySharee

Inviato al proprietario della risorsa quando un consumatore di risorse chiama GetServicecon un servizio condiviso.

GetServiceNetworkBySharee

Inviato al proprietario della risorsa quando un consumatore di risorse chiama GetServiceNetworkcon una rete di servizi condivisa.

GetServiceNetworkServiceAssociationBySharee

Inviato al proprietario della risorsa quando un consumatore di risorse chiama GetServiceNetworkServiceAssociationcon una risorsa condivisa. Se il chiamante è proprietario del servizio, l'evento viene inviato al proprietario della rete di assistenza. Se il chiamante è proprietario della rete di assistenza, l'evento viene inviato al proprietario del servizio.

GetServiceNetworkVpcAssociationBySharee

Inviato al proprietario della risorsa quando un utente di risorse chiama GetServiceNetworkVpcAssociationcon una rete di servizi condivisa.

Di seguito è riportato un esempio di voce relativa all'CreateServiceNetworkServiceAssociationByShareeevento.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-04-27T17:12:46Z",
    "eventSource": "vpc-lattice.amazonaws.com",
    "eventName": "CreateServiceNetworkServiceAssociationBySharee",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "vpc-lattice.amazonaws.com",
    "userAgent": "ec2.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "callerAccountId": "111122223333"
    },
    "requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b",
    "eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::VpcLattice::ServiceNetworkServiceAssociation",
            "ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}