本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
正在连接到私有 APIs 中 EventBridge
您可以创建与私有 HTTPS 端点的连接,以提供对内部 VPCs 或本地资源的安全 point-to-point网络访问,而不必穿越公共 Internet。例如,您可以创建一个连接,以访问 Amazon Elastic Load Balancer 后面的基于 HTTPS 的应用程序。
EventBridge 利用在 VPC Lattice 中创建的资源配置创建与私有 HTTPS 终端节点的连接。资源配置是一个逻辑对象,用于标识资源并指定如何以及谁可以访问该资源。要在中创建与私有 API 的连接 EventBridge,您需要为私有 API 指定资源配置。有关更多信息,请参阅 Amazon VPC Lattice 用户指南中的 VPC Lattice 中的资源配置。
EventBridge 然后创建允许 EventBridge 访问私有 API 的资源关联。有关更多信息,请参阅 Amazon VPC Lattice 用户指南中的管理资源关联。
在 EventBridge 管理资源关联的同时,它会使用您的证书创建关联,因此您可以查看资源关联操作。
您可以创建 APIs 在其他 AWS 账户中使用私有访问权限的连接。有关更多信息,请参阅 跨账号私密账户 APIs。
连接私有版的权限 APIs
以下策略示例包括创建私有 API 连接所需的最低权限。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "vpc-lattice:CreateServiceNetworkResourceAssociation", "vpc-lattice:GetResourceConfiguration", "vpc-lattice:AssociateViaAWSService-EventsAndStates", "events:CreateConnection" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
以下策略示例包括更新私有 API 连接所需的最低权限。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "vpc-lattice:CreateServiceNetworkResourceAssociation", "vpc-lattice:GetResourceConfiguration", "vpc-lattice:AssociateViaAWSService-EventsAndStates", "events:UpdateConnection" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
监控私有连接的创建情况 APIs
当您创建与私有 API 的连接时,会生成以下日志:
在创建连接的账户中, AWS CloudTrail
记录一个CreateServiceNetworkResourceAssociation事件。
在此日志中sourceIPAddress,userAgent、和设置serviceNetworkIdentifier为 EventBridge 服务主体events.amazonaws.com。
{ "eventTime": "2024-11-21T00:00:00Z", "eventSource": "vpc-lattice.amazonaws.com", "eventName": "CreateServiceNetworkResourceAssociation", "awsRegion": "region", "sourceIPAddress": "events.amazonaws.com", "userAgent": "events.amazonaws.com", "requestParameters": { "x-amzn-vpc-lattice-association-source-arn": "***", "x-amzn-vpc-lattice-service-network-identifier": "***", "clientToken": "token", "serviceNetworkIdentifier": "events.amazonaws.com", "resourceConfigurationIdentifier": "arn:partition:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id", "tags": { "ManagedByServiceAWSEventBridge": "account-id:connection-name" } }
在包含私有 API 的账户中, AWS CloudTrail 记录一个CreateServiceNetworkResourceAssociationBySharee事件。
此日志包括:
callerAccountId: 创建连接时使用的 AWS 账户accountId:包含私有 API 的 AWS 账户。resource-configuration-arn:私有 API 的 VPC 莱迪思资源配置。
{ "eventTime": "2024-11-21T06:31:42Z", "eventSource": "vpc-lattice.amazonaws.com", "eventName": "CreateServiceNetworkResourceAssociationBySharee", "awsRegion": "region", "sourceIPAddress": "vpc-lattice.amazonaws.com", "userAgent": "user-agent", "additionalEventData": { "callerAccountId": "consumer-account-id" }, "resources": [ { "accountId": "provider-account-id", "type": "AWS::VpcLattice::ServiceNetworkResourceAssociation", "ARN": "resource-configuration-arn" } ] }
如果跨账户连接到私有账户 APIs,则包含该连接的账户将不会收到用于调用私有 API AWS CloudTrail 的 VPC Lattice 日志。
管理连接的服务网络资源关联
当您为要连接的私有 API 指定 VPC 莱迪思资源配置时,通过在 VPC 莱迪思资源配置和服务拥有的 VPC 莱迪思服务网络之间创建资源关联来 EventBridge 启用连接。 EventBridge 在 EventBridge 管理资源关联的同时,它会使用您的证书创建关联,因此您可以保持对资源关联的可见性。这意味着您可以列出和描述资源关联。
使用 d escribe- connection 返回连接描述,其中包括资源配置和资源关联的 Amazon 资源名称 (ARNs)。
您无法删除由创建的资源关联 EventBridge。如果删除连接,则 EventBridge 会删除所有相应的资源关联。
有关更多信息,请参阅 Amazon VPC Lattice 用户指南中的管理资源关联。
连接到本地私有网络 APIs
通过 AWS PrivateLink 和 VPC Lattice 访问 VPC 资源,您可以连接到本地私有网络。 APIs为此,您必须在 VPC 和本地环境之间配置网络路由。例如,您可以使用AWS Direct Connect或AWS Site-to-Site VPN来建立这样的路由。
区域可用性
EventBridge 支持以下 AWS 区域 APIs 的私有连接:
欧洲地区(斯德哥尔摩)
亚太地区(孟买)
欧洲地区(巴黎)
美国东部(俄亥俄州)
欧洲地区(爱尔兰)
欧洲地区(法兰克福)
南美洲(圣保罗)
亚太地区(香港)
美国东部(弗吉尼亚州北部)
欧洲地区(伦敦)
亚太地区(东京)
美国西部(俄勒冈州)
美国西部(加利福尼亚北部)
亚太地区(新加坡)
亚太地区(悉尼)
