Configuration d’une API API Gateway avec des intégrations privées à l’aide de la AWS CLI

Le didacticiel suivant explique comment utiliser l’AWS CLI pour créer un lien VPC et une intégration privée. Les conditions préalables suivantes sont requises :

Vous avez besoin d’un équilibreur Network Load Balancer créé et configuré avec votre VPC source comme cible. Pour en savoir plus, consultez Configuration d’un équilibreur Network Load Balancer pour les intégrations privées API Gateway. Il doit être situé dans le même Compte AWS que votre API. Vous avez besoin de l’ARN de votre équilibreur Network Load Balancer pour créer votre lien VPC.
Pour créer et gérer un VpcLink, vous devez disposer des autorisations pour créer un VpcLink dans votre API. Vous n’avez pas besoin d’autorisations pour utiliser le VpcLink. Pour en savoir plus, consultez Octroi d’autorisations pour créer un lien VPC dans API Gateway.

Pour configurer une API avec des intégrations privées à l’aide de l’AWS CLI

La commande create-vpc-link suivante crée un VpcLink ciblant l’équilibreur Network Load Balancer spécifié.
```
aws apigateway create-vpc-link \
    --name my-test-vpc-link \
    --target-arns arn:aws:elasticloadbalancing:us-east-2:123456789012:loadbalancer/net/my-vpclink-test-nlb/1234567890abcdef
```
La sortie de cette commande accuse réception de la requête et indique l’état PENDING de la création de VpcLink.
```
{
    "status": "PENDING", 
    "targetArns": [
        "arn:aws:elasticloadbalancing:us-east-2:123456789012:loadbalancer/net/my-vpclink-test-nlb/1234567890abcdef"
    ], 
    "id": "gim7c3", 
    "name": "my-test-vpc-link"
}
```
La création du VpcLink par API Gateway prend entre 2 et 4 minutes. Lorsque l’opération se termine correctement, l’attribut status indique AVAILABLE. Vous pouvez le vérifier en appelant la commande get-vpc-link suivante :
```
aws apigateway get-vpc-link --vpc-link-id gim7c3
```
Si l’opération échoue, vous obtenez le statut FAILED et un message d’erreur sous statusMessage. Par exemple, si vous tentez de créer un VpcLink avec un équilibreur Network Load Balancer qui est déjà associé au point de terminaison du VPC, vous obtenez le message suivant au niveau de la propriété statusMessage :
```
"NLB is already associated with another VPC Endpoint Service"
```
Une fois la création du VpcLink réussie, vous pouvez créer une API et l’intégrer avec la ressource VPC par le biais du VpcLink.

Notez la valeur id du VpcLink que vous venez de créer. Dans cet exemple de sortie, il s’agit de gim7c3. Vous en aurez besoin pour configurer l’intégration privée.
La commande create-rest-api suivante crée une ressource API Gateway RestApi :
```
aws apigateway create-rest-api --name 'My VPC Link Test'
```
Notez la valeur id de RestApi et la valeur rootResourceId de RestApi dans le résultat renvoyé. Vous avez besoin de cette valeur pour effectuer d’autres opérations sur l’API.

À des fins d’illustration, nous allons créer une API avec seulement une méthode GET sur la ressource racine (/) et intégrer la méthode avec le VpcLink.
Configurez la méthode GET /. Utilisez la commande put-method suivante et saisissez Id comme rest-api-id et rootResourceId comme resource-id :
```
aws apigateway put-method \
       --rest-api-id  abcdef123 \
       --resource-id skpp60rab7 \
       --http-method GET \
       --authorization-type "NONE" 
```
Si vous n’utilisez pas l’intégration proxy avec le VpcLink, vous devez également configurer au moins une réponse de méthode avec le code de statut 200. Dans le cas présent, nous allons utiliser l’intégration proxy.
Après avoir créé la méthode GET /, vous devez configurer l’intégration. Pour une intégration privée, vous devez utiliser le paramètre connection-id pour fournir l’ID VpcLink. Vous pouvez utiliser une variable d’étape ou saisir directement l’ID du VpcLink. Le paramètre uri n’est pas utilisé pour l’acheminement des demandes au point de terminaison, mais pour définir l’en-tête Host et pour la validation de certificat.
Use the VPC link ID
La commande put-integration suivante utilise l’ID du VpcLink directement dans l’intégration :
```
aws apigateway put-integration \
    --rest-api-id abcdef123 \
    --resource-id skpp60rab7 \
    --uri 'http://my-vpclink-test-nlb-1234567890abcdef.us-east-2.amazonaws.com' \
    --http-method GET \
    --type HTTP_PROXY \
    --integration-http-method GET \
    --connection-type VPC_LINK \
    --connection-id gim7c3
```
Use a stage variable
La commande put-integration suivante utilise une variable d’étape pour faire référence à l’ID du lien VPC. Lorsque vous déployez votre API dans une étape, vous devez définir l’ID du lien VPC.
```
aws apigateway put-integration \
    --rest-api-id abcdef123 \
    --resource-id skpp60rab7 \
    --uri 'http://my-vpclink-test-nlb-1234567890abcdef.us-east-2.amazonaws.com' \
    --http-method GET \
    --type HTTP_PROXY \
    --integration-http-method GET \
    --connection-type VPC_LINK \
    --connection-id "\${stageVariables.vpcLinkId}"
```
Assurez-vous de délimiter l’expression de la variable d’étape avec des guillemets droits (${stageVariables.vpcLinkId}) et d’y ajouter le caractère d’échappement $.
À tout moment, vous pouvez également mettre à jour l’intégration pour modifier connection-id. La commande update-integration suivante montre comment mettre à jour votre intégration :
```
 aws apigateway update-integration \
    --rest-api-id abcdef123 \
    --resource-id skpp60rab7 \
    --http-method GET \
    --patch-operations '[{"op":"replace","path":"/connectionId","value":"${stageVariables.vpcLinkId}"}]'  
```
Assurez-vous d’utiliser une liste JSON obtenue à l’aide de stringify comme valeur du paramètre patch-operations.

Comme nous avons utilisé l’intégration proxy privée, votre API peut maintenant être déployée et testée. Avec l’intégration autre que de proxy, vous devez également configurer la réponse de la méthode et la réponse de l’intégration, comme vous le feriez lorsque vous configurez une API avec des intégrations HTTP personnalisées.
Si vous avez utilisé la variable d’étape pour définir connection-id, vous devez déployer votre API pour la tester. La commande create-deployment suivante montre comment déployer votre API avec une variable d’étape :
```
aws apigateway create-deployment \
    --rest-api-id abcdef123 \
    --stage-name test \
    --variables vpcLinkId=gim7c3
```
Pour mettre à jour la variable d’étape avec un autre ID de VpcLink (par exemple, asf9d7), appelez la commande update-stage :
```
aws apigateway update-stage \
    --rest-api-id abcdef123 \
    --stage-name test \
    --patch-operations op=replace,path='/variables/vpcLinkId',value='asf9d7'
```
Lorsque vous codez en dur la propriété connection-id avec l’ID littéral VpcLink, vous n’avez pas besoin de déployer votre API pour la tester. Utilisez la commande test-invoke-method pour tester votre API avant son déploiement.
Utilisez la commande suivante pour appeler votre API :
```
curl -X GET https://abcdef123.execute-api.us-east-2.amazonaws.com/test
```
Vous pouvez également saisir l’URL d’invocation de votre API dans un navigateur web pour afficher le résultat.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Octroi d’autorisations pour créer un lien VPC dans API Gateway

Configuration d’une API avec des intégrations privées à l’aide d’OpenAPI