Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Condividi le tue entità VPC Lattice
Amazon VPC Lattice si integra con AWS Resource Access Manager (AWS RAM) per consentire la condivisione di servizi, configurazioni di risorse e reti di servizi. AWS RAM è un servizio che consente di condividere alcune entità VPC Lattice con altre Account AWS o tramite. AWS Organizations Con AWS RAM, condividi le entità di tua proprietà creando una condivisione di risorse. Una condivisione di risorse specifica le entità da condividere e i consumatori con cui condividerle. I consumatori includono:
-
Specifico Account AWS all'interno o all'esterno della sua organizzazione in AWS Organizations.
-
Un'unità organizzativa all'interno dell'organizzazione in AWS Organizations.
-
Un'intera organizzazione in AWS Organizations.
Per ulteriori informazioni in merito AWS RAM, consulta la Guida AWS RAM per l'utente.
Indice
Prerequisiti per la condivisione di entità VPC Lattice
-
Per condividere un'entità, devi possederla nel tuo. Account AWS Ciò significa che l'entità deve essere allocata o fornita nel tuo account. Non puoi condividere un'entità che è stata condivisa con te.
-
Per condividere un'entità con la tua organizzazione o un'unità organizzativa AWS Organizations, devi abilitare la condivisione con AWS Organizations. Per ulteriori informazioni, consulta Abilitare la condivisione delle risorse con AWS Organizations nella Guida per l'utente di AWS RAM .
Condividi entità VPC Lattice
Per condividere un'entità, inizia creando una condivisione di risorse utilizzando AWS Resource Access Manager. Una condivisione di risorse specifica le entità da condividere, i consumatori con cui vengono condivise e quali azioni possono eseguire i responsabili.
Quando condividi un'entità VPC Lattice di tua proprietà con altri Account AWS, consenti a tali account di associare le loro entità alle entità del tuo account. Quando crei un'associazione con un'entità condivisa, generiamo un Amazon Resource Name (ARN) nell'account del proprietario dell'entità e nell'account che ha creato l'associazione. Pertanto, sia il proprietario dell'entità che l'account che ha creato l'associazione possono eliminare l'associazione.
Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, ai consumatori dell'organizzazione viene automaticamente concesso l'accesso all'entità condivisa. In caso contrario, i consumatori ricevono un invito a partecipare alla condivisione delle risorse e ottengono l'accesso all'entità condivisa dopo aver accettato l'invito.
Considerazioni
-
Puoi condividere tre tipi di entità VPC Lattice: reti di servizi, servizi e configurazioni di risorse.
-
Puoi condividere le tue entità VPC Lattice con chiunque. Account AWS
-
Non puoi condividere le tue entità VPC Lattice con singoli utenti e ruoli IAM.
-
VPC Lattice supporta le autorizzazioni gestite dal cliente per servizi, configurazioni di risorse e reti di servizi.
Per condividere un'entità di tua proprietà utilizzando la console VPC Lattice
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel pannello di navigazione, in VPC Lattice, scegli Servizi, Reti di servizio o Configurazioni di risorse.
-
Scegli il nome dell'entità per aprire la relativa pagina dei dettagli, quindi scegli Condividi servizio, Condividi rete di servizi o Condividi configurazione delle risorse dalla scheda Condivisione.
-
Scegli le condivisioni di AWS RAM risorse da Condivisioni di risorse. Per creare una condivisione di risorse, scegli Crea una condivisione di risorse nella console RAM.
-
Scegli Condividi servizio, Condividi rete di servizi o Condividi configurazione delle risorse.
Per condividere un'entità di tua proprietà utilizzando la AWS RAM console
Usa la procedura descritta in Creare una condivisione di risorse nella Guida AWS RAM per l'utente.
Per condividere un'entità di tua proprietà utilizzando il AWS CLI
Utilizza il comando associate-resource-share
Interrompi la condivisione di entità VPC Lattice
Per interrompere la condivisione di un'entità VPC Lattice di tua proprietà, devi rimuoverla dalla condivisione di risorse. Le associazioni esistenti persistono dopo l'interruzione della condivisione dell'entità. Non sono consentite nuove associazioni a un'entità precedentemente condivisa. Quando il proprietario dell'entità o il proprietario dell'associazione elimina un'associazione, questa viene eliminata da entrambi gli account. Se il proprietario di un account desidera abbandonare una condivisione di risorse, deve chiedere al proprietario della condivisione di risorse di rimuovere il proprio account dall'elenco degli account con cui è stata condivisa la risorsa.
Per interrompere la condivisione di un'entità di tua proprietà utilizzando la console VPC Lattice
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel pannello di navigazione, in VPC Lattice, scegli Servizi, Reti di servizio o Configurazioni di risorse.
-
Scegli il nome dell'entità per aprire la pagina dei dettagli.
-
Nella scheda Condivisione, seleziona la casella di controllo relativa alla condivisione delle risorse, quindi scegli Rimuovi.
