Verbindung zum privaten Eingang APIs herstellen EventBridge - Amazon EventBridge
BerechtigungenÜberwachung der VerbindungsherstellungVerwaltung von RessourcenzuordnungenPrivat vor Ort APIsVerfügbarkeit in Regionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbindung zum privaten Eingang APIs herstellen EventBridge

Sie können Verbindungen zu privaten HTTPS-Endpunkten herstellen, um einen sicheren point-to-point Netzwerkzugriff auf Ressourcen innerhalb VPCs oder vor Ort zu ermöglichen, ohne das öffentliche Internet nutzen zu müssen. Sie können beispielsweise eine Verbindung für den Zugriff auf eine HTTPS-basierte Anwendung hinter einem Amazon Elastic Load Balancer herstellen.

EventBridge erstellt Verbindungen zu privaten HTTPS-Endpunkten mithilfe von Ressourcenkonfigurationen, die in VPC Lattice erstellt wurden. Eine Ressourcenkonfiguration ist ein logisches Objekt, das die Ressource identifiziert und festlegt, wie und wer darauf zugreifen kann. Um eine Verbindung zu einer privaten API herzustellen EventBridge, geben Sie die Ressourcenkonfiguration für die private API an. Weitere Informationen finden Sie unter Ressourcenkonfiguration in VPC Lattice im Amazon VPC Lattice-Benutzerhandbuch.

EventBridge erstellt dann eine Ressourcenzuordnung, die den Zugriff auf die private EventBridge API ermöglicht. Weitere Informationen finden Sie unter Ressourcenzuordnungen verwalten im Amazon VPC Lattice-Benutzerhandbuch.

Es EventBridge verwaltet zwar die Ressourcenzuweisung, erstellt die Zuordnung jedoch anhand Ihrer Anmeldeinformationen, sodass Sie stets den Überblick über den Vorgang der Ressourcenzuweisung behalten.

EventBridge und Step Functions verwenden Verbindungen als Autorisierungskonfigurationen für HTTPS-Endpunkte.

Sie können Verbindungen erstellen, die auf private APIs AWS Konten zugreifen. Weitere Informationen finden Sie unter Kontoübergreifend privat APIs.

Berechtigungen für die Verbindung zu Private APIs

Das folgende Richtlinienbeispiel enthält die minimal erforderlichen Berechtigungen für das Herstellen einer Verbindung zu einer privaten API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "vpc-lattice:CreateServiceNetworkResourceAssociation",
                "vpc-lattice:GetResourceConfiguration",
                "vpc-lattice:AssociateViaAWSService-EventsAndStates",
                "events:CreateConnection"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Das folgende Richtlinienbeispiel umfasst die minimal erforderlichen Berechtigungen für die Aktualisierung einer Verbindung zu einer privaten API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "vpc-lattice:CreateServiceNetworkResourceAssociation",
                "vpc-lattice:GetResourceConfiguration",               
                "vpc-lattice:AssociateViaAWSService-EventsAndStates",
                "events:UpdateConnection"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Überwachung der Herstellung von Verbindungen zu privaten APIs

Wenn Sie eine Verbindung zu einer privaten API herstellen, werden die folgenden Protokolle generiert:

In dem Konto, in dem die Verbindung erstellt wurde, wird ein CreateServiceNetworkResourceAssociation Ereignis AWS CloudTrail protokolliert.

In diesem Protokoll serviceNetworkIdentifier sindsourceIPAddress,userAgent, und auf den EventBridge Dienstprinzipal, festgelegtevents.amazonaws.com. 

{
  "eventTime": "2024-11-21T00:00:00Z",
  "eventSource": "vpc-lattice.amazonaws.com",
  "eventName": "CreateServiceNetworkResourceAssociation",
  "awsRegion": "region",
  "sourceIPAddress": "events.amazonaws.com", 
  "userAgent": "events.amazonaws.com",
  "requestParameters": {
    "x-amzn-vpc-lattice-association-source-arn": "***",
    "x-amzn-vpc-lattice-service-network-identifier": "***",
    "clientToken": "token",
    "serviceNetworkIdentifier": "events.amazonaws.com",
    "resourceConfigurationIdentifier": "arn:partition:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id",
    "tags": {
        "ManagedByServiceAWSEventBridge": "account-id:connection-name"
    }
}

In dem Konto, das die private API enthält, wird ein CreateServiceNetworkResourceAssociationBySharee Ereignis AWS CloudTrail protokolliert.

