View a markdown version of this page

Connessione a API private in EventBridge - Amazon EventBridge

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione a API private in EventBridge

Puoi creare connessioni a endpoint HTTPS privati per fornire un accesso sicuro alla rete point-to-point alle risorse in VPC o in locale senza dover attraversare la rete Internet pubblica. Ad esempio, puoi creare una connessione per accedere a un' HTTPS-based applicazione protetta da Amazon Elastic Load Balancer.

EventBridge crea connessioni a endpoint HTTPS privati utilizzando configurazioni di risorse create in VPC Lattice. Una configurazione di risorse è un oggetto logico che identifica la risorsa e specifica come e chi può accedervi. Per creare una connessione a un'API privata in EventBridge, è necessario specificare la configurazione delle risorse per l'API privata. Per ulteriori informazioni, consulta Configurazione delle risorse in VPC Lattice nella Amazon VPC Lattice User Guide.

EventBridge quindi crea un'associazione di risorse che consente di accedere EventBridge all'API privata. Per ulteriori informazioni, consulta Gestire le associazioni di risorse nella Amazon VPC Lattice User Guide.

Oltre EventBridge a gestire l'associazione delle risorse, crea l'associazione utilizzando le tue credenziali, in modo da mantenere la visibilità sull'operazione di associazione delle risorse.

EventBridge e Step Functions utilizzano le connessioni come configurazioni di autorizzazione per gli endpoint HTTPS.

È possibile creare connessioni che accedono alle API private in altri account. AWS Per ulteriori informazioni, consulta Cross-account API private.

Autorizzazioni per la connessione alle API private

Il seguente esempio di policy include le autorizzazioni minime necessarie per creare una connessione a un'API privata.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "vpc-lattice:CreateServiceNetworkResourceAssociation", "vpc-lattice:GetResourceConfiguration", "vpc-lattice:AssociateViaAWSService-EventsAndStates", "events:CreateConnection" ], "Resource": [ "*" ], "Effect": "Allow" } ] }

Il seguente esempio di policy include le autorizzazioni minime necessarie per aggiornare una connessione a un'API privata.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "vpc-lattice:CreateServiceNetworkResourceAssociation", "vpc-lattice:GetResourceConfiguration", "vpc-lattice:AssociateViaAWSService-EventsAndStates", "events:UpdateConnection" ], "Resource": [ "*" ], "Effect": "Allow" } ] }

Monitoraggio della creazione di connessioni alle API private

Quando si crea una connessione a un'API privata, vengono generati i seguenti log:

Nell'account in cui è stata creata la connessione, AWS CloudTrail registra un CreateServiceNetworkResourceAssociation evento.

In questo registro, sourceIPAddressuserAgent, e serviceNetworkIdentifier sono impostati sul principale del EventBridge servizio,events.amazonaws.com.

{ "eventTime": "2024-11-21T00:00:00Z", "eventSource": "vpc-lattice.amazonaws.com", "eventName": "CreateServiceNetworkResourceAssociation", "awsRegion": "region", "sourceIPAddress": "events.amazonaws.com", "userAgent": "events.amazonaws.com", "requestParameters": { "x-amzn-vpc-lattice-association-source-arn": "***", "x-amzn-vpc-lattice-service-network-identifier": "***", "clientToken": "token", "serviceNetworkIdentifier": "events.amazonaws.com", "resourceConfigurationIdentifier": "arn:partition:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id", "tags": { "ManagedByServiceAWSEventBridge": "account-id:connection-name" } }

Nell'account che contiene l'API privata, AWS CloudTrail registra un CreateServiceNetworkResourceAssociationBySharee evento.

Questo registro include:

  • callerAccountId: l'AWSaccount in cui è stata creata la connessione

  • accountId: L'AWSaccount che contiene l'API privata.

  • resource-configuration-arn: la configurazione delle risorse VPC Lattice per l'API privata.

{ "eventTime": "2024-11-21T06:31:42Z", "eventSource": "vpc-lattice.amazonaws.com", "eventName": "CreateServiceNetworkResourceAssociationBySharee", "awsRegion": "region", "sourceIPAddress": "vpc-lattice.amazonaws.com", "userAgent": "user-agent", "additionalEventData": { "callerAccountId": "consumer-account-id" }, "resources": [ { "accountId": "provider-account-id", "type": "AWS::VpcLattice::ServiceNetworkResourceAssociation", "ARN": "resource-configuration-arn" } ] }

Nel caso di connessioni tra account a API private, l'account contenente la connessione non riceverà né i log AWS CloudTrail VPC Lattice per la chiamata dell'API privata.

Gestione delle associazioni di risorse di rete di servizio per le connessioni

Quando specifichi la configurazione delle risorse VPC Lattice per l'API privata a cui desideri connetterti, EventBridge abilita la connessione creando un'associazione di risorse tra la configurazione delle risorse VPC Lattice e una rete di servizi VPC Lattice di proprietà del servizio. EventBridge Oltre a EventBridge gestire l'associazione di risorse, crea l'associazione utilizzando le credenziali dell'utente, in modo da mantenere la visibilità sull'associazione di risorse. Ciò significa che è possibile elencare e descrivere le associazioni di risorse.

Usa describe-connection per restituire una descrizione della connessione che includa gli Amazon Resource Names (ARN) della configurazione e dell'associazione delle risorse.

Non è possibile eliminare le associazioni di risorse create da. EventBridge Se si elimina una connessione, EventBridge elimina tutte le associazioni di risorse corrispondenti.

Per ulteriori informazioni, consulta Gestire le associazioni di risorse nella Amazon VPC Lattice User Guide.

Connessione a API private locali

Utilizzando l'accesso alle risorse VPC tramite AWS PrivateLink VPC Lattice, puoi connetterti alle API private locali. A tale scopo, è necessario configurare un percorso di rete tra il VPC e l'ambiente locale. Ad esempio, è possibile utilizzare AWS Direct Connecto stabilire un percorso AWS Site-to-Site VPNdi questo tipo.