Compartilhe suas entidades VPC Lattice - Amazon VPC Lattice
Pré-requisitosCompartilhar entidadesPare de compartilhar entidadesResponsabilidades e permissõesEventos entre contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhe suas entidades VPC Lattice

O Amazon VPC Lattice se integra com AWS Resource Access Manager (AWS RAM) para permitir o compartilhamento de serviços, configurações de recursos e redes de serviços. AWS RAM é um serviço que permite compartilhar algumas entidades do VPC Lattice com outras Contas da AWS ou por meio AWS Organizations de. Com AWS RAM, você compartilha entidades de sua propriedade criando um compartilhamento de recursos. Um compartilhamento de recursos especifica as entidades a serem compartilhadas e os consumidores com quem compartilhá-las. Os consumidores podem incluir:

  • Específico Contas da AWS dentro ou fora de sua organização em AWS Organizations.

  • Uma unidade organizacional dentro da sua organização no AWS Organizations.

  • Uma organização inteira no AWS Organizations.

Para obter mais informações sobre AWS RAM, consulte o Guia AWS RAM do usuário.

Pré-requisitos para compartilhar entidades do Lattice VPC

  • Para compartilhar uma entidade, você deve possuí-la em seu Conta da AWS. Isso significa que a entidade deve ser alocada ou provisionada em sua conta. Você não pode compartilhar uma entidade que tenha sido compartilhada com você.

  • Para compartilhar uma entidade com sua organização ou unidade organizacional em AWS Organizations, você deve habilitar o compartilhamento com AWS Organizations. Para obter mais informações, consulte Habilitar o compartilhamento de recursos no AWS Organizations no Guia do usuário do AWS RAM .

Compartilhe entidades VPC Lattice

Para compartilhar uma entidade, comece criando um compartilhamento de recursos usando AWS Resource Access Manager. Um compartilhamento de recursos especifica as entidades a serem compartilhadas, os consumidores com quem elas são compartilhadas e quais ações os diretores podem realizar.

Quando você compartilha uma entidade do VPC Lattice que você possui com outra Contas da AWS, você permite que essas contas associem suas entidades às entidades em sua conta. Quando você cria uma associação com uma entidade compartilhada, geramos um Amazon Resource Name (ARN) na conta do proprietário da entidade e na conta que criou a associação. Portanto, tanto o proprietário da entidade quanto a conta que criou a associação podem excluir a associação.

Se você faz parte de uma organização AWS Organizations e o compartilhamento dentro de sua organização está ativado, os consumidores em sua organização recebem automaticamente acesso à entidade compartilhada. Caso contrário, os consumidores receberão um convite para participar do compartilhamento de recursos e terão acesso à entidade compartilhada após aceitarem o convite.

Considerações

  • Você pode compartilhar três tipos de entidades do VPC Lattice: redes de serviços, serviços e configurações de recursos.

  • Você pode compartilhar suas entidades do VPC Lattice com qualquer Conta da AWS uma.

  • Você não pode compartilhar suas entidades do VPC Lattice com IAM usuários e funções individuais.

  • VPCO Lattice oferece suporte a permissões gerenciadas pelo cliente para serviços, configurações de recursos e redes de serviços.

Para compartilhar uma entidade que você possui usando o console VPC Lattice

  1. Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, em VPCLattice, escolha Serviços, Redes de serviços ou Configurações de recursos.

  3. Escolha o nome da entidade para abrir sua página de detalhes e, em seguida, escolha Compartilhar serviço, Compartilhar rede de serviços ou Compartilhar configuração de recursos na guia Compartilhamento.

  4. Escolha os compartilhamentos AWS RAM de recursos em Compartilhamentos de recursos. Para criar um compartilhamento de recursos, escolha Criar um compartilhamento de recursos no RAM console.

  5. Escolha Compartilhar serviço, Compartilhar rede de serviços ou Compartilhar configuração de recursos.

Para compartilhar uma entidade que você possui usando o AWS RAM console

Siga o procedimento descrito em Criar um compartilhamento de recursos no Guia do usuário do AWS RAM .

Para compartilhar uma entidade que você possui usando o AWS CLI

Use o comando associate-resource-share.

Pare de compartilhar entidades do VPC Lattice

Para parar de compartilhar uma entidade do VPC Lattice que você possui, você deve removê-la do compartilhamento de recursos. As associações existentes persistem depois que você para de compartilhar sua entidade. Novas associações a uma entidade compartilhada anteriormente não são permitidas. Quando o proprietário da entidade ou o proprietário da associação exclui uma associação, ela é excluída de ambas as contas. Se o proprietário da conta quiser sair de um compartilhamento de recursos, ele deverá pedir ao proprietário do compartilhamento de recursos que remova sua conta da lista de contas com as quais esse recurso foi compartilhado.

Para parar de compartilhar uma entidade que você possui usando o console VPC Lattice

  1. Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, em VPCLattice, escolha Serviços, Redes de serviços ou Configurações de recursos.

  3. Escolha o nome da entidade para abrir sua página de detalhes.

  4. Na guia Compartilhamento, marque a caixa de seleção do compartilhamento de recursos e escolha Remover.

Para parar de compartilhar uma entidade que você possui usando o AWS RAM console

Consulte Atualizar um compartilhamento de recursos no Guia do usuário do AWS RAM .

Para parar de compartilhar uma entidade que você possui usando o AWS CLI

Use o comando disassociate-resource-share.

Responsabilidades e permissões

As seguintes responsabilidades e permissões se aplicam ao usar entidades compartilhadas do VPC Lattice.

Proprietários da entidade

  • O proprietário da rede de serviços não pode modificar um serviço criado por um consumidor.

  • O proprietário da rede de serviços não pode excluir um serviço criado por um consumidor.

  • O proprietário da rede de serviços pode descrever todas as associações de serviços da rede de serviços.

  • O proprietário da rede de serviços pode desassociar qualquer serviço associado à rede de serviços, independentemente de quem tenha criado a associação.

  • O proprietário da rede de serviços pode descrever todas as VPC associações da rede de serviços.

  • O proprietário da rede de serviços pode desassociar tudo VPC o que um consumidor associou à rede de serviços.

  • O proprietário da rede de serviços pode descrever todas as associações de configuração de recursos da rede de serviços.

  • O proprietário da rede de serviços pode desassociar qualquer configuração de recurso associada à rede de serviços, independentemente de quem criou a associação.

  • O proprietário da rede de serviços pode descrever todas as associações de endpoints da rede de serviços.

  • O proprietário da rede de serviços pode desassociar qualquer endpoint associado à rede de serviços, independentemente de quem criou a associação.

  • O proprietário do serviço pode descrever todas as associações de rede de serviços com o serviço.

  • O proprietário do serviço pode desassociar um serviço de qualquer rede de serviços à qual ele esteja associado.

  • O proprietário da configuração do recurso pode descrever todas as associações de rede com a configuração do recurso.

  • O proprietário da configuração do recurso pode desassociar uma configuração de recurso de qualquer rede de serviços à qual ela esteja associada.

  • O proprietário do VPC endpoint pode descrever a rede de serviços à qual ele está associado.

  • O proprietário do VPC endpoint pode dissociar um endpoint da rede de serviços.

  • Somente a conta que criou uma associação pode atualizar a associação entre a rede de serviços e VPC o.

Consumidores individuais

  • O consumidor não pode excluir uma configuração de serviço ou recurso que ele não criou.

  • O consumidor pode desassociar somente os serviços ou configurações de recursos que ele associou a uma rede de serviços.

  • O consumidor e o proprietário da rede podem descrever todas as associações entre uma rede de serviços e uma configuração de serviços ou recursos.

  • O consumidor não pode recuperar informações de serviço de um serviço ou informações de configuração de recursos de uma configuração de recursos que não seja de sua propriedade.

  • O consumidor pode descrever todas as associações de serviços e associações de configurações de recursos com uma rede de serviços compartilhados.

  • O consumidor pode associar um serviço ou uma configuração de recursos a uma rede de serviços compartilhados.

  • O consumidor pode ver todas as VPC associações com uma rede de serviços compartilhados.

  • O consumidor pode associar a a VPC a uma rede de serviços compartilhados.

  • O consumidor pode desassociar somente o VPCs que ele associou a uma rede de serviços.

  • O consumidor pode criar um VPC endpoint de rede de serviços para conectá-lo VPC a uma rede de serviços compartilhada.

  • O consumidor pode excluir somente o VPC endpoint da rede de serviços que criou para conectá-lo VPC a uma rede de serviços compartilhada.

  • O consumidor de um serviço compartilhado não pode associar um serviço a uma rede de serviços que não seja de sua propriedade.

  • O consumidor de uma rede de serviços compartilhados não pode associar um serviço VPC ou serviço que não seja de sua propriedade.

  • O consumidor de uma configuração de recurso compartilhado não pode associar uma configuração de recursos a uma rede de serviços que não seja de sua propriedade.

  • O consumidor de uma rede de serviços compartilhados não pode associar uma configuração de serviço VPC ou recurso que não seja de sua propriedade.

  • O consumidor pode descrever um serviço, uma rede de serviços ou uma configuração de recursos que é compartilhada com ele.

  • O consumidor não pode associar duas entidades se ambas forem compartilhadas com elas.

Eventos entre contas

Quando proprietários e consumidores de entidades realizam ações em uma entidade compartilhada, essas ações são registradas como eventos entre contas em AWS CloudTrail.

CreateServiceNetworkResourceAssociationBySharee

Enviado ao proprietário da entidade quando um consumidor da entidade liga CreateServiceNetworkResourceAssociation com uma entidade compartilhada. Se o chamador possuir a configuração do recurso, o evento será enviado ao proprietário da rede de serviço. Se o chamador for proprietário da rede de serviço, o evento será enviado ao proprietário da configuração do recurso.

CreateServiceNetworkServiceAssociationBySharee

Enviado ao proprietário da entidade quando um consumidor da entidade liga CreateServiceNetworkServiceAssociationcom uma entidade compartilhada. Se o chamador for proprietário do serviço, o evento será enviado ao proprietário da rede de serviços. Se o chamador for proprietário da rede de serviços, o evento será enviado ao proprietário do serviço.

CreateServiceNetworkVpcAssociationBySharee

Enviado ao proprietário da entidade quando um consumidor da entidade liga CreateServiceNetworkVpcAssociationcom uma rede de serviços compartilhados.

DeleteServiceNetworkResourceAssociationByOwner

Enviado ao proprietário da associação quando o proprietário da entidade liga DeleteServiceNetworkResourceAssociation com uma entidade compartilhada. Se o chamador possuir a configuração do recurso, o evento será enviado ao proprietário da associação de rede de serviço. Se o chamador for proprietário da rede de serviços, o evento será enviado ao proprietário da associação de recursos.

DeleteServiceNetworkResourceAssociationBySharee

Enviado ao proprietário da entidade quando um consumidor da entidade liga DeleteServiceNetworkResourceAssociation com uma entidade compartilhada. Se o chamador possuir a configuração do recurso, o evento será enviado ao proprietário da rede de serviço. Se o chamador for proprietário da rede de serviço, o evento será enviado ao proprietário da configuração do recurso.

DeleteServiceNetworkServiceAssociationByOwner

Enviado ao proprietário da associação quando o proprietário da entidade liga DeleteServiceNetworkServiceAssociationcom uma entidade compartilhada. Se o chamador for proprietário do serviço, o evento será enviado ao proprietário da associação da rede de serviços. Se o chamador for proprietário da rede de serviços, o evento será enviado ao proprietário da associação de serviço.

DeleteServiceNetworkServiceAssociationBySharee

Enviado ao proprietário da entidade quando um consumidor da entidade liga DeleteServiceNetworkServiceAssociationcom uma entidade compartilhada. Se o chamador for proprietário do serviço, o evento será enviado ao proprietário da rede de serviços. Se o chamador for proprietário da rede de serviços, o evento será enviado ao proprietário do serviço.

DeleteServiceNetworkVpcAssociationByOwner

Enviado ao proprietário da associação quando o proprietário da entidade liga DeleteServiceNetworkVpcAssociationcom uma rede de serviços compartilhados.

DeleteServiceNetworkVpcAssociationBySharee

Enviado ao proprietário da entidade quando um consumidor da entidade liga DeleteServiceNetworkVpcAssociationcom uma rede de serviços compartilhados.

GetServiceBySharee

Enviado ao proprietário da entidade quando um consumidor da entidade liga GetServicecom um serviço compartilhado.

GetServiceNetworkBySharee

Enviado ao proprietário da entidade quando um consumidor da entidade liga GetServiceNetworkcom uma rede de serviços compartilhados.

GetServiceNetworkResourceAssociationBySharee

Enviado ao proprietário da entidade quando um consumidor da entidade liga GetServiceNetworkResourceAssociation com uma entidade compartilhada. Se o chamador possuir a configuração do recurso, o evento será enviado ao proprietário da rede de serviço. Se o chamador for proprietário da rede de serviço, o evento será enviado ao proprietário da configuração do recurso.

GetServiceNetworkServiceAssociationBySharee

Enviado ao proprietário da entidade quando um consumidor da entidade liga GetServiceNetworkServiceAssociationcom uma entidade compartilhada. Se o chamador for proprietário do serviço, o evento será enviado ao proprietário da rede de serviços. Se o chamador for proprietário da rede de serviços, o evento será enviado ao proprietário do serviço.

GetServiceNetworkVpcAssociationBySharee

Enviado ao proprietário da entidade quando um consumidor da entidade liga GetServiceNetworkVpcAssociationcom uma rede de serviços compartilhados.

O seguinte é um exemplo da entrada para o evento CreateServiceNetworkServiceAssociationBySharee.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-04-27T17:12:46Z",
    "eventSource": "vpc-lattice.amazonaws.com",
    "eventName": "CreateServiceNetworkServiceAssociationBySharee",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "vpc-lattice.amazonaws.com",
    "userAgent": "ec2.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "callerAccountId": "111122223333"
    },
    "requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b",
    "eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::VpcLattice::ServiceNetworkServiceAssociation",
            "ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}