Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Ressources VPC dans Amazon VPC Lattice
Vous pouvez partager les ressources VPC avec d'autres équipes de votre organisation ou avec des partenaires fournisseurs de logiciels indépendants (ISV) externes. Une ressource VPC peut être une ressource AWS native telle qu'une base de données Amazon RDS, un nom de domaine ou une adresse IP. La ressource peut se trouver dans votre VPC ou dans votre réseau sur site et il n'est pas nécessaire d'équilibrer la charge. Vous l'utilisez AWS RAM pour spécifier les principaux autorisés à accéder à la ressource. Vous créez une passerelle de ressources par laquelle vous pouvez accéder à votre ressource. Vous créez également une configuration de ressource qui représente la ressource ou un groupe de ressources que vous souhaitez partager.
Les principaux avec lesquels vous partagez la ressource peuvent accéder à ces ressources de manière privée à l'aide de points de terminaison VPC. Ils peuvent utiliser un point de terminaison VPC de ressource pour accéder à une ressource ou regrouper plusieurs ressources dans un réseau de services VPC Lattice, et accéder au réseau de services à l'aide d'un point de terminaison VPC de réseau de services.
Les sections suivantes expliquent comment créer et gérer des ressources VPC dans VPC Lattice :
**Topics**
+ [Passerelles de ressources](resource-gateway.md)
+ [Configurations des ressources](resource-configuration.md)
# Passerelles de ressources dans VPC Lattice
Une *passerelle de ressources* est le point qui reçoit le trafic vers le VPC où réside une ressource. Il couvre plusieurs zones de disponibilité.
Un VPC doit disposer d'une passerelle de ressources si vous prévoyez de rendre les ressources du VPC accessibles depuis d'autres comptes OR. VPCs Chaque ressource que vous partagez est associée à une passerelle de ressources. Lorsque des clients VPCs d'autres comptes accèdent à une ressource de votre VPC, la ressource reçoit du trafic provenant localement de la passerelle de ressources de ce VPC. L'adresse IP source du trafic est l'adresse IP de la passerelle de ressources dans une zone de disponibilité. Plusieurs configurations de ressources, chacune comportant plusieurs ressources, peuvent être associées à une passerelle de ressources.
Le schéma suivant montre comment un client accède à une ressource par le biais de la passerelle de ressources :
![\[Client accédant à la ressource par le biais de la passerelle de ressources.\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/images/resource-gateway-to-resource.png)
**Topics**
+ [Considérations](#resource-gateway-considerations)
+ [Groupes de sécurité](#resource-gateway-security-groups)
+ [Types d'adresses IP](#resource-gateway-ip-address-type)
+ [IPv4 adresses par ENI](#ipv4-address-type-per-eni)
+ [Création d’une passerelle de ressources](create-resource-gateway.md)
+ [Supprimer une passerelle de ressources](delete-resource-gateway.md)
## Considérations
Les considérations suivantes s'appliquent aux passerelles de ressources :
+ Pour que votre ressource soit accessible depuis toutes les [zones de disponibilité](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/), vous devez créer vos passerelles de ressources de manière à couvrir autant de zones de disponibilité que possible.
+ Au moins une zone de disponibilité du point de terminaison VPC et de la passerelle de ressources doit se chevaucher.
+ Un VPC peut avoir un maximum de 100 passerelles de ressources. Pour plus d'informations, consultez la section [Quotas pour VPC](https://docs.aws.amazon.com/vpc-lattice/latest/ug/quotas.html) Lattice.
+ VPC Lattice peut ajouter du nouveau ENIs à votre passerelle de ressources.
+ Passerelles de ressources avec sous-réseaux VPC partagés :
+ Une passerelle de ressources ne peut être déployée dans un sous-réseau VPC partagé que par le compte propriétaire du VPC.
+ Une configuration de ressources pour une passerelle de ressources ne peut être créée que par le compte propriétaire de la passerelle de ressources.
## Groupes de sécurité
Vous pouvez associer des groupes de sécurité à une passerelle de ressources. Les règles de groupe de sécurité pour les passerelles de ressources contrôlent le trafic sortant de la passerelle de ressources vers les ressources.
