Compartir AWS AppSync GraphQL APIs - AWS AppSync GraphQL
Requisitos previos para compartir AWS AppSync GraphQL APIsComparte AWS AppSync GraphQL APIsDeja de compartir AWS AppSync GraphQL APIsEventos entre cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Compartir AWS AppSync GraphQL APIs

AWS AppSync se integra con AWS Resource Access Manager (AWS RAM) para permitir el intercambio de recursos. AWS RAM es un servicio que te permite compartir acciones de invocación (operaciones de consulta, mutación y suscripción y conectar solicitudes a tu WebSocket punto final en tiempo real) en AWS AppSync APIs GraphQL con Cuentas de AWS otros o mediante. AWS Organizations Con AWS RAM, compartes los recursos de tu propiedad creando un recurso compartido. Un uso compartido de recursos especifica los recursos que compartir y los consumidores con quienes compartirlos. Los consumidores pueden incluir lo siguiente.

  • Cuentas de AWS Específico dentro o fuera de su organización en AWS Organizations

  • Una unidad organizativa dentro de su organización en AWS Organizations

  • Toda una organización en AWS Organizations

Para obtener más información al respecto AWS RAM, consulte la Guía AWS Resource Access Manager del usuario.

Requisitos previos para compartir AWS AppSync GraphQL APIs

Compartir AWS AppSync GraphQL APIs tiene los siguientes requisitos previos.

  • Para compartir una API de AWS AppSync GraphQL, debes tenerla en tu. Cuenta de AWS Esto significa que la API de AWS AppSync GraphQL debe asignarse o aprovisionarse en tu cuenta.

  • Para compartir una API de AWS AppSync GraphQL con tu organización o unidad organizativa AWS Organizations, debes habilitar el uso compartido con. AWS Organizations Para obtener más información, consulte Habilitar el uso compartido de recursos dentro de AWS Organizations en la Guía del usuario de AWS Resource Access Manager .

Comparte AWS AppSync GraphQL APIs

Para compartir una API de AWS AppSync GraphQL, comience por crear un recurso compartido utilizando. AWS Resource Access Manager Un recurso de uso compartido define los recursos a compartir, los consumidores con quienes se comparten y las acciones principales que pueden desempeñar. Cuando compartes una API de AWS AppSync GraphQL de tu propiedad con otras Cuentas de AWS, permites que esas cuentas llamen a esa AWS AppSync API en la tuya. Cuenta de AWS

Si formas parte de una organización y el AWS Organizations uso compartido dentro de tu organización está activado, los consumidores de tu organización tienen acceso automático al recurso compartido. De lo contrario, los consumidores reciben una invitación para unirse al recurso compartido y se les concede acceso al recurso compartido después de aceptar la invitación.

Consideraciones sobre el intercambio

  • Solo puedes compartir AWS AppSync GraphQL APIs, no otros tipos de API como Event. APIs

  • Solo puede compartir AWS AppSync GraphQL APIs que tenga AWS_IAM uno de los modos de autorización configurados en la API.

    Si AWS_IAM se elimina de la lista de modos de autorización de una API AppSync GraphQL compartida, mientras el recurso compartido aún exista, dejará de ser efectivo.

  • Puedes compartir AWS AppSync APIs GraphQL tanto público como privado.

  • Siempre se APIs puede acceder a Private AWS AppSync GraphQL a través de los puntos finales de la VPC VPCs en el origen Cuenta de AWS, y se admiten todos los modos de autorización, no solo. AWS_IAM

  • En el caso de AWS AppSync GraphQL compartido APIs, los permisos se administran únicamente para el recurso de API y no admiten permisos detallados para los recursos de campo y tipo ni para los recursos de campo. Cuando compartes una API, compartes el ARN de la ARNs API y todos sus tipos y campos.

Cree un recurso compartido de su propiedad mediante la consola AWS RAM

Para compartir una API de AWS AppSync GraphQL, utilice el procedimiento descrito en Creación de un recurso compartido de la Guía del AWS Resource Access Manager usuario, mediante el RAM nombre AWSRAMPermissionAppSyncGraphQLApiInvokeAccess del permiso.

Cree y use un permiso administrado por el cliente para compartir una API AWS AppSync GraphQL privada mediante la consola AWS RAM

Para compartir una API AWS AppSync GraphQL privada, cree un permiso administrado por el cliente mediante el procedimiento descrito en Creación y uso de permisos administrados por el cliente en la Guía del AWS Resource Access Manager usuario.

Por ejemplo, el propietario de la cuenta A quiere conceder permiso a los directores de la cuenta B para acceder a una API AWS AppSync GraphQL privada (A) para las llamadas realizadas a través de VPCE-B PrivateApi (un punto final de VPC propiedad de la cuenta B). En este caso, el propietario de la cuenta A debe crear un permiso administrado por el AWS RAM cliente de la siguiente manera.

{
    "Effect": "Allow",
    "Action": "appsync:GraphQL",
    "Condition": {
        "StringEqualsIgnoreCase": {
            "aws:SourceVpce": [
                "VPCE-B"
            ]
        }
    }
}

Suponga que este nuevo AWS RAM permiso gestionado por el cliente tiene un nombreprivate-api-A-access-via-vpce-b.

Para habilitar el acceso multicuenta a PrivateApiA viaVPCE-B, el cliente puede crear un AWS RAM recurso compartido con los siguientes parámetros y el permiso administrado por el cliente del ejemplo anterior.

  • Tipo de recurso: appsync:Apis

  • Recurso: arn:aws:appsync:us-west-2:A:apis/PrivateApiA

  • Permiso: private-api-A-access-via-vpce-b (permiso administrado por el cliente)

  • Director: Account: B

Cree un recurso compartido de su propiedad mediante el AWS CLI

Para compartir una API de AWS AppSync GraphQL mediante AWS CLI, utilice el create-resource-share comando with arn:aws:ram::aws:permission/AWSRAMPermissionAppSyncApiInvokeAccess como valor para el --permission-arns conmutador.

Para obtener una lista completa de los comandos disponibles AWS RAM, consulte la referencia de AWS RAM CLI.

Deja de compartir AWS AppSync GraphQL APIs

Para dejar de compartir AWS AppSync GraphQL APIs que te pertenece, debes eliminar el recurso compartido o actualizar los principales con los que compartiste el recurso. Consulta la documentación de las siguientes secciones para ver la acción que deseas realizar.

Para dejar de compartir un recurso de su propiedad mediante la AWS RAM consola

Consulte Actualización de un recurso de uso compartido en la Guía del usuario de AWS Resource Access Manager .

Para dejar de compartir un recurso de su propiedad mediante el AWS CLI

Utilice el comando disassociate-resource-share.

Para eliminar un recurso compartido de su propiedad mediante la AWS RAM consola

Consulte Eliminar un recurso compartido en la Guía AWS Resource Access Manager del usuario.

Para eliminar un recurso compartido de su propiedad mediante el AWS CLI

Utilice el comando delete-resource-share.

Para obtener una lista completa de los comandos disponibles AWS RAM, consulte la referencia de AWS RAM CLI.

Eventos entre cuentas

Puedes optar por registrar eventos de AWS CloudTrail datos para monitorear y auditar la actividad de la API AWS AppSync GraphQL entre cuentas. DataPlane Para obtener más información, consulte Registro de eventos de datos en la Guía del usuario de AWS CloudTrail .