Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Services en VPC Lattice
Un service au sein de VPC Lattice est une unité logicielle déployable indépendamment qui fournit une tâche ou une fonction spécifique. Un service peut être exécuté sur des instances, des conteneurs ou en tant que fonctions sans serveur au sein d'un compte ou d'un cloud privé virtuel (VPC). Un service possède un écouteur qui utilise des règles, appelées règles d'écouteur, que vous pouvez configurer pour aider à acheminer le trafic vers vos cibles. Les types de cibles pris en charge incluent les EC2 instances, les adresses IP, les fonctions Lambda, les équilibreurs de charge d'application, les tâches Amazon ECS et les pods Kubernetes. Pour de plus amples informations, veuillez consulter [Groupes cibles dans VPC Lattice](target-groups.md). Vous pouvez associer un service à plusieurs réseaux de services. Le schéma suivant montre les composants clés d'un service typique au sein de VPC Lattice.
![\[Un service avec un écouteur, des règles d'écoute et deux groupes cibles.\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/images/service.png)
Vous pouvez créer un service en lui donnant un nom et une description. Toutefois, pour contrôler et surveiller le trafic vers votre service, il est important d'inclure les paramètres d'accès et les détails de surveillance. Pour envoyer le trafic de votre service vers vos cibles, vous devez configurer un écouteur et des règles. Pour permettre au trafic de circuler du réseau de service vers votre service, vous devez associer votre service au réseau de service.
Il existe un délai d'inactivité et un délai de connexion global pour les connexions aux cibles. Le délai d'inactivité de la connexion est de 1 minute, après quoi nous fermons la connexion. La durée maximale est de 10 minutes, après quoi nous n'autorisons pas de nouveaux flux via la connexion et nous entamons le processus de fermeture des flux existants.
**Topics**
+ [Étape 1 : créer un service VPC Lattice](#create-service)
+ [Étape 2 : définir le routage](#define-routing)
+ [Étape 3 : créer des associations réseau](#associate-to-networks)
+ [Étape 4 : vérifier et créer](#review-and-create)
+ [Gérer les associations](service-associations.md)
+ [Modifier les paramètres d'accès](service-access.md)
+ [Modifier les informations de surveillance](service-monitoring.md)
+ [Gestion des balises](service-tags.md)
+ [Configuration d'un nom de domaine personnalisé](service-custom-domain-name.md)
+ [BYOC](service-byoc.md)
+ [Supprimer un service](delete-service.md)
## Étape 1 : créer un service VPC Lattice
Créez un service VPC Lattice de base avec des paramètres d'accès et des informations de surveillance. Toutefois, le service n'est pas entièrement fonctionnel tant que vous n'avez pas défini sa configuration de routage et que vous ne l'avez pas associé à un réseau de services.
**Pour créer un service de base à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Dans le volet de navigation, sous **VPC Lattice**, sélectionnez Services.**
1. Choisissez **Créer un service**.
1. Pour les **identifiants**, procédez comme suit :
1. Entrez un nom pour le service. Le nom doit comporter entre 3 et 40 caractères et utiliser des lettres minuscules, des chiffres et des traits d'union. Il doit commencer et se terminer par une lettre ou un chiffre. N'utilisez pas de traits d'union doubles.
1. (Facultatif) Entrez une description du réseau de service. Vous pouvez définir ou modifier la description pendant ou après la création. La description peut comporter jusqu'à 256 caractères.
1. Pour spécifier un nom de domaine personnalisé pour votre service, sélectionnez **Spécifier une configuration de domaine personnalisée** et entrez le nom de domaine personnalisé.
Pour les écouteurs HTTPS, vous pouvez sélectionner le certificat que VPC Lattice utilisera pour effectuer la terminaison du protocole TLS. Si vous ne sélectionnez pas de certificat pour le moment, vous pouvez le sélectionner lorsque vous créez un écouteur HTTPS pour le service.
Pour les écouteurs TCP, vous devez spécifier un nom de domaine personnalisé pour votre service. Si vous spécifiez un certificat, celui-ci n'est pas utilisé. Au lieu de cela, vous effectuez la terminaison du protocole TLS dans votre application.
