Utilisation d'AWS PrivateLink avec AWS Marketplace - AWS Marketplace
IntroductionConfiguration de votre produitSoumettre votre produit à AWS MarketplaceAccès des acheteurs aux points de terminaison de VPCAnnexe : Listes de contrôle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'AWS PrivateLink avec AWS Marketplace

AWS Marketplace supports AWS PrivateLink, une technologie qui vous permet d'utiliser le réseau Amazon pour permettre aux acheteurs d'accéder aux produits que vous vendez AWS Marketplace. Ce document décrit le processus de configuration et de livraison de vos produits via un point de terminaison Amazon Virtual Private Cloud (VPC) utilisant la technologie. AWS PrivateLink

Dans ce document, nous partons du principe que vous avez une connaissance pratique de plusieurs AWS services et de l' AWS Marketplace environnement.

Introduction

En tant que AWS Marketplace vendeur, vous pouvez permettre aux acheteurs d'accéder à votre service via un point de terminaison Amazon VPC. Cette approche permet aux acheteurs d'accéder à votre service via le réseau Amazon à l'aide de la technologie AWS PrivateLink. Si vous avez l' AWS Marketplace habitude de créer et de diffuser cette offre, les acheteurs peuvent découvrir votre service dans AWS Marketplace. Vos acheteurs vont également trouver votre produit dans la liste des services disponibles pour la création d'un point de terminaison de VPC.

Network diagram showing VPC peering connection between two VPCs with multiple instances.

Un point de terminaison VPC est un périphérique virtuel qui permet aux AWS clients de créer une connexion privée entre leur VPC et un autre AWS service sans avoir besoin d'un accès via Internet, via un périphérique NAT, une connexion VPN ou. AWS Direct Connect Vous pouvez créer un service de point de terminaison AWS Marketplace qui permet aux acheteurs d'utiliser cette technologie pour se connecter à votre service. Cette méthode de connexion est plus sécurisée pour vos acheteurs car ceux-ci accèdent à votre service via le réseau privé Amazon plutôt que via Internet.

Pour chaque région dans laquelle vous souhaitez proposer votre service, vous créez ou utilisez les ressources existantes pour configurer un VPC, configurer vos instances de service, configurer un équilibreur de charge réseau et inscrire vos services auprès de l'équilibreur de charge réseau en créant un point de terminaison de service. Après avoir effectué ces étapes et testé votre offre, vous fournissez vos informations de configuration à l'équipe responsable des AWS Marketplace opérations vendeur .

AWS vous recommande de fournir un nom DNS privé que vos acheteurs peuvent utiliser lorsqu'ils créent des points de terminaison VPC.

Lorsque les acheteurs créent leurs points de terminaison de VPC, ils ont la possibilité d'activer un nom de DNS privé. En choisissant cette option, le service de VPC de l'acheteur configure une zone hébergée privée. Si vous fournissez le nom de DNS privé, les acheteurs peuvent utiliser celui-ci lors de la configuration des points de terminaison de VPC pour se connecter à votre service. Dans la zone hébergée privée de l'acheteur, le nom de DNS privé (api.example.com) pointe vers le ou les noms de DNS générés de façon aléatoire (vpce-11111111111111111-yyyyyyyy.api.vpce.example.com), créés pour votre ou vos services de points de terminaison. Les instances EC2 de l'acheteur appellent le même nom de DNS unifié (api.example.com) sur différents VPC. En outre, si les noms DNS public et privé sont identiques, l'acheteur peut utiliser le même nom public lorsqu'il accède à votre service depuis le VPC ou en dehors de celui-ci.

Pour obtenir de l'aide concernant la mise à disposition de votre service via AWS Marketplace, vous pouvez contacter l'équipe des opérations AWS Marketplace vendeurs. Lorsqu'un AWS Marketplace acheteur s'abonne à votre service et crée un point de terminaison VPC, votre service est affiché sous Vos services AWS Marketplace. L'équipe des opérations des AWS Marketplace vendeurs utilise le nom DNS convivial pour faciliter la découverte de votre service lors de la création du point de terminaison VPC.