Per interrompere la condivisione di un'entità di tua proprietà utilizzando la AWS RAM console
Vedi Aggiornare una condivisione di risorse nella Guida AWS RAM per l'utente.
Per interrompere la condivisione di un'entità di tua proprietà, utilizza il AWS CLI
Utilizza il comando disassociate-resource-share
Responsabilità e autorizzazioni
Le seguenti responsabilità e autorizzazioni si applicano quando si utilizzano entità VPC Lattice condivise.
Proprietari delle entità
-
Il proprietario della rete di servizi non può modificare un servizio creato da un consumatore.
-
Il proprietario della rete di assistenza non può eliminare un servizio creato da un consumatore.
-
Il proprietario della rete di assistenza può descrivere tutte le associazioni di servizi per la rete di assistenza.
-
Il proprietario della rete di assistenza può dissociare qualsiasi servizio associato alla rete di servizi, indipendentemente da chi ha creato l'associazione.
-
Il proprietario della rete di servizi può descrivere tutte le associazioni VPC per la rete di servizi.
-
Il proprietario della rete di servizi può dissociare qualsiasi VPC associato da un consumatore alla rete di servizio.
-
Il proprietario della rete di assistenza può descrivere tutte le associazioni di configurazione delle risorse per la rete di servizio.
-
Il proprietario della rete di servizi può dissociare qualsiasi configurazione di risorse associata alla rete di servizio, indipendentemente da chi ha creato l'associazione.
-
Il proprietario della rete di servizi può descrivere tutte le associazioni di endpoint per la rete di servizi.
-
Il proprietario della rete di servizi può dissociare qualsiasi endpoint associato alla rete di servizio, indipendentemente da chi ha creato l'associazione.
-
Il proprietario del servizio può descrivere tutte le associazioni della rete di servizio con il servizio.
-
Il proprietario del servizio può dissociare un servizio da qualsiasi rete di assistenza a cui è associato.
-
Il proprietario della configurazione delle risorse può descrivere tutte le associazioni di rete con la configurazione delle risorse.
-
Il proprietario della configurazione delle risorse può dissociare una configurazione di risorse da qualsiasi rete di servizio a cui è associata.
-
Il proprietario dell'endpoint VPC può descrivere la rete di servizi a cui è associato.
-
Il proprietario dell'endpoint VPC può dissociare un endpoint dalla rete di servizi.
-
Solo l'account che ha creato un'associazione può aggiornare l'associazione tra la rete di servizi e il VPC.
Consumatori dell'entità
-
Il consumatore non può eliminare una configurazione di servizio o di risorse che non ha creato.
-
Il consumatore può dissociare solo i servizi o le configurazioni di risorse che ha associato a una rete di servizi.
-
Il consumatore e il proprietario della rete possono descrivere tutte le associazioni tra una rete di servizi e una configurazione di servizi o risorse.
-
Il consumatore non può recuperare le informazioni di servizio relative a un servizio o le informazioni sulla configurazione di una risorsa di cui non è proprietario.
-
Il consumatore può descrivere tutte le associazioni di servizi e le associazioni di configurazioni di risorse con una rete di servizi condivisa.
-
Il consumatore può associare una configurazione di servizio o di risorse a una rete di servizi condivisa.
-
Il consumatore può vedere tutte le associazioni VPC con una rete di servizi condivisa.
-
Il consumatore può associare un VPC a una rete di servizi condivisa.
-
Il consumatore può dissociare solo VPCs ciò che ha associato a una rete di servizi.
-
Il consumatore può creare un endpoint VPC della rete di servizio per connettere il proprio VPC a una rete di servizi condivisa.
-
Il consumatore può eliminare solo l'endpoint VPC della rete di servizio che ha creato per connettere il proprio VPC a una rete di servizi condivisa.
-
Il consumatore di un servizio condiviso non può associare un servizio a una rete di servizi di cui non è proprietario.
-
L'utente di una rete di servizi condivisa non può associare un VPC o un servizio di cui non è proprietario.
-
L'utente di una configurazione di risorse condivise non può associare una configurazione di risorse a una rete di servizi di cui non è proprietario.
-
L'utente di una rete di servizi condivisa non può associare un VPC o una configurazione di servizi o risorse di cui non è proprietario.
-
Il consumatore può descrivere un servizio, una rete di servizi o una configurazione di risorse condivisa con lui.
-
Il consumatore non può associare due entità se entrambe sono condivise con lui.
Eventi multi-account
Quando i proprietari e i consumatori dell'entità eseguono azioni su un'entità condivisa, tali azioni vengono registrate come eventi interaccount in AWS CloudTrail.
CreateServiceNetworkResourceAssociationBySharee-
Inviato al proprietario dell'entità quando un consumatore dell'entità chiama CreateServiceNetworkResourceAssociation con un'entità condivisa. Se il chiamante è il proprietario della configurazione delle risorse, l'evento viene inviato al proprietario della rete di servizi. Se il chiamante è proprietario della rete di servizi, l'evento viene inviato al proprietario della configurazione delle risorse.
