Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Quando crei un nome di dominio personalizzato privato, sei un provider di API. Quando invochi un nome di dominio personalizzato privato, sei un consumatore di API. Puoi utilizzare un nome di dominio personalizzato privato tuo Account AWS o di un altro Account AWS.
La sezione seguente spiega le attività che il provider e il consumatore di API devono eseguire per utilizzare un nome di dominio personalizzato privato. Se desideri richiamare un nome di dominio personalizzato privato Account AWS, sei sia il fornitore dell'API che il consumatore dell'API. Se desideri richiamare un dominio privato personalizzato in un altro Account AWS, a seconda della relazione di fiducia tra il provider dell'API e il consumatore dell'API AWS Organizations, AWS RAM potresti completare alcune attività al posto tuo.
Attività di un provider di API
I provider di API creano nomi di dominio privati APIs e li associano a nomi di dominio personalizzati.
I provider di API gestiscono due policy delle risorse per proteggere i propri nomi di dominio personalizzati privati. La prima policy riguarda il servizio execute-api e controlla quali endpoint VPC possono invocare il nome di dominio personalizzato privato. Nella configurazione del nome di dominio personalizzato privato è denominata policy.
La seconda policy riguarda il servizio Amazon API Gateway Management e controlla quali endpoint VPC di altri Account AWS possono formare un'associazione di accesso al nome di dominio con il tuo nome di dominio personalizzato privato. Un endpoint VPC deve formare un'associazione di accesso al nome di dominio con un nome di dominio personalizzato privato per invocarlo. Nella configurazione del nome di dominio personalizzato privato è denominata managementPolicy. Puoi utilizzare il AWS RAM nostro API Gateway per aggiornare questa politica. Se non intendi consentire agli endpoint VPC di altri di Account AWS richiamare il tuo nome di dominio personalizzato, non modifichi il. managementPolicy
Se sei un provider di API, devi eseguire le seguenti operazioni:
Crea un'API privata.
-
Aggiorna la
policydell'API privata per concedere all'endpoint VPC l'accesso all'API privata. Crea un nome di dominio personalizzato privato.
-
Aggiorna la
policydel nome di dominio personalizzato privato per concedere all'endpoint VPC l'accesso al nome di dominio personalizzato privato. Crea una mappatura del percorso di base per mappare l'API privata al nome di dominio personalizzato privato.
Se desideri consentire agli utenti API di altri paesi di accedere Account AWS al tuo nome di dominio privato personalizzato, procedi come segue:
-
Aggiorna la
managementPolicydel nome di dominio personalizzato privato per consentire ai consumatori di API in altri account di associare i loro endpoint VPC al tuo nome di dominio personalizzato privato. Puoi farlo utilizzando i seguenti metodi:- AWS RAM
-
Con AWS RAM, se il provider di API e il consumatore dell'API fanno parte della stessa organizzazione che utilizza AWS Organizations, la condivisione di risorse tra provider e consumatore viene accettata automaticamente. In caso contrario, è necessario attendere che il consumatore di API accetti la condivisione delle risorse. Ti consigliamo di AWS RAM utilizzarlo per condividere il tuo nome di dominio personalizzato privato.
- API Gateway
-
Con API Gateway, AWS CLI è supportato solo il. Devi aggiornare il nome di dominio personalizzato privato utilizzando un'operazione di patch e fornire il documento di policy per
managementPolicy.
-
Aggiorna il tuo nome
policydi dominio privato personalizzato e qualsiasi nome privato APIs mappato su di esso per concedere l'accesso all'endpoint VPC del consumatore dell'API.
Per istruzioni su come fornire la tua API a un altro Account AWS utente, consulta. Provider di API: condividi il tuo nome di dominio privato personalizzato utilizzando AWS RAM
Attività di un consumatore di API
I consumatori di API associano i propri endpoint VPC a un ARN di nome di dominio per invocare un nome di dominio personalizzato privato. I consumatori di API non devono necessariamente creare un'API di Gateway API.
Se sei un consumatore di API, esegui le seguenti operazioni:
-
Crea un endpoint VPC con DNS privato abilitato in Amazon VPC.
-
(Facoltativo: se AWS RAM utilizzato) Accetta una condivisione di risorse di dominio personalizzata privata AWS RAM entro 12 ore dalla condivisione delle risorse. Se fai parte della stessa organizzazione del provider di API, la condivisione di risorse viene accettata automaticamente.
-
Ottieni l'ARN del nome di dominio personalizzato privato. Poiché l'URL del nome di dominio personalizzato privato non è univoco, devi utilizzare l'ARN del nome di dominio personalizzato privato per creare l'associazione di accesso al nome di dominio tra l'endpoint VPC e il nome di dominio personalizzato privato. È possibile utilizzare AWS RAM per recuperare l'ARN del nome di dominio personalizzato privato.
-
Associa l'ARN del dominio personalizzato privato all'endpoint VPC in Gateway API. In questo modo viene creata una connessione sicura tra l'endpoint VPC e il nome di dominio personalizzato privato. Il traffico non esce dalla rete Amazon.
-
Attendi che il provider dell'API conceda all'endpoint VPC l'accesso al nome di dominio privato personalizzato e a qualsiasi nome privato APIs mappato al nome di dominio personalizzato privato. Se sei sia il provider che il consumatore di API, sei tu a concedere l'accesso per l'invocazione all'endpoint VPC.
-
Crea una zona ospitata privata di Route 53 e un record Route 53 per risolvere il nome di dominio personalizzato privato in Route 53.
Per istruzioni su come utilizzare un'API in un'altra Account AWS, consulta. Consumatore di API: associazione dell'endpoint VPC a un nome di dominio personalizzato privato condiviso
