Connessione a un ingresso privato APIs EventBridge - Amazon EventBridge
AutorizzazioniMonitoraggio della creazione di connessioniGestione delle associazioni di risorsePrivato in sede APIsDisponibilità nelle regioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione a un ingresso privato APIs EventBridge

Puoi creare connessioni a endpoint HTTPS privati per fornire un accesso di point-to-point rete sicuro alle risorse interne VPCs o locali senza dover attraversare la rete Internet pubblica. Ad esempio, puoi creare una connessione per accedere a un'applicazione basata su HTTPS dietro Amazon Elastic Load Balancer.

EventBridge crea connessioni a endpoint HTTPS privati utilizzando configurazioni di risorse create in VPC Lattice. Una configurazione di risorse è un oggetto logico che identifica la risorsa e specifica come e chi può accedervi. Per creare una connessione a un'API privata in EventBridge, è necessario specificare la configurazione delle risorse per l'API privata. Per ulteriori informazioni, consulta Configurazione delle risorse in VPC Lattice nella Amazon VPC Lattice User Guide.

EventBridge quindi crea un'associazione di risorse che consente di accedere EventBridge all'API privata. Per ulteriori informazioni, consulta Gestire le associazioni di risorse nella Amazon VPC Lattice User Guide.

Oltre EventBridge a gestire l'associazione delle risorse, crea l'associazione utilizzando le tue credenziali, in modo da mantenere la visibilità sull'operazione di associazione delle risorse.

EventBridge e Step Functions utilizzano le connessioni come configurazioni di autorizzazione per gli endpoint HTTPS.

È possibile creare connessioni con accesso privato APIs in altri AWS account. Per ulteriori informazioni, consulta Privato su più account APIs.

Autorizzazioni per la connessione a siti privati APIs

Il seguente esempio di policy include le autorizzazioni minime necessarie per creare una connessione a un'API privata.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "vpc-lattice:CreateServiceNetworkResourceAssociation",
                "vpc-lattice:GetResourceConfiguration",
                "vpc-lattice:AssociateViaAWSService-EventsAndStates",
                "events:CreateConnection"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Il seguente esempio di policy include le autorizzazioni minime necessarie per aggiornare una connessione a un'API privata.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "vpc-lattice:CreateServiceNetworkResourceAssociation",
                "vpc-lattice:GetResourceConfiguration",               
                "vpc-lattice:AssociateViaAWSService-EventsAndStates",
                "events:UpdateConnection"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Monitoraggio della creazione di connessioni private APIs

Quando si crea una connessione a un'API privata, vengono generati i seguenti log:

Nell'account in cui è stata creata la connessione, AWS CloudTrail registra un CreateServiceNetworkResourceAssociation evento.

In questo registro, sourceIPAddressuserAgent, e serviceNetworkIdentifier sono impostati sul principale del EventBridge servizio,events.amazonaws.com. 

{
  "eventTime": "2024-11-21T00:00:00Z",
  "eventSource": "vpc-lattice.amazonaws.com",
  "eventName": "CreateServiceNetworkResourceAssociation",
  "awsRegion": "region",
  "sourceIPAddress": "events.amazonaws.com", 
  "userAgent": "events.amazonaws.com",
  "requestParameters": {
    "x-amzn-vpc-lattice-association-source-arn": "***",
    "x-amzn-vpc-lattice-service-network-identifier": "***",
    "clientToken": "token",
    "serviceNetworkIdentifier": "events.amazonaws.com",
    "resourceConfigurationIdentifier": "arn:partition:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id",
    "tags": {
        "ManagedByServiceAWSEventBridge": "account-id:connection-name"
    }
}

Nell'account che contiene l'API privata, AWS CloudTrail registra un CreateServiceNetworkResourceAssociationBySharee evento.

Questo registro include:

  • callerAccountId: l' AWS account in cui è stata creata la connessione

  • accountId: l' AWS account che contiene l'API privata.

  • resource-configuration-arn: la configurazione delle risorse VPC Lattice per l'API privata.

{
  "eventTime": "2024-11-21T06:31:42Z",
  "eventSource": "vpc-lattice.amazonaws.com",
  "eventName": "CreateServiceNetworkResourceAssociationBySharee",
  "awsRegion": "region",
  "sourceIPAddress": "vpc-lattice.amazonaws.com",
  "userAgent": "user-agent",
  "additionalEventData": {
      "callerAccountId": "consumer-account-id"
  },
  "resources": [
      {
          "accountId": "provider-account-id",
          "type": "AWS::VpcLattice::ServiceNetworkResourceAssociation",
          "ARN": "resource-configuration-arn"
      }
  ]
}

Nel caso di connessioni tra account privati APIs, l'account contenente la connessione non riceverà AWS CloudTrail né i log VPC Lattice per l'invocazione dell'API privata.

Gestione delle associazioni di risorse di rete di servizio per le connessioni

Quando specifichi la configurazione delle risorse VPC Lattice per l'API privata a cui desideri connetterti, EventBridge abilita la connessione creando un'associazione di risorse tra la configurazione delle risorse VPC Lattice e una rete di servizi VPC Lattice di proprietà del servizio. EventBridge Oltre a EventBridge gestire l'associazione di risorse, crea l'associazione utilizzando le credenziali dell'utente, in modo da mantenere la visibilità sull'associazione di risorse. Ciò significa che è possibile elencare e descrivere le associazioni di risorse.

Usa describe-connection per restituire una descrizione della connessione che includa Amazon Resource Names (ARNs) della configurazione e dell'associazione delle risorse.

Non è possibile eliminare le associazioni di risorse create da. EventBridge Se si elimina una connessione, EventBridge elimina tutte le associazioni di risorse corrispondenti.

Per ulteriori informazioni, consulta Gestire le associazioni di risorse nella Amazon VPC Lattice User Guide.

Connessione a una rete privata locale APIs

Utilizzando l'accesso alle risorse VPC tramite AWS PrivateLink VPC Lattice, puoi connetterti a reti private locali. APIs A tale scopo, è necessario configurare un percorso di rete tra il VPC e l'ambiente locale. Ad esempio, è possibile utilizzare AWS Direct Connecto stabilire un percorso AWS Site-to-Site VPNdi questo tipo.

Disponibilità nelle regioni

EventBridge supporta connessioni private APIs nelle seguenti AWS regioni:

  • Europa (Stoccolma)

  • Asia Pacifico (Mumbai)

  • Europa (Parigi)

  • Stati Uniti orientali (Ohio)

  • Europa (Irlanda)

  • Europa (Francoforte)

  • Sud America (San Paolo)

  • Asia Pacifico (Hong Kong)

  • Stati Uniti orientali (Virginia settentrionale)

  • Europa (Londra)

  • Asia Pacifico (Tokyo)

  • US West (Oregon)

  • Stati Uniti occidentali (California settentrionale)

  • Asia Pacifico (Singapore)

  • Asia Pacifico (Sydney)