CreateServiceNetworkServiceAssociationBySharee-
Inviato al proprietario dell'entità quando un consumatore dell'entità chiama CreateServiceNetworkServiceAssociationcon un'entità condivisa. Se il chiamante è proprietario del servizio, l'evento viene inviato al proprietario della rete di assistenza. Se il chiamante è proprietario della rete di assistenza, l'evento viene inviato al proprietario del servizio.
CreateServiceNetworkVpcAssociationBySharee-
Inviato al proprietario dell'entità quando un consumatore dell'entità chiama CreateServiceNetworkVpcAssociationcon una rete di servizi condivisa.
DeleteServiceNetworkResourceAssociationByOwner-
Inviato al proprietario dell'associazione quando il proprietario dell'entità chiama DeleteServiceNetworkResourceAssociation con un'entità condivisa. Se il chiamante è il proprietario della configurazione delle risorse, l'evento viene inviato al proprietario dell'associazione della rete di servizio. Se il chiamante è proprietario della rete di servizi, l'evento viene inviato al proprietario dell'associazione di risorse.
DeleteServiceNetworkResourceAssociationBySharee-
Inviato al proprietario dell'entità quando un consumatore dell'entità chiama DeleteServiceNetworkResourceAssociation con un'entità condivisa. Se il chiamante è il proprietario della configurazione delle risorse, l'evento viene inviato al proprietario della rete di servizi. Se il chiamante è proprietario della rete di servizi, l'evento viene inviato al proprietario della configurazione delle risorse.
DeleteServiceNetworkServiceAssociationByOwner-
Inviato al proprietario dell'associazione quando il proprietario dell'entità chiama DeleteServiceNetworkServiceAssociationcon un'entità condivisa. Se il chiamante è proprietario del servizio, l'evento viene inviato al proprietario dell'associazione della rete di servizio. Se il chiamante è proprietario della rete di servizi, l'evento viene inviato al proprietario dell'associazione di servizio.
DeleteServiceNetworkServiceAssociationBySharee-
Inviato al proprietario dell'entità quando un consumatore dell'entità chiama DeleteServiceNetworkServiceAssociationcon un'entità condivisa. Se il chiamante è proprietario del servizio, l'evento viene inviato al proprietario della rete di assistenza. Se il chiamante è proprietario della rete di assistenza, l'evento viene inviato al proprietario del servizio.
DeleteServiceNetworkVpcAssociationByOwner-
Inviato al proprietario dell'associazione quando il proprietario dell'entità chiama DeleteServiceNetworkVpcAssociationcon una rete di servizi condivisa.
DeleteServiceNetworkVpcAssociationBySharee-
Inviato al proprietario dell'entità quando un consumatore dell'entità chiama DeleteServiceNetworkVpcAssociationcon una rete di servizi condivisa.
GetServiceBySharee-
Inviato al proprietario dell'entità quando un consumatore dell'entità chiama GetServicecon un servizio condiviso.
GetServiceNetworkBySharee-
Inviato al proprietario dell'entità quando un consumatore dell'entità chiama GetServiceNetworkcon una rete di servizi condivisa.
GetServiceNetworkResourceAssociationBySharee-
Inviato al proprietario dell'entità quando un consumatore dell'entità chiama GetServiceNetworkResourceAssociation con un'entità condivisa. Se il chiamante è il proprietario della configurazione delle risorse, l'evento viene inviato al proprietario della rete di servizi. Se il chiamante è proprietario della rete di servizi, l'evento viene inviato al proprietario della configurazione delle risorse.
GetServiceNetworkServiceAssociationBySharee-
Inviato al proprietario dell'entità quando un consumatore dell'entità chiama GetServiceNetworkServiceAssociationcon un'entità condivisa. Se il chiamante è proprietario del servizio, l'evento viene inviato al proprietario della rete di assistenza. Se il chiamante è proprietario della rete di assistenza, l'evento viene inviato al proprietario del servizio.
GetServiceNetworkVpcAssociationBySharee-
Inviato al proprietario dell'entità quando un consumatore dell'entità chiama GetServiceNetworkVpcAssociationcon una rete di servizi condivisa.
Di seguito è riportato un esempio di voce relativa all'CreateServiceNetworkServiceAssociationByShareeevento.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-04-27T17:12:46Z",
"eventSource": "vpc-lattice.amazonaws.com",
"eventName": "CreateServiceNetworkServiceAssociationBySharee",
"awsRegion": "us-west-2",
"sourceIPAddress": "vpc-lattice.amazonaws.com",
"userAgent": "ec2.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"callerAccountId": "111122223333"
},
"requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b",
"eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd",
"readOnly": false,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::VpcLattice::ServiceNetworkServiceAssociation",
"ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}