1. Pour **Accès au service**, choisissez **Aucun** si vous souhaitez que les clients du réseau VPCs associé au service puissent accéder à votre service. Pour appliquer une [politique d'authentification](auth-policies.md) afin de contrôler l'accès au service, choisissez **AWS IAM**. Pour appliquer une politique de ressources au service, effectuez l'une des opérations suivantes pour la **politique d'authentification** :
+ Entrez une politique dans le champ de saisie. Par exemple, des politiques que vous pouvez copier et coller, choisissez **Exemples de politiques**.
+ Choisissez **Appliquer le modèle de politique** et sélectionnez le modèle **Autoriser les accès authentifiés et non authentifiés.** Ce modèle permet à un client d'accéder au service depuis un autre compte soit en signant la demande (c'est-à-dire authentifié), soit de manière anonyme (c'est-à-dire non authentifié).
+ Choisissez **Appliquer le modèle de politique** et sélectionnez le modèle **Autoriser uniquement l'accès authentifié**. Ce modèle permet à un client d'un autre compte d'accéder au service uniquement en signant la demande (c'est-à-dire authentifiée).
1. (Facultatif) Pour activer [les journaux d'accès](monitoring-access-logs.md), activez le commutateur **des journaux d'accès** et spécifiez une destination pour vos journaux d'accès comme suit :
+ Sélectionnez **Groupe de CloudWatch journaux**, puis choisissez un groupe de CloudWatch journaux. Pour créer un groupe de journaux, choisissez **Create a log group in CloudWatch**.
+ Sélectionnez le **compartiment S3** et entrez le chemin du compartiment S3, y compris tout préfixe. Pour effectuer une recherche dans vos compartiments S3, choisissez **Browse S3**.
+ Sélectionnez le flux de diffusion **Kinesis Data Firehose**, puis choisissez un flux de diffusion. Pour créer un flux de diffusion, choisissez **Créer un flux de diffusion dans Kinesis**.
1. (Facultatif) Pour [partager votre service](sharing.md) avec d'autres comptes, choisissez un **partage de AWS RAM ressources dans Partages de ressources**. Pour créer un partage de ressources, choisissez **Créer un partage de ressources dans la console RAM**.
1. Pour revoir votre configuration et créer le service, choisissez **Ignorer pour vérifier et créer**. Sinon, choisissez **Next** pour définir la configuration de routage de votre service.
## Étape 2 : définir le routage
Définissez votre configuration de routage à l'aide d'écouteurs afin que votre service puisse envoyer du trafic vers les cibles que vous spécifiez.
**Prérequis**
Avant de pouvoir ajouter un écouteur, vous devez créer un groupe cible VPC Lattice. Pour de plus amples informations, veuillez consulter [Création d'un groupe cible VPC Lattice](create-target-group.md).
**Pour définir le routage de votre service à l'aide de la console**
1. Choisissez **Add listener** (Ajouter un écouteur).
1. Pour le **nom de l'écouteur**, vous pouvez soit fournir un nom d'écouteur personnalisé, soit utiliser le protocole et le port de votre écouteur comme nom d'écouteur. Le nom personnalisé que vous spécifiez peut comporter jusqu'à 63 caractères et doit être unique pour chaque service de votre compte. Les caractères valides sont a-z, 0-9 et les tirets (-). Vous ne pouvez pas utiliser de tiret comme premier ou dernier caractère, ni immédiatement après un autre tiret. Vous ne pouvez pas modifier le nom d'un écouteur après l'avoir créé.
1. Choisissez un protocole, puis entrez un numéro de port.
1. Pour **l'action par défaut**, choisissez le groupe cible du réseau VPC pour recevoir le trafic et choisissez le poids à attribuer à ce groupe cible. Vous pouvez éventuellement ajouter un autre groupe cible pour l'action par défaut. Choisissez **Ajouter une action**, puis choisissez un autre groupe cible et spécifiez son poids.
1. (Facultatif) Pour ajouter une autre **règle, choisissez Ajouter** une règle, puis entrez un nom, une priorité, une condition et une action pour la règle.
Vous pouvez attribuer à chaque règle un numéro de priorité compris entre 1 et 100. Un écouteur ne peut pas avoir plusieurs règles ayant la même priorité. Les règles sont évaluées par ordre de priorité, de la valeur la plus basse à la valeur la plus haute. La règle par défaut est évaluée en dernier.
Pour **Condition**, entrez un modèle de chemin pour la condition de correspondance du chemin. La taille maximale de chaque chaîne est de 200 caractères. La comparaison ne fait pas la distinction majuscules/minuscules.
1. (Facultatif) Pour ajouter des balises, développez les **balises Listener**, choisissez **Ajouter une nouvelle balise**, puis entrez une clé de balise et une valeur de balise.
1. Pour revoir votre configuration et créer le service, choisissez **Ignorer pour vérifier et créer**. Sinon, choisissez **Next** pour associer votre service à un réseau de services.
## Étape 3 : créer des associations réseau
Associez votre service à un réseau de services afin que les clients puissent communiquer avec lui.
**Pour associer un service à un réseau de services à l'aide de la console**
1. Pour les **réseaux de service VPC Lattice, sélectionnez le réseau de service**. Pour créer un réseau de service, choisissez **Create a VPC Lattice** network. Vous pouvez associer votre service à plusieurs réseaux de services.
1. (Facultatif) Pour ajouter une balise, développez les **balises d'association du réseau de services**, choisissez **Ajouter une nouvelle balise**, puis entrez une clé de balise et une valeur de balise.
1. Choisissez **Suivant**.
## Étape 4 : vérifier et créer
**Pour revoir la configuration et créer le service à l'aide de la console**
1. Vérifiez la configuration de votre service.
1. Choisissez **Modifier** si vous devez modifier une partie de la configuration du service.
1. Lorsque vous avez terminé de réviser ou de modifier votre configuration, choisissez **Create VPC Lattice** service.
1. Si vous avez spécifié un nom de domaine personnalisé pour le service, vous devez configurer le routage DNS une fois le service créé. Pour de plus amples informations, veuillez consulter [Configurer un nom de domaine personnalisé pour votre service VPC Lattice](service-custom-domain-name.md).
# Gérer les associations pour un service VPC Lattice
Lorsque vous associez un service au réseau de services, cela permet aux clients (ressources d'un VPC associé au réseau de services) de faire des demandes à ce service. Vous pouvez associer des services présents dans votre compte ou des services partagés avec vous à partir de différents comptes. Cette étape est facultative lors de la création du service. Cependant, après sa création, le service ne peut pas communiquer avec d'autres services tant que vous ne l'avez pas associé à un réseau de services. Les propriétaires de services peuvent associer leurs services au réseau de services si leur compte dispose de l'accès requis. Pour de plus amples informations, veuillez consulter [Fonctionnement de VPC Lattice](how-it-works.md).
**Pour gérer les associations de réseaux de service à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Dans le volet de navigation, sous **VPC Lattice**, sélectionnez Services.**
1. Sélectionnez le nom du service pour ouvrir sa page de détails.
1. Choisissez l'onglet **Associations de réseaux de services**.
1. Pour créer une association, procédez comme suit :
1. Choisissez **Créer des associations**.
1. Sélectionnez un réseau de service parmi les réseaux de service **VPC Lattice**. Pour créer un réseau de service, choisissez **Create a VPC Lattice** network.
1. (Facultatif) Pour ajouter une balise, développez les **balises d'association de services**, choisissez **Ajouter une nouvelle balise**, puis entrez une clé de balise et une valeur de balise.
1. Sélectionnez **Enregistrer les modifications**.
1. Pour supprimer une association, cochez la case correspondante, puis choisissez **Actions**, **Supprimer les associations réseau**. Lorsque vous êtes invité à confirmer, entrez **confirm**, puis choisissez **Delete (Supprimer)**.
**Pour créer une association de réseau de service à l'aide du AWS CLI**
Utilisez la commande [create-service-network-service-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-service-association.html).
**Pour supprimer une association de réseau de service à l'aide du AWS CLI**
Utilisez la commande [delete-service-network-service-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-service-association.html).
# Modifier les paramètres d'accès pour un service VPC Lattice
Les paramètres d'accès vous permettent de configurer et de gérer l'accès des clients à un service. Les paramètres d'accès incluent *le type d'authentification* et les politiques d'*authentification.* Les politiques d'authentification vous aident à authentifier et à autoriser le trafic circulant vers les services au sein de VPC Lattice.
Vous pouvez appliquer des politiques d'authentification au niveau du réseau de service, au niveau du service ou aux deux. Au niveau du service, les propriétaires de services peuvent appliquer des contrôles précis, qui peuvent être plus restrictifs. Généralement, les politiques d'authentification sont appliquées par les propriétaires du réseau ou les administrateurs du cloud. Ils peuvent mettre en œuvre une autorisation basée sur le cours, par exemple en autorisant les appels authentifiés provenant de l'organisation ou en autorisant les demandes GET anonymes répondant à certaines conditions. Pour de plus amples informations, veuillez consulter [Contrôlez l'accès aux services VPC Lattice à l'aide de politiques d'authentification](auth-policies.md).
**Pour ajouter ou mettre à jour des politiques d'accès à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Dans le volet de navigation, sous **VPC Lattice**, sélectionnez Services.**
1. Sélectionnez le nom du service pour ouvrir sa page de détails.
1. Cliquez sur l'onglet **Accès** pour vérifier les paramètres d'accès actuels.
1. Pour mettre à jour les paramètres d'accès, choisissez **Modifier les paramètres d'accès**.
1. Si vous souhaitez que les clients du réseau de service associé accèdent à votre service, choisissez **Aucun** pour **le type d'authentification**. VPCs
1. Pour appliquer une politique de ressources afin de contrôler l'accès au service, choisissez **AWS IAM** pour le **type d'authentification** et effectuez l'une des opérations suivantes pour la politique d'**authentification** :
+ Entrez une politique dans le champ de saisie. Par exemple, des politiques que vous pouvez copier et coller, choisissez **Exemples de politiques**.
+ Choisissez **Appliquer le modèle de politique** et sélectionnez le modèle **Autoriser les accès authentifiés et non authentifiés.** Ce modèle permet à un client d'accéder au service depuis un autre compte soit en signant la demande (c'est-à-dire authentifié), soit de manière anonyme (c'est-à-dire non authentifié).
+ Choisissez **Appliquer le modèle de politique** et sélectionnez le modèle **Autoriser uniquement l'accès authentifié**. Ce modèle permet à un client d'un autre compte d'accéder au service uniquement en signant la demande (c'est-à-dire authentifiée).
1. Sélectionnez **Enregistrer les modifications**.
**Pour ajouter ou mettre à jour une politique d'accès à l'aide du AWS CLI**
Utilisez la commande [put-auth-policy](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/put-auth-policy.html).
# Modifier les détails de surveillance d'un service VPC Lattice
VPC Lattice génère des métriques et des journaux pour chaque demande et réponse, ce qui permet de surveiller et de dépanner les applications plus efficacement.
Vous pouvez activer les journaux d'accès et spécifier la ressource de destination pour vos journaux. VPC Lattice peut envoyer des journaux aux ressources suivantes : groupes de CloudWatch journaux, flux de diffusion Firehose et compartiments S3.
**Pour activer les journaux d'accès ou mettre à jour une destination de journal à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Dans le volet de navigation, sous **VPC Lattice**, sélectionnez Services.**
1. Sélectionnez le nom du service pour ouvrir sa page de détails.
1. Choisissez l'onglet **Surveillance**, puis sélectionnez **Logs**. Consultez les **journaux d'accès** pour voir si les journaux d'accès sont activés.
1. Pour activer ou désactiver les journaux d'accès, choisissez **Modifier les journaux d'accès**, puis activez ou désactivez le bouton **des journaux d'accès**.
1. Lorsque vous activez les journaux d'accès, vous devez sélectionner le type de destination de livraison, puis créer ou choisir la destination des journaux d'accès. Vous pouvez également modifier la destination de livraison à tout moment. Par exemple :
+ Sélectionnez **Groupe de CloudWatch journaux**, puis choisissez un groupe de CloudWatch journaux. Pour créer un groupe de journaux, choisissez **Create a log group in CloudWatch**.
+ Sélectionnez le **compartiment S3** et entrez le chemin du compartiment S3, y compris tout préfixe. Pour effectuer une recherche dans vos compartiments S3, choisissez **Browse S3**.
+ Sélectionnez le flux de diffusion **Kinesis Data Firehose**, puis choisissez un flux de diffusion. Pour créer un flux de diffusion, choisissez **Créer un flux de diffusion dans Kinesis**.
1. Sélectionnez **Enregistrer les modifications**.
**Pour activer les journaux d'accès à l'aide du AWS CLI**
Utilisez la commande [create-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-access-log-subscription.html).
**Pour mettre à jour la destination du journal à l'aide du AWS CLI**
Utilisez la commande [update-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/update-access-log-subscription.html).
**Pour désactiver les journaux d'accès à l'aide du AWS CLI**
Utilisez la commande [delete-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-access-log-subscription.html).
# Gérer les balises pour un service VPC Lattice
Les balises vous aident à classer votre service de différentes manières, par exemple par objectif, propriétaire ou environnement.
Vous pouvez ajouter plusieurs balises à chaque service. Les clés de tag doivent être uniques pour chaque service. Si vous ajoutez une balise avec une clé déjà associée au service, la valeur de cette balise est mise à jour. Vous pouvez utiliser des caractères tels que des lettres, des espaces, des chiffres (en UTF-8) et les caractères spéciaux suivants : \$1 - =. \$1 : / @. N'utilisez pas d'espaces de début ou de fin. Les valeurs de balise sont sensibles à la casse.
**Pour ajouter ou supprimer des balises à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Dans le volet de navigation, sous **VPC Lattice**, sélectionnez Services.**
1. Sélectionnez le nom du service pour ouvrir sa page de détails.
1. Sélectionnez l’onglet **Tags** (Identifications).
1. Pour ajouter une étiquette, choisissez **Ajouter des balises** et entrez la clé et la valeur de la balise. Pour ajouter une autre balise, choisissez **Ajouter une nouvelle balise**. Après avoir ajouter les identifications, choisissez **Enregistrer les modifications**.
1. Pour supprimer une étiquette, cochez la case correspondante et choisissez **Supprimer**. Lorsque vous êtes invité à confirmer, entrez **confirm**, puis choisissez **Delete (Supprimer)**.
**Pour ajouter ou supprimer des balises à l'aide du AWS CLI**
Utilisez les commandes [tag-resource et [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/untag-resource.html)](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/tag-resource.html).
# Configurer un nom de domaine personnalisé pour votre service VPC Lattice
Lorsque vous créez un nouveau service, VPC Lattice génère un nom de domaine complet (FQDN) unique pour le service avec la syntaxe suivante.
```
service_name-service_id.partition_id.vpc-lattice-svcs.region.on.aws
```
Cependant, les noms de domaine fournis par VPC Lattice ne sont pas faciles à retenir pour vos utilisateurs. Les noms de domaine personnalisés sont plus simples et plus intuitifs URLs et vous pouvez les proposer à vos utilisateurs. Si vous préférez utiliser un nom de domaine personnalisé pour votre service, par exemple `www.parking.example.com` au lieu du nom DNS généré par VPC Lattice, vous pouvez le configurer lorsque vous créez un service VPC Lattice. Lorsqu'un client fait une demande en utilisant votre nom de domaine personnalisé, le serveur DNS la résout en utilisant le nom de domaine généré par VPC Lattice.
**Conditions préalables**
+ Vous devez avoir un nom de domaine enregistré pour votre service. Si vous n'avez pas encore de nom de domaine enregistré, vous pouvez en enregistrer un par le biais d'Amazon Route 53 ou de tout autre bureau d'enregistrement commercial.
+ Pour recevoir des requêtes HTTPS, vous devez fournir votre propre certificat dans AWS Certificate Manager. VPC Lattice ne prend pas en charge les certificats par défaut comme solution de rechange. Par conséquent, si vous ne fournissez pas de SSL/TLS certificat correspondant à votre nom de domaine personnalisé, toutes les connexions HTTPS à votre nom de domaine personnalisé échoueront. Pour de plus amples informations, veuillez consulter [Bring Your Own Certificate (BYOC) pour VPC Lattice](service-byoc.md).
**Limites et considérations**
+ Vous ne pouvez pas avoir plus d'un nom de domaine personnalisé pour un service.
+ Vous ne pouvez pas modifier le nom de domaine personnalisé après avoir créé le service.
+ Le nom de domaine personnalisé doit être unique pour un réseau de service. Cela signifie qu'un service ne peut pas être créé avec un nom de domaine personnalisé qui existe déjà (pour un autre service) dans le même réseau de services.
La procédure suivante indique comment configurer un nom de domaine personnalisé pour votre service.
------
#### [ AWS Management Console ]
**Pour configurer un nom de domaine personnalisé pour votre service**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Dans le volet de navigation, sous **VPC Lattice**, sélectionnez Service.**
1. Choisissez **Create Service**. Vous êtes redirigé vers l'**étape 1 : créer un service.**
1. Dans la section **Configuration de domaine personnalisée**, choisissez **Spécifier une configuration de domaine personnalisée**.
1. Entrez votre nom de domaine personnalisé.
1. Pour répondre aux requêtes HTTPS, sélectionnez le SSL/TLS certificat correspondant à votre nom de domaine personnalisé dans ** SSL/TLS Certificat personnalisé**. Si vous n'avez pas encore de certificat ou si vous ne souhaitez pas en ajouter un maintenant, vous pouvez en ajouter un lors de la création de votre écouteur HTTPS. Toutefois, sans certificat, votre nom de domaine personnalisé ne sera pas en mesure de répondre aux requêtes HTTPS. Pour de plus amples informations, veuillez consulter [Ajout d'un écouteur HTTPS](https-listeners.md#add-https-listener).
1. Lorsque vous avez terminé d'ajouter toutes les autres informations nécessaires à la création du service, choisissez **Create**.
------
#### [ AWS CLI ]
**Pour configurer un nom de domaine personnalisé pour votre service**
Utilisez la commande [create-service.](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service.html)
```
aws vpc-lattice create-service --name service_name --custom-domain-name your_custom_domain_name --type https --certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012
```
Dans la commande ci-dessus, pour`--name`, entrez le nom de votre service. Pour`--custom-domain-name`, entrez le nom de domaine de votre service tel que,`parking.example.com`. Pour `--certificate-arn` saisir l'ARN de votre certificat dans ACM. L'ARN du certificat est disponible dans votre compte en AWS Certificate Manager.
------
## Associez un nom de domaine personnalisé à votre service
Tout d'abord, si ce n'est déjà fait, enregistrez votre nom de domaine personnalisé. L'ICANN (Internet Corporation for Assigned Names and Numbers) gère les noms de domaine sur Internet. Vous enregistrez un nom de domaine à l'aide d'un *serveur d'inscriptions de noms de domaine*, une organisation accréditée par l'ICANN qui gère le registre des noms de domaine. Le site Web pour votre serveur d'inscriptions vous fournira des instructions détaillées et des informations de tarification pour l'enregistrement de votre nom de domaine. Pour plus d’informations, consultez les ressources suivantes :
+ Pour utiliser Amazon Route 53 pour enregistrer un nom de domaine, consultez [Enregistrement de noms de domaines à l'aide de Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html) dans le *Guide du développeur Amazon Route 53*.
+ Pour une liste des serveurs d'inscriptions accrédités, consultez la page [Accredited Registrar Directory](http://www.internic.net/regist.html).
Utilisez ensuite votre service DNS, tel que votre bureau d'enregistrement de domaines, pour créer un enregistrement afin d'acheminer les requêtes vers votre service. Pour plus d'informations, consultez la documentation de votre service DNS. Vous pouvez également utiliser Route 53 comme service DNS.
Si vous utilisez Route 53, vous pouvez utiliser un enregistrement alias ou un enregistrement CNAME pour acheminer les requêtes vers votre service. Nous vous recommandons d'utiliser un enregistrement d'alias car vous pouvez créer un enregistrement d'alias dans le nœud supérieur d'un espace de noms DNS, également connu sous le nom de zone apex.
Si vous utilisez Route 53, vous devez d'abord créer une *zone hébergée* contenant des informations sur la manière d'acheminer le trafic sur Internet pour votre domaine. Après avoir créé la zone hébergée privée ou publique, créez un enregistrement tel que votre nom de domaine personnalisé, par exemple`parking.example.com`, soit mappé au nom de domaine généré automatiquement par VPC Lattice, par exemple,. `my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws` Sans ce mappage, votre nom de domaine personnalisé ne fonctionnera pas dans VPC Lattice.
Les procédures suivantes montrent comment créer une zone hébergée privée ou publique à l'aide de Route 53
------
#### [ AWS Management Console ]
Pour créer un enregistrement d'alias afin d'acheminer les requêtes vers votre service à l'aide de Route 53, consultez la section [Routage du trafic vers le point de terminaison du domaine du service Amazon VPC Lattice](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-vpc-lattice-service.html).
**Utilisez le nom de domaine généré par VPC Lattice pour votre service, par exemple `my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws` pour la valeur.** Vous pouvez trouver ce nom de domaine généré automatiquement dans la console VPC Lattice sur votre page de service.
------
#### [ AWS CLI ]
**Pour créer un enregistrement d'alias dans votre zone hébergée**
1. Obtenez le nom de domaine généré par VPC Lattice pour votre service (par exemple,). `my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws`
1. Pour définir l'alias, utilisez la commande suivante.
```
aws route53 change-resource-record-sets --hosted-zone-id your-hosted-zone-ID --change-batch file://~/Desktop/change-set.json
```
Pour le `change-set.json` fichier, créez un fichier JSON avec le contenu de l'exemple JSON suivant et enregistrez-le sur votre machine locale. Remplacez *file://\$1/Desktop/change-set.json* la commande ci-dessus par le chemin du fichier JSON enregistré sur votre machine locale. Notez que le « Type » dans le JSON suivant peut être un type d'enregistrement A ou AAAA.
```
{
"Comment": "my-custom-domain-name.com alias",
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "my-custom-domain-name.com",
"Type": "alias-record-type",
"AliasTarget": {
"HostedZoneId": "your-hosted-zone-ID",
"DNSName": "lattice-generated-domain-name",
"EvaluateTargetHealth": true
}
}
}
]
}
```
------
# Bring Your Own Certificate (BYOC) pour VPC Lattice
Pour répondre aux requêtes HTTPS, vous devez disposer de votre propre SSL/TLS certificat prêt AWS Certificate Manager (ACM) avant de configurer un nom de domaine personnalisé. Ces certificats doivent avoir un nom alternatif d'objet (SAN) ou un nom commun (CN) correspondant au nom de domaine personnalisé de votre service. Si le SAN est présent, nous vérifions la correspondance uniquement dans la liste des SAN. Si le SAN est absent, nous vérifions s'il y a une correspondance dans le CN.
VPC Lattice répond aux requêtes HTTPS à l'aide de l'indication du nom du serveur (SNI). Le DNS achemine la demande HTTPS vers votre service VPC Lattice en fonction du nom de domaine personnalisé et du certificat correspondant à ce nom de domaine. Pour demander un SSL/TLS certificat pour un nom de domaine dans ACM ou en importer un dans ACM, voir [Émission et gestion de certificats et [importation de certificats](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) dans le guide de l'*AWS Certificate Manager utilisateur*. Si vous ne pouvez pas demander ou importer votre propre certificat dans ACM, utilisez le nom de domaine et le certificat générés par VPC Lattice.
VPC Lattice n'accepte qu'un seul certificat personnalisé par service. Toutefois, vous pouvez utiliser un certificat personnalisé pour plusieurs domaines personnalisés. Cela signifie que vous pouvez utiliser le même certificat pour tous les services VPC Lattice que vous créez avec un nom de domaine personnalisé.
