本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon VPC Lattice 與 AWS Resource Access Manager (AWS RAM) 整合,以啟用共享服務、資源組態和服務網路。 AWS RAM 是一項服務,可讓您與其他 AWS 帳戶 或透過 共享一些 VPC Lattice 實體 AWS Organizations。您可以透過建立資源共享 AWS RAM,與 共用您擁有的實體。資源共用會指定要共用的實體,以及要與其共用的消費者。消費者可包括:
-
組織 AWS 帳戶 內部或外部的特定 AWS Organizations。
-
AWS Organizations中組織內的組織單位。
-
中的整個組織 AWS Organizations。
如需詳細資訊 AWS RAM,請參閱 AWS RAM 使用者指南。
共用 VPC Lattice 實體的先決條件
-
若要共用實體,您必須在 中擁有該實體 AWS 帳戶。這表示必須在您的帳戶中配置或佈建實體。您無法共用已與您共用的實體。
-
若要與組織或 中的組織單位共用實體 AWS Organizations,您必須啟用與 共用 AWS Organizations。如需詳細資訊,請參閱《AWS RAM 使用者指南》中的透過 AWS Organizations啟用共用。
共用 VPC Lattice 實體
若要共用實體,請先使用 建立資源共用 AWS Resource Access Manager。資源共用會指定要共用的實體、與其共用的消費者,以及主體可以執行的動作。
當您與其他人共用您擁有的 VPC Lattice 實體時 AWS 帳戶,您可以讓這些帳戶將其實體與帳戶中的實體建立關聯。當您針對共用實體建立關聯時,我們會在實體擁有者帳戶和建立關聯的帳戶中產生 Amazon Resource Name (ARN)。因此,實體擁有者和建立關聯的帳戶都可以刪除關聯。
如果您是 中組織的一部分, AWS Organizations 且已啟用組織內的共用,則組織中的消費者會自動獲得共用實體的存取權。否則,消費者會收到加入資源共享的邀請,並在接受邀請後授予共用實體的存取權。
考量事項
-
您可以共用三種類型的 VPC Lattice 實體:服務網路、服務和資源組態。
-
您可以與任何 共用 VPC Lattice 實體 AWS 帳戶。
-
您無法與個別 IAM 使用者和角色共用 VPC Lattice 實體。
-
VPC Lattice 支援服務、資源組態和服務網路的客戶受管許可。
使用 VPC Lattice 主控台共用您擁有的實體
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中的 VPC Lattice 下,選擇服務、服務網路或資源組態。
-
選擇實體的名稱以開啟其詳細資訊頁面,然後從共用標籤選擇共用服務、共用服務網路或共用資源組態。
-
從 AWS RAM 資源共用中選擇資源共用。若要建立資源共享,請選擇在 RAM 主控台中建立資源共享。
-
選擇共用服務、共用服務網路或共用資源組態。
使用 AWS RAM 主控台共用您擁有的實體
使用 AWS RAM 使用者指南中建立資源共享中所述的程序。
使用 共享您擁有的實體 AWS CLI
使用 associate-resource-share
停止共用 VPC Lattice 實體
若要停止共用您擁有的 VPC Lattice 實體,您必須將其從資源共用中移除。在您停止共用實體之後,現有的關聯會持續存在。不允許與先前共用實體的新關聯。當實體擁有者或關聯擁有者刪除關聯時,會從兩個帳戶中刪除該關聯。如果帳戶擁有者想要離開資源共用,則必須要求資源共用的擁有者從此資源共用的帳戶清單中移除其帳戶。
使用 VPC Lattice 主控台停止共用您擁有的實體
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中的 VPC Lattice 下,選擇服務、服務網路或資源組態。
-
選擇實體的名稱以開啟其詳細資訊頁面。
-
在共用索引標籤上,選取資源共用的核取方塊,然後選擇移除。
使用 AWS RAM 主控台停止共用您擁有的實體
請參閱AWS RAM 《 使用者指南》中的更新資源共享。
使用 停止共用您擁有的實體 AWS CLI
使用 disassociate-resource-share
責任和許可
使用共用 VPC Lattice 實體時,適用下列責任和許可。
實體擁有者
-
服務網路擁有者無法修改消費者建立的服務。
-
服務網路擁有者無法刪除消費者建立的服務。
-
服務網路擁有者可以描述服務網路的所有服務關聯。
-
服務網路擁有者可以取消與服務網路關聯的任何服務,無論關聯建立者是誰。
-
服務網路擁有者可以描述服務網路的所有 VPC 關聯。
-
服務網路擁有者可以取消消費者與服務網路相關聯的任何 VPC 的關聯。
-
服務網路擁有者可以描述服務網路的所有資源組態關聯。
-
服務網路擁有者可以取消與服務網路關聯的任何資源組態的關聯,無論關聯是由誰建立。
-
服務網路擁有者可以描述服務網路的所有端點關聯。
-
服務網路擁有者可以取消與服務網路關聯的任何端點的關聯,無論關聯是由誰建立。
-
服務擁有者可以描述所有服務網路與 服務的關聯。
-
服務擁有者可以將服務與其關聯的任何服務網路取消關聯。
-
資源組態擁有者可以描述與資源組態的所有網路關聯。
-
資源組態擁有者可以取消資源組態與其關聯的任何服務網路的關聯。
-
VPC 端點擁有者可以描述與其相關聯的服務網路。
-
VPC 端點擁有者可以取消端點與服務網路的關聯。
-
只有建立關聯的帳戶才能更新服務網路和 VPC 之間的關聯。
實體消費者
-
消費者無法刪除他們未建立的服務或資源組態。
-
消費者只能取消與服務網路相關聯的服務或資源組態的關聯。
-
消費者和網路擁有者可以描述服務網路與服務或資源組態之間的所有關聯。
-
取用者無法擷取其未擁有之資源組態的服務或資源組態資訊。
-
消費者可以描述所有服務關聯和資源組態與共用服務網路的關聯。
-
消費者可以將服務或資源組態與共用服務網路建立關聯。
-
消費者可以看到所有與共用服務網路的 VPC 關聯。
-
消費者可以將 VPC 與共用服務網路建立關聯。
-
消費者只能取消與服務網路相關聯的 VPCs 關聯。
-
消費者可以建立服務網路 VPC 端點,將其 VPC 連接到共用服務網路。
-
消費者只能刪除他們建立的服務網路 VPC 端點,以將其 VPC 連接到共用服務網路。
-
共用服務的取用者無法將服務與其非擁有的服務網路建立關聯。
-
共用服務網路的取用者無法關聯他們不擁有的 VPC 或服務。
-
共用資源組態的取用者無法將資源組態與其不擁有的服務網路建立關聯。
