Compartilhe seus recursos do VPC Lattice

Pré-requisitos Compartilhar recursos Parar de compartilhar recursos Responsabilidades e permissões Eventos entre contas

O Amazon VPC Lattice se integra com AWS Resource Access Manager (AWS RAM) para permitir o compartilhamento de recursos. AWS RAM é um serviço que permite compartilhar alguns recursos do VPC Lattice com outras pessoas Contas da AWS ou por meio AWS Organizations de. Com AWS RAM, você compartilha recursos de sua propriedade criando um compartilhamento de recursos. Um compartilhamento de atributos especifica os atributos a serem compartilhados, e os consumidores com os quais compartilhá-los. Os consumidores podem incluir:

Específico Contas da AWS dentro ou fora de sua organização em AWS Organizations.
Uma unidade organizacional dentro da sua organização no AWS Organizations.
Uma organização inteira no AWS Organizations.

Para obter mais informações sobre AWS RAM, consulte o Guia AWS RAM do usuário.

Para compartilhar um recurso, você deve possuí-lo em seu Conta da AWS. Isso significa que o recurso deve estar alocado ou provisionado em sua conta. Não é possível compartilhar um recurso que tenha sido compartilhado com você.
Para compartilhar um recurso com a sua organização ou com uma unidade organizacional no AWS Organizations, é necessário habilitar o compartilhamento com o AWS Organizations. Para obter mais informações, consulte Habilitar o compartilhamento de recursos no AWS Organizations no Guia do usuário do AWS RAM .

Para compartilhar um recurso, comece criando um compartilhamento de recursos usando o AWS Resource Access Manager. Um compartilhamento de recursos especifica os recursos a serem compartilhados, os consumidores com os quais compartilhá-los e quais ações as entidades principais poderão executar.

Ao compartilhar um recurso do VPC Lattice que você possui com outras pessoas Contas da AWS, você permite que essas contas associem seus recursos aos recursos da sua conta. Quando você cria uma associação com um recurso compartilhado, geramos um Amazon Resource Name (ARN) na conta do proprietário do recurso e na conta que criou a associação. Portanto, tanto o proprietário do recurso quanto a conta que criou a associação podem excluir a associação.

Se você faz parte de uma organização AWS Organizations e o compartilhamento dentro de sua organização está ativado, os consumidores em sua organização recebem automaticamente acesso ao recurso compartilhado. Caso contrário, os consumidores receberão um convite para participar do compartilhamento de recursos e acesso ao recurso compartilhado após aceitar o convite.

Considerações

Você pode compartilhar dois tipos de recursos do VPC Lattice: redes de serviços e serviços.
Você pode compartilhar seus recursos do VPC Lattice com qualquer Conta da AWS um.
Você não pode compartilhar seus recursos do VPC Lattice com IAM usuários e funções individuais.
VPCO Lattice oferece suporte a permissões gerenciadas pelo cliente para redes e serviços de serviços.

Para compartilhar um recurso que você possui usando o console VPC Lattice

Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.
No painel de navegação, em VPCLattice, escolha Serviços ou Redes de serviços.
Escolha o nome do recurso para abrir sua página de detalhes e escolha Compartilhar serviço ou Compartilhar rede de serviços na guia Compartilhamento.
Escolha os compartilhamentos AWS RAM de recursos em Compartilhamentos de recursos. Para criar um compartilhamento de recursos, escolha Criar um compartilhamento de recursos no RAM console.
Escolha Compartilhar serviço ou Compartilhar rede de serviços.

Para compartilhar um recurso que você possui usando o AWS RAM console

Siga o procedimento descrito em Criar um compartilhamento de recursos no Guia do usuário do AWS RAM .

Para compartilhar um recurso que você possui usando o AWS CLI

Use o associate-resource-sharecomando.

Para parar de compartilhar um recurso do VPC Lattice que você possui, você deve removê-lo do compartilhamento de recursos. As associações existentes persistirão depois que você parar de compartilhar seu recurso. Não é permitido fazer novas associações com um recurso compartilhado anteriormente. Quando o proprietário do recurso ou o proprietário da associação excluir uma associação, ela será excluída de ambas as contas. Se o proprietário da conta quiser deixar um compartilhamento de recursos, ele deverá pedir ao proprietário do compartilhamento de recursos que remova a conta.

Para parar de compartilhar um recurso que você possui usando o console VPC Lattice

Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.
No painel de navegação, em VPCLattice, escolha Serviços ou Redes de serviços.
Escolha o nome do recurso para abrir sua página de detalhes.
Na guia Compartilhamento, marque a caixa de seleção do compartilhamento de recursos e escolha Remover.

Para parar de compartilhar um recurso que você possui usando o AWS RAM console

Consulte Atualizar um compartilhamento de recursos no Guia do usuário do AWS RAM .

Para parar de compartilhar um recurso que você possui usando o AWS CLI

Use o disassociate-resource-sharecomando.

As seguintes responsabilidades e permissões se aplicam ao uso de recursos compartilhados do VPC Lattice.

