本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中跨账户连接的提供商注意事项 EventBridge
要在另一个 AWS 账户中创建与私有 API 的连接,该账户的所有者必须与您共享该私有 API 的 VPC Lattice 资源配置。资源配置是一个逻辑对象,用于标识 API,并指定可访问该资源的对象及访问方式。提供者账户(即与其他账户共享私有 API 的 VPC Lattice 资源配置的账户)使用 AWS RAM共享 VPC Lattice 资源配置。
如果您的账户是 VPC Lattice 资源配置的提供者,请谨记以下注意事项:
跨账户私有账户资源配置的资源策略 APIs
默认情况下,创建 AWS RAM 资源共享包括必要的共享策略AWSRAMPermissionVpcLatticeResourceConfiguration。如果创建的是客户托管权限策略,则必须包括必要的权限。
以下策略示例提供了创建连接私有 API 所需的 EventBridge 资源关联所需的最低必要权限。
vpc-lattice:GetResourceConfigurationEventBridge 允许检索您指定的 Amazon VPC Lattice 资源配置。vpc-lattice:CreateServiceNetworkResourceAssociationEventBridge 允许根据您指定的 VPC Lattice 资源配置创建资源关联。vpc-lattice:AssociateViaAWSService-EventsAndStatesEventBridge 允许创建与该服务拥有的VPC莱迪思服务网络的资源关联。
{ "Effect": "Allow", "Action": [ "vpc-lattice:CreateServiceNetworkResourceAssociation", "vpc-lattice:GetResourceConfiguration", "vpc-lattice:AssociateViaAWSService-EventsAndStates" ] }
有关更多信息,请参阅《AWS Resource Access Manager 用户指南》中的在 AWS RAM中管理权限。
提供者监控连接创建
当另一个账户使用您共享的 VPC Lattice 资源配置创建 EventBridge 连接时,会 AWS CloudTrail 记录一个CreateServiceNetworkResourceAssociationBySharee事件。有关更多信息,请参阅 监控连接创建。
配置安全组以访问私有网络 APIs
借助 VPC Lattice,您可以创建和分配安全组,从而为您的目标 API 和资源网关实施额外的网络级安全保护。为了让 EventBridge和 Step Functions 成功访问您的私有 API,必须正确配置目标 API 和资源网关上的安全组。如果配置不正确,服务将在尝试调用您的 API 时返回“连接超时”错误。
对于您的目标 API,安全组必须配置为允许来自资源网关安全组的所有端口 443 入站 TCP 流量。
对于您的资源网关,安全组必须配置为允许以下流量:
来自:: /0 CIDR 范围的所有端口上的所有入站 IPv6 T IPv6 CP 流量。
通过 0.0.0.0/ IPv6 0 CIDR 范围的所有端口上的所有入站 IPv4 TCP 流量。
对于您的目标 API 接受的 IP 协议,所有通过端口 443 流向目标资源使用的安全组的出站 TCP 流量(IPv4 或 IPv6)。
有关更多信息,请参阅《Amazon VPC Lattice 用户指南》中的以下主题:
