Compartilhando o AWS AppSync GraphQL APIs - AWS AppSync GraphQL
Pré-requisitos para compartilhar o GraphQL AWS AppSync APIsCompartilhe AWS AppSync GraphQL APIsPare de compartilhar o AWS AppSync GraphQL APIsEventos entre contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhando o AWS AppSync GraphQL APIs

AWS AppSync integra-se com AWS Resource Access Manager (AWS RAM) para permitir o compartilhamento de recursos. AWS RAM é um serviço que permite que você compartilhe ações de invocação (operações de consulta, mutação e assinatura e conecte solicitações ao seu WebSocket endpoint em tempo real) no GraphQL com outros ou por AWS AppSync meio APIs dele. Contas da AWS AWS Organizations Com AWS RAM, você compartilha recursos de sua propriedade criando um compartilhamento de recursos. Um compartilhamento de atributos especifica os atributos a serem compartilhados, e os consumidores com os quais compartilhá-los. Os consumidores podem incluir o seguinte.

  • Específico Contas da AWS dentro ou fora de sua organização em AWS Organizations

  • Uma unidade organizacional dentro de sua organização em AWS Organizations

  • Uma organização inteira em AWS Organizations

Para obter mais informações sobre AWS RAM, consulte o Guia AWS Resource Access Manager do usuário.

Pré-requisitos para compartilhar o GraphQL AWS AppSync APIs

O compartilhamento do AWS AppSync GraphQL APIs tem os seguintes pré-requisitos.

  • Para compartilhar uma API do AWS AppSync GraphQL, você deve possuí-la em seu. Conta da AWS Isso significa que a API AWS AppSync GraphQL deve ser alocada ou provisionada em sua conta.

  • Para compartilhar uma API do AWS AppSync GraphQL com sua organização ou unidade organizacional em AWS Organizations, você deve habilitar o compartilhamento com. AWS Organizations Para obter mais informações, consulte Habilitar o compartilhamento de recursos no AWS Organizations no Guia do usuário do AWS Resource Access Manager .

Compartilhe AWS AppSync GraphQL APIs

Para compartilhar uma API do AWS AppSync GraphQL, comece criando um compartilhamento de recursos usando. AWS Resource Access Manager Um compartilhamento de recursos especifica os recursos a serem compartilhados, os consumidores com os quais compartilhá-los e quais ações as entidades principais poderão executar. Quando você compartilha uma API AWS AppSync GraphQL que você possui, com outros Contas da AWS, você permite que essas contas chamem essa AWS AppSync API no seu. Conta da AWS

Se você faz parte de uma organização e o compartilhamento dentro da sua organização está ativado, os consumidores da sua organização recebem automaticamente acesso ao recurso compartilhado. AWS Organizations Caso contrário, os consumidores receberão um convite para participar do compartilhamento de recursos e acesso ao recurso compartilhado depois de aceitar o convite.

Compartilhando considerações

  • Você pode compartilhar somente o AWS AppSync GraphQL APIs, não outros tipos de API, como Event. APIs

  • Você pode compartilhar somente o AWS AppSync GraphQL APIs que tenha AWS_IAM como um dos modos de autorização configurados na API.

    Se AWS_IAM for removido da lista de modos de autorização para uma API AppSync GraphQL compartilhada, embora o compartilhamento de recursos ainda exista, ele se tornará ineficaz.

  • Você pode compartilhar o AWS AppSync APIs GraphQL público e privado.

  • O AWS AppSync GraphQL privado sempre APIs pode ser acessado por meio de VPC endpoints VPCs na origem Conta da AWS, e todos os modos de autorização são suportados, não apenas. AWS_IAM

  • Para o AWS AppSync GraphQL compartilhado APIs, as permissões são gerenciadas somente para o recurso da API e não oferecem suporte a permissões refinadas para campo, tipo e recursos de campo. Ao compartilhar uma API, você está compartilhando o ARN da API e o de todos ARNs os seus tipos e campos.

Crie um compartilhamento de recursos de sua propriedade usando o AWS RAM console

Para compartilhar uma API do AWS AppSync GraphQL, use o procedimento descrito em Criação de um compartilhamento de recursos no Guia do AWS Resource Access Manager usuário, usando o RAM nome da permissãoAWSRAMPermissionAppSyncGraphQLApiInvokeAccess.

Crie e use uma permissão gerenciada pelo cliente para compartilhar uma API AWS AppSync GraphQL privada usando o console AWS RAM

Para compartilhar uma API AWS AppSync GraphQL privada, crie uma permissão gerenciada pelo cliente usando o procedimento descrito em Criação e uso de permissões gerenciadas pelo cliente no Guia do AWS Resource Access Manager usuário.

Por exemplo, um proprietário da Conta A deseja conceder aos diretores da Conta B permissão para acessar uma API AWS AppSync GraphQL (A) privada para chamadas feitas via VPCE-B PrivateApi (um VPC Endpoint de propriedade da Conta B). Nesse caso, o proprietário da Conta A precisa criar uma permissão gerenciada pelo AWS RAM cliente da seguinte maneira.

{
    "Effect": "Allow",
    "Action": "appsync:GraphQL",
    "Condition": {
        "StringEqualsIgnoreCase": {
            "aws:SourceVpce": [
                "VPCE-B"
            ]
        }
    }
}

Suponha que essa nova AWS RAM permissão gerenciada pelo cliente tenha um nomeprivate-api-A-access-via-vpce-b.

Para permitir o acesso entre contas ao PrivateApiA viaVPCE-B, o cliente pode criar um compartilhamento de AWS RAM recursos com os seguintes parâmetros e a permissão gerenciada pelo cliente no exemplo anterior.

  • Tipo de recurso: appsync:Apis

  • Recurso: arn:aws:appsync:us-west-2:A:apis/PrivateApiA

  • Permissão: private-api-A-access-via-vpce-b (permissão gerenciada pelo cliente)

  • Diretor: Account: B

Crie um compartilhamento de recursos de sua propriedade usando o AWS CLI

Para compartilhar uma API do AWS AppSync GraphQL usando o AWS CLI, use o create-resource-share comando with arn:aws:ram::aws:permission/AWSRAMPermissionAppSyncApiInvokeAccess como valor para o --permission-arns switch.

Para obter uma lista completa dos comandos disponíveis para AWS RAM, consulte a referência da AWS RAM CLI.

Pare de compartilhar o AWS AppSync GraphQL APIs

Para parar de compartilhar o AWS AppSync GraphQL APIs que você possui, você deve excluir o compartilhamento de recursos ou atualizar os principais com os quais você compartilhou o recurso. Consulte a documentação nas seções a seguir para saber a ação que você deseja realizar.

Para parar de compartilhar um recurso que você possui usando o AWS RAM console

Consulte Atualizar um compartilhamento de recursos no Guia do usuário do AWS Resource Access Manager .

Para parar de compartilhar um recurso que você possui usando o AWS CLI

Use o comando disassociate-resource-share.

Para excluir um compartilhamento de recursos que você possui usando o AWS RAM console

Consulte Excluir um compartilhamento de recursos no Guia do AWS Resource Access Manager usuário.

Para excluir um compartilhamento de recursos que você possui usando o AWS CLI

Use o comando delete-resource-share.

Para obter uma lista completa dos comandos disponíveis para AWS RAM, consulte a referência da AWS RAM CLI.

Eventos entre contas

Você pode optar por registrar eventos de AWS CloudTrail dados para monitorar e auditar a atividade da API AWS AppSync GraphQL em várias contas. DataPlane Para obter mais informações, consulte Registrar eventos de dados, no Guia do usuário do AWS CloudTrail .