Votre produit est créé en tant que logiciel en tant que service (SaaS). Le comptage et la facturation sont les mêmes que pour les autres produits AWS Marketplace SaaS.

Configuration de votre produit

Pour configurer votre produit pour qu'il soit disponible via un point de terminaison de VPC Amazon :

  1. Créez ou utilisez un VPC Amazon existant.

  2. Créez une ou plusieurs instances Amazon EC2 (ou utilisez des instances existantes) pour votre produit.

  3. Créez un équilibreur de charge réseau dans chacune des régions dans lesquelles vous proposez votre produit. AWS recommande d'inclure toutes les zones de disponibilité d'une région.

  4. Utilisez la console Amazon VPC, l'interface de ligne de commande ou les kits SDK pris en charge pour créer un service de point de terminaison de VPC.

  5. Vérifiez que vous pouvez accéder au service via l'équilibreur de charge réseau.

  6. Demandez un certificat à AWS Certificate Manager (ACM) pour votre nom DNS convivial. Avant qu'ACM émette un certificat, il valide le fait que vous possédiez ou contrôliez les noms de domaine de votre demande de certificat.

  7. Déléguez le sous-domaine de votre nom DNS convivial, tel que api.vpce.example.com, aux serveurs de noms qui vous sont fournis par l'équipe des opérations vendeurs. AWS Marketplace Dans votre système DNS, vous devez créer un enregistrement de ressource de serveur de noms (NS) pour faire pointer ce sous-domaine vers les serveurs de noms Amazon Route 53 fournis par l'équipe chargée des opérations des AWS Marketplace vendeurs afin que les noms DNS (tels que vpce-0ac6c347a78c90f8.api.vpce.example.com) puissent être résolus publiquement.

  8. Autorisez l'accès aux AWS comptes de vos acheteurs.

    Remarque : vous pouvez utiliser un SDK compatible ou cette commande CLI pour automatiser l'accès aux comptes : aws vpcev2 modify-vpc-endpoint-service -permissions --service-id vpce-svc-0123456789abcdef1 -- arn:aws:iam : :111111111111:root arn:aws:iam : :222222222222:root. add-allowed-principals

Soumettre votre produit à AWS Marketplace

Au cours du processus de publication de votre service sur AWS Marketplace, vous collaborez avec l'équipe des opérations des AWS Marketplace vendeurs. Pour soumettre votre produit PrivateLink compatible :

  1. Envoyez par e-mail les informations suivantes à l'équipe responsable des opérations vendeur AWS Marketplace :

    1. Le point de terminaison et le AWS compte utilisés pour créer le point de terminaison. Le point de terminaison est similaire à ceci : com.amazonaws.vpce.us-east-1.vpce-svc-0daa010345a21646

    2. Le nom DNS convivial pour votre service. Il s'agit du nom DNS que AWS Marketplace les acheteurs utilisent pour accéder à votre produit.

    3. Le AWS compte que vous avez utilisé pour demander des certificats et le nom DNS privé que les acheteurs utilisent pour accéder au point de terminaison VPC.

      L'équipe des opérations des AWS Marketplace vendeurs vérifie l'identité de votre entreprise et le nom DNS à utiliser pour le service que vous enregistrez (tel que api.vpce.example.com). Après vérification, le nom de DNS remplace le nom de DNS du point de terminaison de base par défaut.

Accès des acheteurs aux points de terminaison de VPC

AWS Marketplace les acheteurs qui créent un point de terminaison VPC peuvent découvrir votre service dans les situations suivantes :

  • Vous avez suivi les processus vendeur décrits précédemment sur cette page pour créer ou utiliser un produit existant.

  • L'acheteur s'abonne à votre service.

  • Vous avez ajouté le AWS compte de l'acheteur à votre liste de comptes autorisés.

Lorsque l'acheteur crée le point de terminaison de VPC, il a la possibilité d'associer une zone hébergée privée à son VPC. Cette zone hébergée contient un ensemble d'enregistrements pour le nom DNS privé par défaut du service qui est résolu en adresse IP privée des interfaces réseau de point de terminaison de leur VPC.