**Règles sortantes recommandées pour le trafic circulant d'une passerelle de ressources vers une ressource de base de données**
Pour que le trafic circule d'une passerelle de ressources vers une ressource, vous devez créer des règles de sortie pour les protocoles d'écoute et les plages de ports acceptés par la ressource.
| Destination | Protocole | Plage de ports | Comment |
| --- | --- | --- | --- |
| CIDR range for resource | TCP | 3306 | Autorise le trafic entre la passerelle de ressources et les bases de données. |
## Types d'adresses IP
Une passerelle de ressources peut avoir des IPv4 adresses IPv6 ou des adresses à double pile. Le type d'adresse IP d'une passerelle de ressources doit être compatible avec les sous-réseaux de la passerelle de ressources et le type d'adresse IP de la ressource, comme décrit ici :
+ **IPv4**— Attribuez IPv4 des adresses aux interfaces réseau de votre passerelle de ressources. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d' IPv4 adresses et si la ressource possède également une IPv4 adresse. Lorsque vous utilisez cette option, vous pouvez configurer le nombre d' IPv4 adresses par passerelle de ressources ENI.
+ **IPv6**— Attribuez IPv6 des adresses aux interfaces réseau de votre passerelle de ressources. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés IPv6 ne sont que des sous-réseaux et que la ressource possède également une IPv6 adresse. Lorsque vous utilisez cette option, les IPv6 adresses sont attribuées automatiquement et n'ont pas besoin d'être gérées.
+ **Dualstack** — Attribuez à la fois des IPv6 adresses IPv4 et des adresses aux interfaces réseau de votre passerelle de ressources. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d' IPv6 adresses IPv4 et si la ressource possède une IPv6 adresse IPv4 ou. Lorsque vous utilisez cette option, vous pouvez configurer le nombre d' IPv4 adresses par passerelle de ressources ENI.
Le type d'adresse IP de la passerelle de ressources est indépendant du type d'adresse IP du client ou du point de terminaison VPC via lequel la ressource est accessible.
## IPv4 adresses par ENI
Si votre passerelle de ressources possède un type d'adresse IP IPv4 ou un type d'adresse IP à double pile, vous pouvez configurer le nombre d' IPv4 adresses attribuées à chaque ENI de votre passerelle de ressources. Lorsque vous créez une passerelle de ressources, vous choisissez entre 1 et 62 IPv4 adresses. Une fois que vous avez défini le nombre d' IPv4adresses, la valeur ne peut pas être modifiée.
Les IPv4 adresses sont utilisées pour la traduction des adresses réseau et déterminent le nombre maximal de IPv4 connexions simultanées à une ressource. Chaque IPv4 adresse peut prendre en charge jusqu'à 55 000 connexions simultanées par adresse IP de destination. Par défaut, 16 IPv4 adresses par ENI sont attribuées à toutes les passerelles de ressources.
Si votre passerelle de ressources utilise le type d' IPv6 adresse, elle reçoit automatiquement un CIDR /80 par ENI. Cette valeur ne peut pas être modifiée. L'unité de transmission maximale (MTU) par connexion est de 8 500 octets.
# Création d’une passerelle de ressources dans VPC Lattice
Utilisez la console pour créer une passerelle de ressources.
**Pour créer une passerelle de ressources à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sous Lattice **PrivateLink et Lattice**, sélectionnez **Resource gateways**.
1. Choisissez **Créer une passerelle de ressources**.
1. Pour le **nom de la passerelle de ressources**, entrez un nom unique au sein de votre AWS compte.
1. Pour le **type d'adresse IP**, choisissez le type d'adresse IP pour la passerelle de ressources.
1. Si vous avez sélectionné **IPv4****Dualstack comme** **type d'adresse IP**, vous pouvez saisir le nombre d' IPv4 adresses par ENI pour votre passerelle de ressources.
La valeur par défaut est de 16 IPv4 adresses par ENI. Il s'agit d'un nombre approprié IPs pour établir des connexions avec vos ressources principales.
1. Pour le **VPC**, choisissez le VPC et les sous-réseaux dans lesquels créer votre passerelle de ressources.
1. Pour les **groupes de sécurité**, choisissez jusqu'à cinq groupes de sécurité pour contrôler le trafic entrant du VPC vers le réseau de service.
1. (Facultatif) Pour ajouter une balise, choisissez **Ajouter une nouvelle balise** et entrez la clé et la valeur de la balise.
1. Choisissez **Créer une passerelle de ressources**.
**Pour créer une passerelle de ressources à l'aide du AWS CLI**
Utilisez la commande [create-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-resource-gateway.html).
# Suppression d’une passerelle de ressources dans VPC Lattice
Utilisez la console pour supprimer une passerelle de ressources.
**Pour supprimer une passerelle de ressources à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sous Lattice **PrivateLink et Lattice**, sélectionnez **Resource gateways**.
1. Cochez la case correspondant à la passerelle de ressources que vous souhaitez supprimer et choisissez **Actions**, **Supprimer**. Lorsque vous êtes invité à confirmer, entrez **confirm**, puis choisissez **Delete (Supprimer)**.
**Pour supprimer une passerelle de ressources à l'aide du AWS CLI**
Utilisez la commande [delete-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-resource-gateway.html).
# Configurations de ressources pour les ressources d’un VPC
Une configuration de ressources représente une ressource ou un groupe de ressources que vous souhaitez rendre accessible aux clients dans VPCs d'autres comptes. En définissant une configuration de ressources, vous pouvez autoriser une connectivité réseau privée, sécurisée et unidirectionnelle aux ressources de votre VPC à partir de clients appartenant à VPCs d'autres comptes. Une configuration de ressources est associée à une passerelle de ressources par laquelle elle reçoit du trafic. Pour qu'une ressource soit accessible depuis un autre VPC, elle doit disposer d'une configuration de ressources.
**Topics**
+ [Types de configurations de ressources](#resource-configuration-types)
+ [Protocole](#resource-configuration-protocol)
+ [Passerelle de ressources](#resource-gateway)
+ [Noms de domaine personnalisés pour les fournisseurs de ressources](#custom-domain-name-resource-providers)
+ [Noms de domaine personnalisés pour les consommateurs de ressources](#custom-domain-name-resource-consumers)
+ [Noms de domaine personnalisés pour les propriétaires de réseaux de services](#resource-configuration-custom-domain-name-service-network-owners)
+ [Définition de la ressource](#resource-definition)
+ [Gammes de ports](#resource-configuration-port)
+ [Accès aux ressources](#resource-configuration-accessing)
+ [Association avec le type de réseau de service](#resource-configuration-service-network-association)
+ [Types de réseaux de services](#service-network-types)
+ [Partage de configurations de ressources via AWS RAM](#sharing-resource-configuration-ram)
+ [Contrôle](#resource-configuration-monitoring)
+ [Création et vérification d'un domaine](create-and-verify.md)
+ [Création d'une configuration de ressources](create-resource-configuration.md)
+ [Gérer les associations](resource-configuration-associations.md)
## Types de configurations de ressources
Une configuration de ressources peut être de plusieurs types. Les différents types permettent de représenter différents types de ressources. Les types sont les suivants :
+ **Configuration de ressource unique** : représente une adresse IP ou un nom de domaine. Il peut être partagé indépendamment.
+ **Configuration des ressources du groupe** : il s'agit d'un ensemble de configurations de ressources enfants. Il peut être utilisé pour représenter un groupe de points de terminaison d'adresses DNS et IP.
+ **Configuration des ressources enfant** : il est membre d'une configuration de ressources de groupe. Il représente une adresse IP ou un nom de domaine. Il ne peut pas être partagé indépendamment ; il ne peut être partagé que dans le cadre d'un groupe. Il peut être ajouté ou retiré d'un groupe. Une fois ajouté, il est automatiquement accessible à ceux qui peuvent accéder au groupe.
+ **Configuration des ressources ARN** : représente un type de ressource pris en charge fourni par un service. AWS Toute relation groupe-enfant est automatiquement prise en charge.
L'image suivante montre une configuration de ressource unique, enfant ou de groupe :
![\[Configurations de ressources uniques, secondaires et de groupe.\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/images/resource-config-types.png)
## Protocole
Lorsque vous créez une configuration de ressource, vous pouvez définir les protocoles que la ressource prendra en charge. Actuellement, seul le protocole TCP est pris en charge.
## Passerelle de ressources
Une configuration de ressources est associée à une passerelle de ressources. Une passerelle de ressources est un ensemble de ENIs passerelles servant de point d'entrée dans le VPC dans lequel se trouve la ressource. Plusieurs configurations de ressources peuvent être associées à la même passerelle de ressources. Lorsque des clients appartenant à un autre compte VPCs ou à un autre accès à une ressource de votre VPC, la ressource reçoit du trafic provenant localement des adresses IP de la passerelle de ressources de ce VPC.
## Noms de domaine personnalisés pour les fournisseurs de ressources
Les fournisseurs de ressources peuvent associer un nom de domaine personnalisé à une configuration de ressources, par exemple`example.com`, que les consommateurs de ressources peuvent utiliser pour accéder à la configuration des ressources. Le nom de domaine personnalisé peut être détenu et vérifié par le fournisseur de ressources, ou il peut s'agir d'un tiers ou d'un AWS domaine. Les fournisseurs de ressources peuvent utiliser des configurations de ressources pour partager des clusters de cache et des clusters Kafka, des applications basées sur TLS ou d'autres AWS ressources.
Les considérations suivantes s'appliquent aux fournisseurs de configurations de ressources :
+ Une configuration de ressources ne peut comporter qu'un seul domaine personnalisé.
+ Le nom de domaine personnalisé d'une configuration de ressource ne peut pas être modifié.
+ Le nom de domaine personnalisé est visible par tous les consommateurs de configuration de ressources.
+ Vous pouvez vérifier votre nom de domaine personnalisé à l'aide du processus de vérification du nom de domaine dans VPC Lattice. Pour plus d'informations Pour plus d'informations, consultez[Création et vérification d'un domaine](create-and-verify.md).
+ Pour les configurations de ressources de type groupe et enfant, vous devez d'abord spécifier un domaine de groupe dans la configuration des ressources de groupe. Ensuite, les configurations de ressources enfants peuvent avoir des domaines personnalisés qui sont des sous-domaines du domaine du groupe. Si le groupe ne possède pas de domaine de groupe, vous pouvez utiliser n'importe quel nom de domaine personnalisé pour l'enfant, mais VPC Lattice ne provisionnera aucune zone hébergée pour les noms de domaine enfant dans le VPC du consommateur de ressources.
## Noms de domaine personnalisés pour les consommateurs de ressources
Lorsque les consommateurs de ressources activent la connectivité à une configuration de ressources dotée d'un nom de domaine personnalisé, ils peuvent autoriser VPC Lattice à gérer une zone hébergée privée Route 53 dans leur VPC. Les consommateurs de ressources disposent d'options détaillées pour les domaines pour lesquels ils souhaitent autoriser VPC Lattice à gérer des zones hébergées privées.
Les consommateurs de ressources peuvent définir le `private-dns-enabled` paramètre lorsqu'ils activent la connectivité aux configurations de ressources via un point de terminaison de ressource, un point de terminaison de réseau de service ou une association VPC de réseau de services. Outre le `private-dns-enabled` paramètre, les consommateurs peuvent utiliser les options DNS pour spécifier les domaines pour lesquels ils souhaitent que VPC Lattice gère des zones hébergées privées. Les consommateurs peuvent choisir entre les préférences DNS privées suivantes :
**`ALL_DOMAINS`**
VPC Lattice fournit des zones hébergées privées pour tous les noms de domaine personnalisés.
**`VERIFIED_DOMAINS_ONLY`**
VPC Lattice fournit une zone hébergée privée uniquement si le nom de domaine personnalisé a été vérifié par le fournisseur.
**`VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`**
VPC Lattice fournit des zones hébergées privées pour tous les noms de domaine personnalisés vérifiés et les autres noms de domaine spécifiés par le consommateur de ressources. Le consommateur de ressources spécifie les noms de domaine dans le `private DNS specified domains` paramètre.
**`SPECIFIED_DOMAINS_ONLY`**
VPC Lattice fournit une zone hébergée privée pour les noms de domaine spécifiés par le consommateur de ressources. Le consommateur de ressources spécifie les noms de domaine dans le `private DNS specified domains ` paramètre.
