EventBridge에서 프라이빗 APIs에 연결 - Amazon EventBridge
권한연결 생성 모니터링리소스 연결 관리온프레미스 프라이빗 APIs리전 가용성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EventBridge에서 프라이빗 APIs에 연결

프라이빗 HTTPS 엔드포인트에 대한 연결을 생성하여 퍼블릭 인터넷을 통과할 필요 없이 VPCs 또는 온프레미스의 리소스에 대한 point-to-point 네트워크 액세스를 제공할 수 있습니다. 예를 들어 Amazon Elastic Load Balancer 뒤에 HTTPS 기반 애플리케이션에 액세스하기 위한 연결을 생성할 수 있습니다.

EventBridge는 VPC Lattice에서 생성된 리소스 구성을 활용하여 프라이빗 HTTPS 엔드포인트에 대한 연결을 생성합니다. 리소스 구성은 리소스를 식별하고 리소스에 액세스하는 방법과 사용자를 지정하는 논리적 객체입니다. EventBridge에서 프라이빗 API에 대한 연결을 생성하려면 프라이빗 API에 대한 리소스 구성을 지정합니다. 자세한 내용은 Amazon VPC Lattice 사용 설명서의 VPC Lattice의 리소스 구성을 참조하세요.

그런 다음 EventBridge는 EventBridge가 프라이빗 API에 액세스할 수 있는 리소스 연결을 생성합니다. 자세한 내용은 Amazon VPC Lattice 사용 설명서 리소스 연결 관리를 참조하세요.

EventBridge는 리소스 연결을 관리하는 동안 자격 증명을 사용하여 연결을 생성하므로 리소스 연결 작업에 대한 가시성을 유지할 수 있습니다.

EventBridge 및 Step Functions는 HTTPS 엔드포인트에 대한 권한 부여 구성으로 연결을 사용합니다.

다른 AWS 계정의 프라이빗 APIs에 액세스하는 연결을 생성할 수 있습니다. 자세한 내용은 교차 계정 프라이빗 APIs 단원을 참조하십시오.

프라이빗 APIs에 연결하기 위한 권한

다음 정책 예제에는 프라이빗 API에 대한 연결을 생성하는 데 필요한 최소 권한이 포함되어 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "vpc-lattice:CreateServiceNetworkResourceAssociation",
                "vpc-lattice:GetResourceConfiguration",
                "vpc-lattice:AssociateViaAWSService-EventsAndStates",
                "events:CreateConnection"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

다음 정책 예제에는 프라이빗 API에 대한 연결을 업데이트하는 데 필요한 최소 권한이 포함되어 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "vpc-lattice:CreateServiceNetworkResourceAssociation",
                "vpc-lattice:GetResourceConfiguration",               
                "vpc-lattice:AssociateViaAWSService-EventsAndStates",
                "events:UpdateConnection"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

프라이빗 APIs에 대한 연결 생성 모니터링

프라이빗 API에 대한 연결을 생성하면 다음 로그가 생성됩니다.

연결이 생성된 AWS CloudTrail 계정에서는 CreateServiceNetworkResourceAssociation 이벤트를 기록합니다.

이 로그에서 sourceIPAddress, userAgentserviceNetworkIdentifier는 EventBridge 서비스 보안 주체인 로 설정됩니다events.amazonaws.com.

{
  "eventTime": "2024-11-21T00:00:00Z",
  "eventSource": "vpc-lattice.amazonaws.com",
  "eventName": "CreateServiceNetworkResourceAssociation",
  "awsRegion": "region",
  "sourceIPAddress": "events.amazonaws.com", 
  "userAgent": "events.amazonaws.com",
  "requestParameters": {
    "x-amzn-vpc-lattice-association-source-arn": "***",
    "x-amzn-vpc-lattice-service-network-identifier": "***",
    "clientToken": "token",
    "serviceNetworkIdentifier": "events.amazonaws.com",
    "resourceConfigurationIdentifier": "arn:partition:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id",
    "tags": {
        "ManagedByServiceAWSEventBridge": "account-id:connection-name"
    }
}

프라이빗 API가 포함된 계정에서는 CreateServiceNetworkResourceAssociationBySharee 이벤트를 AWS CloudTrail 로깅합니다.

이 로그에는 다음이 포함됩니다.

  • callerAccountId: 연결이 생성된 AWS 계정

  • accountId: 프라이빗 API가 포함된 AWS 계정입니다.

  • resource-configuration-arn: 프라이빗 API에 대한 VPC Lattice 리소스 구성입니다.

{
  "eventTime": "2024-11-21T06:31:42Z",
  "eventSource": "vpc-lattice.amazonaws.com",
  "eventName": "CreateServiceNetworkResourceAssociationBySharee",
  "awsRegion": "region",
  "sourceIPAddress": "vpc-lattice.amazonaws.com",
  "userAgent": "user-agent",
  "additionalEventData": {
      "callerAccountId": "consumer-account-id"
  },
  "resources": [
      {
          "accountId": "provider-account-id",
          "type": "AWS::VpcLattice::ServiceNetworkResourceAssociation",
          "ARN": "resource-configuration-arn"
      }
  ]
}

프라이빗 APIs에 대한 교차 계정 연결의 경우 연결이 포함된 계정은 프라이빗 API 호출에 대한 AWS CloudTrail 또는 VPC Lattice 로그를 수신하지 않습니다.

연결을 위한 서비스 네트워크 리소스 연결 관리

연결하려는 프라이빗 API에 대한 VPC Lattice 리소스 구성을 지정하면 EventBridge는 VPC Lattice 리소스 구성과 EventBridge 서비스가 소유한 VPC Lattice 서비스 네트워크 간에 리소스 연결을 생성하여 연결을 활성화합니다. EventBridge는 리소스 연결을 관리하는 동안 자격 증명을 사용하여 연결을 생성하므로 리소스 연결에 대한 가시성을 유지할 수 있습니다. 즉, 리소스 연결을 나열하고 설명할 수 있습니다.

describe-connection을 사용하여 리소스 구성 및 리소스 연결의 Amazon 리소스 이름(ARNs)이 포함된 연결 설명을 반환합니다.

EventBridge에서 생성한 리소스 연결은 삭제할 수 없습니다. 연결을 삭제하면 EventBridge가 해당 리소스 연결을 삭제합니다.

자세한 내용은 Amazon VPC Lattice 사용 설명서 리소스 연결 관리를 참조하세요.

온프레미스 프라이빗 APIs에 연결

AWS PrivateLink 및 VPC Lattice를 통해 VPC 리소스에 액세스하여 온프레미스 프라이빗 APIs. 이렇게 하려면 VPC와 온프레미스 환경 간에 네트워크 경로를 구성해야 합니다. 예를 들어 AWS Direct Connect 또는 AWS Site-to-Site VPN를 사용하여 이러한 경로를 설정할 수 있습니다.

리전 가용성

EventBridge는 다음 AWS 리전에서 프라이빗 APIs에 대한 연결을 지원합니다.

  • 유럽(스톡홀름)

  • 아시아 태평양(뭄바이)

  • 유럽(파리)

  • 미국 동부(오하이오)

  • 유럽(아일랜드)

  • 유럽(프랑크푸르트)

  • 남아메리카(상파울루)

  • 아시아 태평양(홍콩)

  • 미국 동부(버지니아 북부)

  • 유럽(런던)

  • 아시아 태평양(도쿄)

  • 미국 서부(오리건)

  • 미국 서부(캘리포니아 북부)

  • 아시아 태평양(싱가포르)

  • 아시아 태평양(시드니)