Partage de AWS AppSync GraphQL APIs - AWS AppSync GraphQL
Conditions préalables au partage de GraphQL AWS AppSync APIsPartagez AWS AppSync GraphQL APIsArrêtez de partager AWS AppSync GraphQL APIsÉvénements entre comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partage de AWS AppSync GraphQL APIs

AWS AppSync s'intègre à AWS Resource Access Manager (AWS RAM) pour permettre le partage des ressources. AWS RAM est un service qui vous permet de partager des actions d'appel (opérations de requête, de mutation et d'abonnement et de connexion des demandes à votre point de WebSocket terminaison en temps réel) sur AWS AppSync GraphQL APIs avec d'autres Comptes AWS ou via. AWS Organizations Avec AWS RAM, vous partagez les ressources que vous possédez en créant un partage de ressources. Un partage de ressources spécifie les ressources à partager, ainsi que les consommateurs avec qui elles seront partagées. Les consommateurs peuvent inclure les éléments suivants.

  • Spécifique Comptes AWS à l'intérieur ou à l'extérieur de son organisation dans AWS Organizations

  • Une unité organisationnelle au sein de son organisation en AWS Organizations

  • Toute une organisation dans AWS Organizations

Pour plus d'informations AWS RAM, consultez le guide de AWS Resource Access Manager l'utilisateur.

Conditions préalables au partage de GraphQL AWS AppSync APIs

Le partage de AWS AppSync GraphQL APIs comporte les prérequis suivants.

  • Pour partager une API AWS AppSync GraphQL, vous devez la posséder dans votre. Compte AWS Cela signifie que l'API AWS AppSync GraphQL doit être allouée ou provisionnée dans votre compte.

  • Pour partager une API AWS AppSync GraphQL avec votre organisation ou une unité organisationnelle dans AWS Organizations, vous devez activer le partage avec. AWS Organizations Pour de plus amples informations, veuillez consulter Activer le partage de ressources dans AWS Organizations dans le Guide de l’utilisateur AWS Resource Access Manager .

Partagez AWS AppSync GraphQL APIs

Pour partager une API AWS AppSync GraphQL, commencez par créer un partage de ressources à l'aide de. AWS Resource Access Manager Un partage de ressources indique les ressources à partager, les consommateurs avec lesquels elles sont partagées et les actions que les principaux peuvent effectuer. Lorsque vous partagez une API AWS AppSync GraphQL dont vous êtes propriétaire avec d'autres utilisateurs Comptes AWS, vous autorisez ces comptes à appeler cette AWS AppSync API dans votre. Compte AWS

Si vous faites partie d'une organisation et que le partage au sein de votre organisation est activé, les consommateurs de votre organisation ont automatiquement accès à la ressource partagée. AWS Organizations Dans le cas contraire, les consommateurs reçoivent une invitation à rejoindre le partage de ressources et ont accès à la ressource partagée après avoir accepté l'invitation.

Considérations relatives au partage

  • Vous ne pouvez partager que AWS AppSync GraphQL APIs, pas d'autres types d'API tels que Event. APIs

  • Vous ne pouvez partager que des AWS AppSync fichiers GraphQL APIs dont l'un AWS_IAM des modes d'autorisation est configuré sur l'API.

    S'il AWS_IAM est retiré de la liste des modes d'autorisation pour une API AppSync GraphQL partagée, alors que le partage de ressources existe toujours, il sera rendu inefficace.

  • Vous pouvez partager du AWS AppSync APIs GraphQL public et privé.

  • Le AWS AppSync GraphQL privé est toujours APIs accessible via les points de terminaison VPC situés VPCs dans l'origine Compte AWS, et tous les modes d'autorisation sont pris en charge, pas seulement. AWS_IAM

  • Pour AWS AppSync GraphQL partagé APIs, les autorisations sont gérées uniquement pour la ressource API et ne prennent pas en charge les autorisations détaillées pour les champs et les types, ni pour les ressources de champ. Lorsque vous partagez une API, vous partagez l'ARN de l' ARNs API ainsi que tous ses types et champs.

