在 Global Accelerator 中配置跨账户访问
利用跨账户支持,您可以将 AWS Global Accelerator 用作访问多个账户中资源的应用程序的固定入口点,或从共享 CIDR 块中为加速器选择 IP 地址。AWS 最佳做法是使用跨账户权限来允许访问不同账户中的资源。通过针对自带 IP(BYOIP)地址 CIDR 块的跨账户支持,您可以将相同的地址池用于组织中不同账户的加速器。您还可以将 AWS 资源整理到一个账户下,通过该账户来控制应用程序的互联网访问权限,从而简化监控和安全保障,并提供入站连接的可见性。
Global Accelerator 中的跨账户支持让您可以执行以下操作:
将其他账户的端点(例如网络负载均衡器)添加到加速器。
为 IP 地址选择一个 BYOIP 地址池,然后从池中为不同账户下的加速器选择 IP 地址。通过共享 BYOIP 地址池,您可以使用来自同一 CIDR 块的更多地址,从而减少所需 CIDR 块数量。
您可以 Global Accelerator 控制台中使用跨账户附件和资源,也可以通过 AWS Command Line Interface(AWS CLI)或 AWS SDK 使用 Global Accelerator API 操作。例如,作为主体,您可以使用 UpdateEndpoints 操作将跨账户资源添加为加速器的端点。使用 API 操作时,您需要指定跨账户附件 ARN 和端点 ID。有关更多信息,请参阅《AWS Global Accelerator API 参考指南》。
