本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中跨账户连接的提供商注意事项 EventBridge
要在另一个 AWS 账户中创建与私有 API 的连接,该账户的所有者必须与您共享该私有 API 的 VPC Lattice 资源配置。资源配置是一个逻辑对象,用于识别 API 并指定如何以及谁可以访问它。提供商账户(即与其他账户共享 VPC Lattice 私有 API 资源配置的账户)使用共享 VPC Lattice 资源配置。 AWS RAM
如果您的账户是VPC Lattice资源配置的提供者,请记住以下注意事项:
跨账户私有账户资源配置的资源策略 APIs
默认情况下,创建 AWS RAM 资源共享包括必要的共享策略AWSRAMPermissionVpcLatticeResourceConfiguration。如果您创建客户托管权限策略,则必须包括必要的权限。
以下策略示例提供了创建连接私有 API 所需的 EventBridge 资源关联所需的最低必要权限。
vpc-lattice:GetResourceConfigurationEventBridge 允许检索您指定的 Amazon VPC Lattice 资源配置。vpc-lattice:CreateServiceNetworkResourceAssociationEventBridge 允许根据您指定的 VPC Lattice 资源配置创建资源关联。vpc-lattice:AssociateViaAWSService-EventsAndStatesEventBridge 允许创建与该服务拥有的VPC Lattice服务网络的资源关联。
{ "Effect": "Allow", "Action": [ "vpc-lattice:CreateServiceNetworkResourceAssociation", "vpc-lattice:GetResourceConfiguration", "vpc-lattice:AssociateViaAWSService-EventsAndStates" ] }
有关更多信息,请参阅《AWS Resource Access Manager 用户指南》 AWS RAM中的 “管理权限”。
提供商监控连接创建
当另一个账户使用您共享的 VPC Lattice 资源配置创建 EventBridge 连接时,会 AWS CloudTrail 记录一个CreateServiceNetworkResourceAssociationBySharee事件。有关更多信息,请参阅 监控连接创建。
配置安全组以访问私有 APIs
借助 VPC Lattice,您可以创建和分配安全组,为您的目标 API 和资源网关实施额外的网络级安全保护。为了让 EventBridge和 Step Functions 成功访问您的私有 API,必须正确配置目标 API 和资源网关上的安全组。如果配置不正确,则在尝试调用您的 API 时,服务将返回 “连接超时” 错误。
对于您的目标 API,您的安全组必须配置为允许来自资源网关的安全组的所有入站 TCP 流量通过端口 443。
对于您的资源网关,您的安全组必须配置为允许以下操作:
来自:: /0 CIDR 范围的所有端口上的所有入站 IPv6 T IPv6 CP 流量。
通过 0.0.0.0/ IPv6 0 CIDR 范围的所有端口上的所有入站 IPv4 TCP 流量。
对于您的目标 API 接受的 IP 协议,所有通过端口 443 流向目标资源使用的安全组的出站 TCP 流量(IPv4 或 IPv6)。
有关更多信息,请参阅 Amazon VPC Lattice 用户指南中的以下主题:
