View a markdown version of this page

Conectando-se a APIs privadas em EventBridge - Amazon EventBridge

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conectando-se a APIs privadas em EventBridge

Você pode criar conexões com endpoints HTTPS privados, para dar acesso de rede ponto a ponto seguro a recursos em VPCs ou on-premises sem precisar atravessar a Internet pública. Por exemplo, você pode criar uma conexão para acessar um HTTPS-based aplicativo por trás de um Amazon Elastic Load Balancer.

EventBridge cria conexões com endpoints HTTPS privados utilizando configurações de recursos criadas no VPC Lattice. Uma configuração de recurso é um objeto lógico que identifica o recurso e especifica como e quem pode acessá-lo. Para criar uma conexão com uma API privada em EventBridge, você especifica a configuração do recurso para a API privada. Para obter mais informações, consulte Configuração do recurso no VPC Lattice no Guia do usuário do Amazon VPC Lattice.

EventBridge em seguida, cria uma associação de recursos que EventBridge permite acessar a API privada. Para obter mais informações, consulte Gerenciar associações de recurso no Guia do usuário do Amazon VPC Lattice.

Enquanto EventBridge gerencia a associação de recursos, ele cria a associação usando suas credenciais, para que você mantenha a visibilidade da operação de associação de recursos.

EventBridge e Step Functions usam conexões como configurações de autorização para endpoints HTTPS.

Você pode criar conexões que acessam APIs privadas em outras AWS contas. Para obter mais informações, consulte Cross-account APIs privadas.

Permissões para conexão com APIs privadas

O exemplo da política a seguir inclui as permissões necessárias mínimas para criar uma conexão com uma API privada.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "vpc-lattice:CreateServiceNetworkResourceAssociation", "vpc-lattice:GetResourceConfiguration", "vpc-lattice:AssociateViaAWSService-EventsAndStates", "events:CreateConnection" ], "Resource": [ "*" ], "Effect": "Allow" } ] }

O exemplo da política a seguir inclui as permissões necessárias mínimas para atualizar uma conexão com uma API privada.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "vpc-lattice:CreateServiceNetworkResourceAssociation", "vpc-lattice:GetResourceConfiguration", "vpc-lattice:AssociateViaAWSService-EventsAndStates", "events:UpdateConnection" ], "Resource": [ "*" ], "Effect": "Allow" } ] }

Monitoramento da criação de conexões com APIs privadas

Quando você cria uma conexão com uma API privada, os seguintes logs são gerados:

Na conta na qual a conexão foi criada, o AWS CloudTrail registra em log um evento CreateServiceNetworkResourceAssociation.

Neste log,, sourceIPAddressuserAgent, e serviceNetworkIdentifier são definidos como o principal EventBridge de serviço,events.amazonaws.com.

{ "eventTime": "2024-11-21T00:00:00Z", "eventSource": "vpc-lattice.amazonaws.com", "eventName": "CreateServiceNetworkResourceAssociation", "awsRegion": "region", "sourceIPAddress": "events.amazonaws.com", "userAgent": "events.amazonaws.com", "requestParameters": { "x-amzn-vpc-lattice-association-source-arn": "***", "x-amzn-vpc-lattice-service-network-identifier": "***", "clientToken": "token", "serviceNetworkIdentifier": "events.amazonaws.com", "resourceConfigurationIdentifier": "arn:partition:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id", "tags": { "ManagedByServiceAWSEventBridge": "account-id:connection-name" } }

Na conta que contém a API privada, AWS CloudTrail registra um CreateServiceNetworkResourceAssociationBySharee evento.

Esse log inclui:

  • callerAccountId: a AWS conta na qual a conexão foi criada

  • accountId: a AWS conta que contém a API privada.

  • resource-configuration-arn: a configuração de recursos do VPC Lattice para a API privada.

{ "eventTime": "2024-11-21T06:31:42Z", "eventSource": "vpc-lattice.amazonaws.com", "eventName": "CreateServiceNetworkResourceAssociationBySharee", "awsRegion": "region", "sourceIPAddress": "vpc-lattice.amazonaws.com", "userAgent": "user-agent", "additionalEventData": { "callerAccountId": "consumer-account-id" }, "resources": [ { "accountId": "provider-account-id", "type": "AWS::VpcLattice::ServiceNetworkResourceAssociation", "ARN": "resource-configuration-arn" } ] }

No caso de conexões entre contas com APIs privadas, a conta que contém a conexão não receberá registros do AWS CloudTrail VPC Lattice para a invocação da API privada.

Gerenciamento das associações de recursos da rede de serviços para conexões

Quando você especifica a configuração de recursos do VPC Lattice para a API privada à qual deseja se conectar, EventBridge habilita a conexão criando uma associação de recursos entre a configuração do recurso do VPC Lattice e uma rede de serviços do VPC Lattice de propriedade do serviço. EventBridge Enquanto EventBridge gerencia a associação de recursos, ele cria a associação usando suas credenciais, para que você mantenha a visibilidade da associação de recursos. Isso significa que você pode listar e descrever as associações de recursos.

Use describe-connection para retornar uma descrição de conexão que inclua os nomes do recurso da Amazon (ARNs) da configuração do recurso e da associação do recurso.

Você não pode excluir associações de recursos criadas por EventBridge. Se você excluir uma conexão, EventBridge excluirá todas as associações de recursos correspondentes.

Para obter mais informações, consulte Gerenciar associações de recurso no Guia do usuário do Amazon VPC Lattice.

Conexão com APIs privadas on-premises

Usando o acesso aos recursos da VPC por meio do AWS PrivateLink e do VPC Lattice, você pode se conectar às APIs privadas on-premises. Para isso, você deve configurar uma rota de rede entre a VPC e o ambiente on-premises. Por exemplo, você pode usar AWS Direct Connect ou AWS Site-to-Site VPN ou estabelecer essa rota.