Tout point de terminaison hébergé par l'acheteur, y compris les AWS Marketplace services, peut fournir des autorisations à tous les comptes (autorisation « * »). Toutefois, lorsque vous utilisez cette approche, les services ne sont pas inclus dans les appels Describe (Décrire) ni dans la console, sauf si vous effectuez une recherche basée sur le nom du service. Pour afficher les services dans les appels Describe, le AWS compte de l'acheteur doit être explicitement ajouté à la liste des services autorisés par le service.

Pour accéder à votre service, les acheteurs effectuent les opérations suivantes :

  1. Découvrez et abonnez-vous à votre service sur AWS Marketplace.

  2. Utilisez le AWS Command Line Interface (AWS CLI), l'API ou la console Amazon VPC pour découvrir votre service, puis établissez un point de terminaison VPC pour vous connecter à votre service dans les sous-réseaux et les AZ qu'ils utilisent. Les points de terminaison apparaissent sous forme d'interfaces réseau Elastic dans les sous-réseaux. Des adresses IP locales et des noms DNS régionaux et zonaux sont affectés aux points de terminaison.

Nom DNS côté client Nom

Régional

Vpce<0dc9a211a78c90f8>.api.vpce.example.com

IAD2 (1a)

us-east-1a-Vpce<0dc9a211a78c90f8>.api.vpce.example.com

IAD2 (1b)

us-east-1b-Vpce<0dc9a211a78c90f8>.api.vpce.example.com

Si vous avez fourni un nom DNS privé par défaut et que l'acheteur choisit Activer le nom DNS privé (associé à une zone hébergée privée) lors de la création d'un point de terminaison VPC, l'acheteur voit le nom DNS privé par défaut régional pour se connecter à votre service.

Nom Alias Alias Hosted Zone ID (Remarques)
api.example.com vpce<0dc9a211a78c90f8>. api.vpce.example.com Z00AABBCCDD

IAD1

IAD2

Annexe : Listes de contrôle

Utilisez les listes de contrôle suivantes pour vous assurer de configurer et de tester votre produit avant de le soumettre à l'équipe des opérations des AWS Marketplace vendeurs.

Liste de contrôle de création de produits

  • Créez un VPC (ou utilisez un VPC existant), puis configurez-le.

  • Créez et configurez un équilibreur de charge réseau au sein du VPC.

  • Enregistrez votre service auprès de votre équilibreur de charge réseau en créant un service de point de terminaison de VPC.

  • Fournissez l'ID de AWS compte que vous avez utilisé pour configurer le point de terminaison VPC à l'équipe des opérations des AWS Marketplace vendeurs.

  • Fournissez le nom du service de point de terminaison par défaut (par exemple, com.amazonaws.vpce.us-east-1.vpce-svc-0bbb070044a2164) à l'équipe des opérations vendeurs. AWS Marketplace

  • Fournissez un nom DNS de service convivial (obligatoire) pour remplacer le nom DNS de service généré de façon aléatoire. Demandez des certificats SSL à ACM pour le sous-domaine utilisé pour votre nom DNS de service convivial. Fournissez ces certificats et le numéro de AWS compte que vous avez utilisé pour les demander à l'équipe des opérations des AWS Marketplace vendeurs.

  • Recommandé : Fournissez un nom de DNS privé.

  • Créez un processus pour informer vos AWS Marketplace acheteurs et leur donner la possibilité de se connecter à votre service à l'aide de AWS PrivateLink la technologie. Ajoutez les identifiants de AWS compte de vos acheteurs à votre liste de comptes autorisés.

Tests du produit

  • Vérifiez que votre service est configuré et détectable.

  • Vérifiez que votre service est détectable via l'équilibreur de charge réseau.

  • Vérifiez qu'un acheteur peut créer un point de terminaison de VPC et accéder à votre service. Utilisez un AWS compte que vous possédez et qui n'est pas le compte que vous avez utilisé pour configurer votre service.