Lorsque vous activez le DNS privé, VPC Lattice crée une zone hébergée privée dans votre VPC pour le nom de domaine personnalisé associé à la configuration des ressources. Par défaut, la préférence DNS privée est définie sur`VERIFIED_DOMAINS_ONLY`. Cela signifie que les zones hébergées privées ne sont créées que si le nom de domaine personnalisé a été vérifié par le fournisseur de ressources. Si vous définissez votre préférence DNS privée sur `ALL_DOMAINS` ou `SPECIFIED_DOMAINS_ONLY` alors, VPC Lattice crée des zones hébergées privées quel que soit le statut de vérification du nom de domaine personnalisé. Lorsqu'une zone hébergée privée est créée pour un domaine donné, tout le trafic vers ce domaine depuis votre VPC est acheminé via VPC Lattice. Nous vous recommandons d'utiliser les `SPECIFIED_DOMAINS_ONLY` préférences `ALL_DOMAINS``VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`, ou uniquement lorsque vous souhaitez que le trafic vers ces noms de domaine personnalisés passe par VPC Lattice.
Nous recommandons aux consommateurs de ressources de définir leurs préférences DNS privées sur`VERIFIED_DOMAINS_ONLY`. Cela permet aux consommateurs de renforcer leur périmètre de sécurité en autorisant uniquement VPC Lattice à fournir des zones hébergées privées pour les domaines vérifiés du compte du consommateur de ressources.
Pour sélectionner des domaines dans les domaines privés spécifiés par le DNS, les consommateurs de ressources peuvent saisir un nom de domaine complet, tel que `my.example.com` ou utiliser un caractère générique tel que`*.example.com`.
Les considérations suivantes s'appliquent aux consommateurs de configurations de ressources :
+ Le paramètre DNS privé activé ne peut pas être modifié.
+ Le DNS privé doit être activé sur une association de ressources de réseau de services pour que l'hébergement privé soit créé dans un VPC. Pour une configuration de ressources, le statut DNS privé activé de l'association de ressources du réseau de service remplace le statut DNS privé activé du point de terminaison du réseau de service ou de l'association VPC du réseau de services.
## Noms de domaine personnalisés pour les propriétaires de réseaux de services
La propriété privée activée par le DNS de l'association de ressources du réseau de service remplace la propriété privée activée par le DNS du point de terminaison du réseau de service et de l'association VPC du réseau de service.
Si le propriétaire d'un réseau de service crée une association de ressources de réseau de service et n'active pas le DNS privé, VPC Lattice ne fournira aucune VPCs zone hébergée privée pour cette configuration de ressources dans les zones auxquelles le réseau de service est connecté, même si le DNS privé est activé sur le point de terminaison du réseau de service ou sur les associations VPC du réseau de service.
Pour les configurations de ressources de type ARN, l'indicateur DNS privé est vrai et immuable.
## Définition de la ressource
Dans la configuration de la ressource, identifiez la ressource de l'une des manières suivantes :
+ Par un **nom de ressource Amazon (ARN)** : les types de ressources pris en charge fournis par les AWS services peuvent être identifiés par leur ARN. Seules les bases de données Amazon RDS sont prises en charge. Vous ne pouvez pas créer de configuration de ressources pour un cluster accessible au public.
+ Par une **cible de nom de domaine** : vous pouvez utiliser n'importe quel nom de domaine pouvant être résolu publiquement. Si votre nom de domaine pointe vers une adresse IP extérieure à votre VPC, vous devez disposer d'une passerelle NAT dans votre VPC.
+ Par **adresse IP : Pour IPv4, spécifiez une adresse IP** privée parmi les plages suivantes : 10.0.0.0/8, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16. Pour IPv6, spécifiez une adresse IP à partir du VPC. Le public IPs n'est pas pris en charge.
## Gammes de ports
Lorsque vous créez une configuration de ressources, vous pouvez définir les ports sur lesquels elle acceptera les demandes. L'accès des clients sur les autres ports ne sera pas autorisé.
## Accès aux ressources
Les consommateurs peuvent accéder aux configurations des ressources directement depuis leur VPC via un point de terminaison VPC ou via un réseau de services. En tant que consommateur, vous pouvez autoriser l'accès depuis votre VPC à une configuration de ressources qui se trouve dans votre compte ou qui a été partagée avec vous depuis un autre compte via. AWS RAM
+ *Accès direct à une configuration de ressources*
Vous pouvez créer un point de terminaison AWS PrivateLink VPC de type ressource (point de terminaison de ressource) dans votre VPC pour accéder à une configuration de ressource de manière privée depuis votre VPC. Pour plus d'informations sur la création d'un point de terminaison de ressource, consultez la section [Accès aux ressources VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-resources.html) dans le guide de l'*AWS PrivateLink utilisateur*.