Dieses Protokoll beinhaltet:

  • callerAccountId: Das AWS Konto, in dem die Verbindung erstellt wurde

  • accountId: Das AWS Konto, das die private API enthält.

  • resource-configuration-arn: Die VPC-Lattice-Ressourcenkonfiguration für die private API.

{
  "eventTime": "2024-11-21T06:31:42Z",
  "eventSource": "vpc-lattice.amazonaws.com",
  "eventName": "CreateServiceNetworkResourceAssociationBySharee",
  "awsRegion": "region",
  "sourceIPAddress": "vpc-lattice.amazonaws.com",
  "userAgent": "user-agent",
  "additionalEventData": {
      "callerAccountId": "consumer-account-id"
  },
  "resources": [
      {
          "accountId": "provider-account-id",
          "type": "AWS::VpcLattice::ServiceNetworkResourceAssociation",
          "ARN": "resource-configuration-arn"
      }
  ]
}

Bei kontoübergreifenden Verbindungen zu Private empfängt AWS CloudTrail das Konto APIs, das die Verbindung enthält, keine VPC Lattice-Protokolle für den Aufruf der privaten API.

Verwaltung von Dienstnetzwerkressourcenzuordnungen für Verbindungen

Wenn Sie die VPC-Lattice-Ressourcenkonfiguration für die private API angeben, zu der Sie eine Verbindung herstellen möchten, wird die Verbindung EventBridge aktiviert, indem eine Ressourcenzuordnung zwischen der VPC-Lattice-Ressourcenkonfiguration und einem VPC-Lattice-Dienstnetzwerk erstellt wird, das dem Dienst gehört. EventBridge Es EventBridge verwaltet zwar die Ressourcenzuweisung, erstellt die Zuordnung jedoch anhand Ihrer Anmeldeinformationen, sodass Sie die Ressourcenzuweisung stets im Blick behalten. Das bedeutet, dass Sie die Ressourcenzuordnungen auflisten und beschreiben können.

Verwenden Sie describe-connection, um eine Verbindungsbeschreibung zurückzugeben, die die Amazon-Ressourcennamen (ARNs) der Ressourcenkonfiguration und der Ressourcenverknüpfung enthält.

Sie können keine Ressourcenzuordnungen löschen, die von erstellt wurden. EventBridge Wenn Sie eine Verbindung EventBridge löschen, werden alle entsprechenden Ressourcenzuordnungen gelöscht.

Weitere Informationen finden Sie unter Ressourcenzuordnungen verwalten im Amazon VPC Lattice-Benutzerhandbuch.

Verbindung zu einer privaten Verbindung vor Ort herstellen APIs

Mithilfe des Zugriffs auf VPC-Ressourcen über AWS PrivateLink und VPC Lattice können Sie eine Verbindung zu Private vor Ort herstellen. APIs Dazu müssen Sie eine Netzwerkroute zwischen Ihrer VPC und Ihrer lokalen Umgebung konfigurieren. Sie können beispielsweise AWS Direct Connectoder verwenden, AWS Site-to-Site VPNum eine solche Route einzurichten.

Verfügbarkeit in Regionen

EventBridge unterstützt private Verbindungen APIs in den folgenden AWS Regionen:

  • Europa (Stockholm)

  • Asien-Pazifik (Mumbai)

  • Europa (Paris)

  • USA Ost (Ohio)

  • Europa (Irland)

  • Europa (Frankfurt)

  • Südamerika (São Paulo)

  • Asien-Pazifik (Hongkong)

  • USA Ost (Nord-Virginia)

  • Europa (London)

  • Asien-Pazifik (Tokio)

  • USA West (Oregon)

  • USA West (Nordkalifornien)

  • Asien-Pazifik (Singapur)

  • Asien-Pazifik (Sydney)