-
共用服務網路的取用者無法關聯他們不擁有的 VPC 或服務或資源組態。
-
消費者可以描述與其共用的服務、服務網路或資源組態。
-
如果兩個實體都與其共用,消費者就無法建立關聯。
跨帳戶事件
當實體擁有者和消費者對共用實體執行動作時,這些動作會記錄為 中的跨帳戶事件 AWS CloudTrail。
CreateServiceNetworkResourceAssociationBySharee-
當實體消費者呼叫 CreateServiceNetworkResourceAssociation 與共用實體時,傳送給實體擁有者。如果發起人擁有資源組態,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送至資源組態的擁有者。
CreateServiceNetworkServiceAssociationBySharee-
當實體消費者呼叫 CreateServiceNetworkServiceAssociation 與共用實體時,傳送給實體擁有者。如果發起人擁有該服務,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送至服務擁有者。
CreateServiceNetworkVpcAssociationBySharee-
當實體消費者呼叫 CreateServiceNetworkVpcAssociation 與共用服務網路時,傳送給實體擁有者。
DeleteServiceNetworkResourceAssociationByOwner-
當實體擁有者呼叫 DeleteServiceNetworkResourceAssociation 與共用實體時,會傳送給關聯擁有者。如果發起人擁有資源組態,則事件會傳送至服務網路關聯的擁有者。如果發起人擁有服務網路,則事件會傳送至資源關聯的擁有者。
DeleteServiceNetworkResourceAssociationBySharee-
當實體消費者呼叫 DeleteServiceNetworkResourceAssociation 與共用實體時,會傳送給實體擁有者。如果發起人擁有資源組態,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送至資源組態的擁有者。
DeleteServiceNetworkServiceAssociationByOwner-
當實體擁有者呼叫 DeleteServiceNetworkServiceAssociation 與共用實體時,會傳送給關聯擁有者。如果發起人擁有此服務,則事件會傳送至服務網路關聯的擁有者。如果發起人擁有服務網路,則事件會傳送至服務關聯的擁有者。
DeleteServiceNetworkServiceAssociationBySharee-
當實體消費者呼叫 DeleteServiceNetworkServiceAssociation 與共用實體時,會傳送給實體擁有者。如果發起人擁有此服務,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送至服務擁有者。
DeleteServiceNetworkVpcAssociationByOwner-
當實體擁有者使用共用服務網路呼叫 DeleteServiceNetworkVpcAssociation 時,傳送給關聯擁有者。
DeleteServiceNetworkVpcAssociationBySharee-
當實體消費者呼叫 DeleteServiceNetworkVpcAssociation 與共用服務網路時,傳送給實體擁有者。
GetServiceBySharee-
當實體消費者使用共用服務呼叫 GetService 時,傳送給實體擁有者。
GetServiceNetworkBySharee-
當實體消費者使用共用服務網路呼叫 GetServiceNetwork 時,傳送給實體擁有者。
GetServiceNetworkResourceAssociationBySharee-
當實體消費者呼叫 GetServiceNetworkResourceAssociation 與共用實體時,會傳送給實體擁有者。如果發起人擁有資源組態,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送至資源組態的擁有者。
GetServiceNetworkServiceAssociationBySharee-
當實體消費者呼叫 GetServiceNetworkServiceAssociation 與共用實體時,傳送給實體擁有者。如果發起人擁有此服務,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送至服務擁有者。
GetServiceNetworkVpcAssociationBySharee-
當實體消費者使用共用服務網路呼叫 GetServiceNetworkVpcAssociation 時,會傳送給實體擁有者。
以下是CreateServiceNetworkServiceAssociationBySharee事件的範例項目。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-04-27T17:12:46Z",
"eventSource": "vpc-lattice.amazonaws.com",
"eventName": "CreateServiceNetworkServiceAssociationBySharee",
"awsRegion": "us-west-2",
"sourceIPAddress": "vpc-lattice.amazonaws.com",
"userAgent": "ec2.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"callerAccountId": "111122223333"
},
"requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b",
"eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd",
"readOnly": false,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::VpcLattice::ServiceNetworkServiceAssociation",
"ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}