Proprietários de recurso

O proprietário da rede de serviços não pode modificar um serviço criado por um consumidor.
O proprietário da rede de serviços não pode excluir um serviço criado por um consumidor.
O proprietário da rede de serviços pode descrever todas as associações de serviços da rede de serviços.
O proprietário da rede de serviços pode desassociar qualquer serviço associado à rede de serviços, independentemente de quem tenha criado a associação.
O proprietário da rede de serviços pode descrever todas as VPC associações da rede de serviços.
O proprietário da rede de serviços pode desassociar tudo VPC o que um consumidor associou à rede de serviços.
O proprietário do serviço pode descrever todas as associações de rede com o serviço.
O proprietário do serviço pode desassociar um serviço de qualquer rede de serviços à qual ele esteja associado.
Somente a conta que criou uma associação pode atualizar a associação entre a rede de serviços e VPC o.

Consumidores de recursos

O consumidor não pode excluir um serviço que ele não tenha criado.
O consumidor só pode desassociar os serviços associados a uma rede de serviços.
O consumidor e o proprietário da rede podem descrever todas as associações entre uma rede de serviços e um serviço.
O consumidor não pode recuperar informações de um serviço que não seja de sua propriedade.
O consumidor pode descrever todas as associações de serviços com uma rede de serviços compartilhada.
O consumidor pode associar um serviço a uma rede de serviços compartilhados.
O consumidor pode ver todas as VPC associações com uma rede de serviços compartilhados.
O consumidor pode associar a a VPC a uma rede de serviços compartilhados.
O consumidor pode desassociar somente o VPCs que ele associou a uma rede de serviços.
O consumidor de um serviço compartilhado não pode associar um serviço a uma rede de serviços que não seja de sua propriedade.
O consumidor de uma rede de serviços compartilhados não pode associar um serviço VPC ou serviço que não seja de sua propriedade.
O consumidor pode descrever um serviço ou uma rede de serviços que seja compartilhada com ele.
O consumidor não pode associar dois recursos se ambos forem compartilhados com ele.

Eventos entre contas

Quando proprietários e consumidores de recursos realizam ações em um recurso compartilhado, essas ações são registradas como eventos entre contas no AWS CloudTrail.

CreateServiceNetworkServiceAssociationBySharee: Enviado ao proprietário do recurso quando um consumidor do recurso liga CreateServiceNetworkServiceAssociationcom um recurso compartilhado. Se o chamador for proprietário do serviço, o evento será enviado ao proprietário da rede de serviços. Se o chamador for proprietário da rede de serviços, o evento será enviado ao proprietário do serviço.
CreateServiceNetworkVpcAssociationBySharee: Enviado ao proprietário do recurso quando um consumidor do recurso liga CreateServiceNetworkVpcAssociationcom uma rede de serviços compartilhados.
DeleteServiceNetworkServiceAssociationByOwner: Enviado ao proprietário da associação quando o proprietário do recurso liga DeleteServiceNetworkServiceAssociationcom um recurso compartilhado. Se o chamador for proprietário do serviço, o evento será enviado ao proprietário da associação da rede de serviços. Se o chamador for proprietário da rede de serviços, o evento será enviado ao proprietário da associação de serviço.
DeleteServiceNetworkServiceAssociationBySharee: Enviado ao proprietário do recurso quando um consumidor do recurso liga DeleteServiceNetworkServiceAssociationcom um recurso compartilhado. Se o chamador for proprietário do serviço, o evento será enviado ao proprietário da rede de serviços. Se o chamador for proprietário da rede de serviços, o evento será enviado ao proprietário do serviço.
DeleteServiceNetworkVpcAssociationByOwner: Enviado ao proprietário da associação quando o proprietário do recurso liga DeleteServiceNetworkVpcAssociationcom uma rede de serviços compartilhados.
DeleteServiceNetworkVpcAssociationBySharee: Enviado ao proprietário do recurso quando um consumidor do recurso liga DeleteServiceNetworkVpcAssociationcom uma rede de serviços compartilhados.
GetServiceBySharee: Enviado ao proprietário do recurso quando um consumidor do recurso liga GetServicecom um serviço compartilhado.
GetServiceNetworkBySharee: Enviado ao proprietário do recurso quando um consumidor do recurso liga GetServiceNetworkcom uma rede de serviços compartilhados.
GetServiceNetworkServiceAssociationBySharee: Enviado ao proprietário do recurso quando um consumidor do recurso liga GetServiceNetworkServiceAssociationcom um recurso compartilhado. Se o chamador for proprietário do serviço, o evento será enviado ao proprietário da rede de serviços. Se o chamador for proprietário da rede de serviços, o evento será enviado ao proprietário do serviço.
GetServiceNetworkVpcAssociationBySharee: Enviado ao proprietário do recurso quando um consumidor do recurso liga GetServiceNetworkVpcAssociationcom uma rede de serviços compartilhados.

O seguinte é um exemplo da entrada para o evento CreateServiceNetworkServiceAssociationBySharee.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-04-27T17:12:46Z",
    "eventSource": "vpc-lattice.amazonaws.com",
    "eventName": "CreateServiceNetworkServiceAssociationBySharee",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "vpc-lattice.amazonaws.com",
    "userAgent": "ec2.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "callerAccountId": "111122223333"
    },
    "requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b",
    "eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::VpcLattice::ServiceNetworkServiceAssociation",
            "ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Regras do listener

Segurança