Permissões Monitorando a criação da conexão Gerenciando associações de recursos Privado no local APIs Disponibilidade de regiões

Conectando-se à entrada privada APIs EventBridge

Você pode criar conexões com endpoints HTTPS privados para fornecer acesso seguro à point-to-point rede a recursos no local VPCs ou no local sem precisar navegar pela Internet pública. Por exemplo, você pode criar uma conexão para acessar um aplicativo baseado em HTTPS por trás de um Amazon Elastic Load Balancer.

EventBridge cria conexões com endpoints HTTPS privados utilizando configurações de recursos criadas no VPC Lattice. Uma configuração de recurso é um objeto lógico que identifica o recurso e especifica como e quem pode acessá-lo. Para criar uma conexão com uma API privada em EventBridge, você especifica a configuração do recurso para a API privada. Para obter mais informações, consulte Configuração de recursos no VPC Lattice no Guia do usuário do Amazon VPC Lattice.

EventBridge em seguida, cria uma associação de recursos que EventBridge permite acessar a API privada. Para obter mais informações, consulte Gerenciar associações de recursos no Guia do usuário do Amazon VPC Lattice.

Enquanto EventBridge gerencia a associação de recursos, ele cria a associação usando suas credenciais, para que você mantenha a visibilidade da operação de associação de recursos.

EventBridge e Step Functions usam conexões como configurações de autorização para endpoints HTTPS.

Você pode criar conexões que acessam o privado APIs em outras AWS contas. Para obter mais informações, consulte Privado em várias contas APIs.

Permissões para se conectar ao privado APIs

O exemplo de política a seguir inclui as permissões mínimas necessárias para criar uma conexão com uma API privada.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "vpc-lattice:CreateServiceNetworkResourceAssociation",
                "vpc-lattice:GetResourceConfiguration",
                "vpc-lattice:AssociateViaAWSService-EventsAndStates",
                "events:CreateConnection"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

O exemplo de política a seguir inclui as permissões mínimas necessárias para atualizar uma conexão com uma API privada.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "vpc-lattice:CreateServiceNetworkResourceAssociation",
                "vpc-lattice:GetResourceConfiguration",               
                "vpc-lattice:AssociateViaAWSService-EventsAndStates",
                "events:UpdateConnection"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Monitorando a criação de conexões privadas APIs

Quando você cria uma conexão com uma API privada, os seguintes registros são gerados:

Na conta na qual a conexão foi criada, AWS CloudTrail registra um CreateServiceNetworkResourceAssociation evento.

Neste log,, sourceIPAddressuserAgent, e serviceNetworkIdentifier são definidos como o principal EventBridge de serviço,events.amazonaws.com.


{
  "eventTime": "2024-11-21T00:00:00Z",
  "eventSource": "vpc-lattice.amazonaws.com",
  "eventName": "CreateServiceNetworkResourceAssociation",
  "awsRegion": "region",
  "sourceIPAddress": "events.amazonaws.com", 
  "userAgent": "events.amazonaws.com",
  "requestParameters": {
    "x-amzn-vpc-lattice-association-source-arn": "***",
    "x-amzn-vpc-lattice-service-network-identifier": "***",
    "clientToken": "token",
    "serviceNetworkIdentifier": "events.amazonaws.com",
    "resourceConfigurationIdentifier": "arn:partition:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id",
    "tags": {
        "ManagedByServiceAWSEventBridge": "account-id:connection-name"
    }
}

Na conta que contém a API privada, AWS CloudTrail registra um CreateServiceNetworkResourceAssociationBySharee evento.

Esse registro inclui:

callerAccountId: a AWS conta na qual a conexão foi criada
accountId: a AWS conta que contém a API privada.
resource-configuration-arn: a configuração de recursos do VPC Lattice para a API privada.


{
  "eventTime": "2024-11-21T06:31:42Z",
  "eventSource": "vpc-lattice.amazonaws.com",
  "eventName": "CreateServiceNetworkResourceAssociationBySharee",
  "awsRegion": "region",
  "sourceIPAddress": "vpc-lattice.amazonaws.com",
  "userAgent": "user-agent",
  "additionalEventData": {
      "callerAccountId": "consumer-account-id"
  },
  "resources": [
      {
          "accountId": "provider-account-id",
          "type": "AWS::VpcLattice::ServiceNetworkResourceAssociation",
          "ARN": "resource-configuration-arn"
      }
  ]
}

No caso de conexões entre contas com o privado APIs, a conta que contém a conexão não receberá AWS CloudTrail registros do VPC Lattice para a invocação da API privada.

Gerenciando associações de recursos de rede de serviços para conexões

Quando você especifica a configuração de recursos do VPC Lattice para a API privada à qual deseja se conectar, EventBridge habilita a conexão criando uma associação de recursos entre a configuração do recurso do VPC Lattice e uma rede de serviços do VPC Lattice de propriedade do serviço. EventBridge Enquanto EventBridge gerencia a associação de recursos, ele cria a associação usando suas credenciais, para que você mantenha a visibilidade da associação de recursos. Isso significa que você pode listar e descrever as associações de recursos.

Use describe-connection para retornar uma descrição de conexão que inclua os Amazon Resource Names (ARNs) da configuração do recurso e da associação do recurso.

Você não pode excluir associações de recursos criadas por EventBridge. Se você excluir uma conexão, EventBridge excluirá todas as associações de recursos correspondentes.

Para obter mais informações, consulte Gerenciar associações de recursos no Guia do usuário do Amazon VPC Lattice.

Conectando-se ao ambiente privado local APIs

Usando o acesso aos recursos da VPC por meio do AWS PrivateLink VPC Lattice, você pode se conectar ao ambiente privado local. APIs Para fazer isso, você deve configurar uma rota de rede entre sua VPC e seu ambiente local. Por exemplo, você pode AWS Site-to-Site VPNusar AWS Direct Connectou estabelecer essa rota.

Disponibilidade de regiões

EventBridge suporta conexões privadas APIs nas seguintes AWS regiões:

Europa (Estocolmo)
Ásia-Pacífico (Mumbai)
Europa (Paris)
Leste dos EUA (Ohio)
Europa (Irlanda)
Europa (Frankfurt)
América do Sul (São Paulo)
Ásia-Pacífico (Hong Kong)
Leste dos EUA (Norte da Virgínia)
Europa (Londres)
Ásia-Pacífico (Tóquio)
Oeste dos EUA (Oregon)
Oeste dos EUA (Norte da Califórnia)
Ásia-Pacífico (Singapura)
Ásia-Pacífico (Sydney)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conexões

Privado em várias contas APIs