Créez un partage de ressources dont vous êtes propriétaire à l'aide de la AWS RAM console

Pour partager une API AWS AppSync GraphQL, suivez la procédure décrite dans la section Création d'un partage de ressources dans le Guide de l'AWS Resource Access Manager utilisateur, à l'aide du RAM nom de l'autorisationAWSRAMPermissionAppSyncGraphQLApiInvokeAccess.

Créez et utilisez une autorisation gérée par le client pour partager une API AWS AppSync GraphQL privée à l'aide de la console AWS RAM

Pour partager une API AWS AppSync GraphQL privée, créez une autorisation gérée par le client en suivant la procédure décrite dans la section Création et utilisation d'autorisations gérées par le client dans le Guide de l'AWS Resource Access Manager utilisateur.

Par exemple, le propriétaire du compte A souhaite autoriser les principaux du compte B à accéder à une API AWS AppSync GraphQL privée (A) pour les appels effectués via VPCE-B PrivateApi (un point de terminaison VPC appartenant au compte B). Dans ce cas, le propriétaire du compte A doit créer une autorisation gérée par le AWS RAM client comme suit.

{
    "Effect": "Allow",
    "Action": "appsync:GraphQL",
    "Condition": {
        "StringEqualsIgnoreCase": {
            "aws:SourceVpce": [
                "VPCE-B"
            ]
        }
    }
}

Supposons que cette nouvelle AWS RAM autorisation gérée par le client soit nomméeprivate-api-A-access-via-vpce-b.

Pour activer l'accès entre comptes à PrivateApiA viaVPCE-B, le client peut créer un partage de AWS RAM ressources avec les paramètres suivants et l'autorisation gérée par le client dans l'exemple précédent.

  • Type de ressource : appsync:Apis

  • Ressource : arn:aws:appsync:us-west-2:A:apis/PrivateApiA

  • Autorisation : private-api-A-access-via-vpce-b (autorisation gérée par le client)

  • Directeur : Account: B

Créez un partage de ressources dont vous êtes propriétaire à l'aide du AWS CLI

Pour partager une API AWS AppSync GraphQL à l'aide de AWS CLI, utilisez la create-resource-share commande avec arn:aws:ram::aws:permission/AWSRAMPermissionAppSyncApiInvokeAccess comme valeur du commutateur. --permission-arns

Pour une liste complète des commandes disponibles pour AWS RAM, consultez la référence de la AWS RAM CLI.

Arrêtez de partager AWS AppSync GraphQL APIs

Pour arrêter de partager le AWS AppSync GraphQL APIs dont vous êtes le propriétaire, vous devez soit supprimer le partage de ressources, soit mettre à jour les principaux avec lesquels vous avez partagé la ressource. Reportez-vous à la documentation des sections suivantes pour connaître l'action que vous souhaitez effectuer.

Pour arrêter de partager une ressource dont vous êtes propriétaire à l'aide de la AWS RAM console

Voir Mettre à jour un partage de ressources dans le guide de AWS Resource Access Manager l'utilisateur.

Pour arrêter de partager une ressource dont vous êtes propriétaire à l'aide du AWS CLI

Utilisez la commande disassociate-resource-share.

Pour supprimer un partage de ressources dont vous êtes propriétaire à l'aide de la AWS RAM console

Voir Supprimer un partage de ressources dans le guide de AWS Resource Access Manager l'utilisateur.

Pour supprimer un partage de ressources dont vous êtes propriétaire à l'aide du AWS CLI

Utilisez la commande delete-resource-share.

Pour une liste complète des commandes disponibles pour AWS RAM, consultez la référence de la AWS RAM CLI.

Événements entre comptes

Vous pouvez choisir de consigner les événements de AWS CloudTrail données pour surveiller et auditer l'activité de l'API AWS AppSync GraphQL entre comptes. DataPlane Pour plus d’informations, consultez Journalisation des événements de données dans le Guide de l’utilisateur AWS CloudTrail .