Pour consulter votre certificat à l'aide de la console ACM, ouvrez **Certificats** et sélectionnez votre ID de certificat. **Vous devriez voir le service VPC Lattice associé à ce certificat sous Ressource associée.**
**Limites et considérations**
+ VPC Lattice autorise les correspondances génériques situées à un niveau dans le nom alternatif du sujet (SAN) ou le nom commun (CN) du certificat associé. Par exemple, si vous créez un service avec le nom de domaine personnalisé `parking.example.com` et associez votre propre certificat au SAN`*.example.com`. Lorsqu'une demande arrive`parking.example.com`, VPC Lattice associe le SAN à n'importe quel nom de domaine associé au domaine apex. `example.com` Toutefois, si vous avez le domaine personnalisé `parking.different.example.com` et que votre certificat possède le SAN`*.example.com`, la demande échoue.
+ VPC Lattice prend en charge un niveau de correspondance de domaines génériques. Cela signifie qu'un caractère générique ne peut être utilisé que comme sous-domaine de premier niveau et qu'il ne sécurise qu'un seul niveau de sous-domaine. Par exemple, si le SAN de votre certificat l'est`*.example.com`, il n'`parking.*.example.com`est pas pris en charge.
+ VPC Lattice prend en charge un caractère générique par nom de domaine. Cela signifie que ce n'`*.*.example.com`est pas valide. Pour plus d'informations, consultez la section [Demander un certificat public](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console) dans le *guide de AWS Certificate Manager l'utilisateur*.
+ VPC Lattice ne prend en charge que les certificats dotés de clés RSA de 2048 bits.
+ Le SSL/TLS certificat dans ACM doit se trouver dans la même région que le service VPC Lattice auquel vous l'associez.
## Sécurisation de la clé privée de votre certificat
Lorsque vous demandez un SSL/TLS certificat à l'aide d'ACM, ACM génère une paire de public/private clés. Lorsque vous importez un certificat, vous générez la paire de clés. La clé publique devient partie intégrante du certificat. Pour stocker la clé privée en toute sécurité, ACM crée une autre clé en utilisant AWS KMS, appelée clé KMS, l'alias **aws/acm**. AWS KMS utilise cette clé pour chiffrer la clé privée de votre certificat. Pour plus d’informations, consultez [Protection des données dans AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/data-protection.html) dans le Guide de l’utilisateur *AWS Certificate Manager *.
VPC Lattice utilise le gestionnaire de connexion AWS TLS, un service accessible uniquement à Services AWS, pour sécuriser et utiliser les clés privées de votre certificat. Lorsque vous utilisez votre certificat ACM pour créer un service VPC Lattice, VPC Lattice associe votre certificat au TLS Connection Manager. AWS Pour ce faire, nous créons une subvention associée AWS KMS à votre clé AWS gérée. Cette autorisation permet au Gestionnaire de connexions TLS de AWS KMS déchiffrer la clé privée de votre certificat. Le gestionnaire de connexion TLS utilise le certificat et la clé privée déchiffrée (texte brut) pour établir une connexion sécurisée (session SSL/TLS) avec les clients des services VPC Lattice. Lorsque le certificat est dissocié d'un service VPC Lattice, la subvention est retirée. Pour plus d’informations, consultez [Grants](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dans le *Guide du développeur AWS Key Management Service *.
Pour de plus amples informations, veuillez consulter [Chiffrement au repos](data-protection.md#encryption-rest).
# Supprimer un service VPC Lattice
Pour supprimer un service VPC Lattice, vous devez d'abord supprimer toutes les associations que le service peut avoir avec un réseau de services. Si vous supprimez un service, toutes les ressources associées au service, telles que la politique de ressources, la politique d'authentification, les écouteurs, les règles d'écoute et les abonnements aux journaux d'accès, sont également supprimées.
**Pour supprimer un service à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Dans le volet de navigation, sous **VPC Lattice**, sélectionnez Service.**
1. Sur la page **Services**, sélectionnez le service que vous souhaitez supprimer, puis choisissez **Actions**, **Supprimer le service**.
1. Lorsque vous êtes invité à confirmer l’opération, choisissez **Supprimer**.
**Pour supprimer un service à l'aide du AWS CLI**
Utilisez la commande [delete-service.](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service.html)