+ *Accès à une configuration de ressources via un réseau de service*
Vous pouvez associer une configuration de ressources à un réseau de service et connecter votre VPC au réseau de service. Vous pouvez connecter votre VPC au réseau de service via une association ou à l'aide d'un point de terminaison VPC du AWS PrivateLink réseau de services.
Pour plus d'informations sur les associations de réseaux de service, consultez [Gérer les associations pour un réseau de services VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-network-associations.html).
*Pour plus d'informations sur les points de terminaison VPC des réseaux de services, consultez la section [Accès aux réseaux de services](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-service-networks.html) dans le guide de l'AWS PrivateLink utilisateur.*
Lorsque le DNS privé est activé pour votre VPC, vous ne pouvez pas créer de point de terminaison de ressource et de point de terminaison de réseau de services pour la même configuration de ressources.
## Association avec le type de réseau de service
Lorsque vous partagez une configuration de ressources avec un compte client, par exemple, Account-B AWS RAM, via Account-B peut accéder à la configuration des ressources soit directement via un point de terminaison VPC de ressources, soit via un réseau de services.
Pour accéder à une configuration de ressources via un réseau de service, le compte B doit associer la configuration de ressources à un réseau de service. Les réseaux de services peuvent être partagés entre les comptes. Ainsi, le compte B peut partager son réseau de service (auquel la configuration des ressources est associée) avec le compte C, ce qui rend votre ressource accessible depuis le compte C.
Afin d'empêcher un tel partage transitif, vous pouvez spécifier que votre configuration de ressources ne peut pas être ajoutée aux réseaux de services partageables entre comptes. Si vous le spécifiez, le compte B ne pourra pas ajouter votre configuration de ressources aux réseaux de service partagés ou susceptibles d'être partagés avec un autre compte à l'avenir.
## Types de réseaux de services
Lorsque vous partagez une configuration de ressources avec un autre compte, par exemple Account-B AWS RAM, via Account-B peut accéder aux ressources spécifiées dans la configuration des ressources de l'une des trois manières suivantes :
+ Utilisation d'un point de terminaison VPC de type *ressource* (point de terminaison VPC ressource).
+ Utilisation d'un point de terminaison VPC de type réseau de *services (point de terminaison VPC du réseau* de services).
+ Utilisation d'une association VPC de réseau de services.
Lorsque vous utilisez une association service-réseau, chaque ressource se voit attribuer une adresse IP par sous-réseau à partir du bloc 129.224.0.0/17, qui est détenue et non routable. AWS Cela s'ajoute à la [liste de préfixes gérée](security-groups.md#managed-prefix-list) que VPC Lattice utilise pour acheminer le trafic vers les services via le réseau VPC Lattice. Ces deux éléments IPs sont mis à jour dans votre table de routage VPC.
Pour l'association du point de terminaison VPC du réseau de services et du VPC du réseau de services, la configuration des ressources doit être associée à un réseau de service dans le compte B. Les réseaux de services peuvent être partagés entre les comptes. Ainsi, le compte B peut partager son réseau de service (qui contient la configuration des ressources) avec le compte C, ce qui rend votre ressource accessible depuis le compte C. Afin d'empêcher un tel partage transitif, vous pouvez interdire l'ajout de votre configuration de ressources aux réseaux de services partageables entre comptes. Si vous l'interdisez, le compte B ne pourra pas ajouter votre configuration de ressources à un réseau de service partagé ou pouvant être partagé avec un autre compte.
## Partage de configurations de ressources via AWS RAM
Les configurations de ressources sont intégrées à AWS Resource Access Manager. Vous pouvez partager la configuration de vos ressources avec un autre compte via AWS RAM. Lorsque vous partagez une configuration de ressource avec un AWS compte, les clients de ce compte peuvent accéder à la ressource en privé. Vous pouvez partager une configuration de ressources à l'aide d'un [partage de ressources](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html) AWS RAM.
Utilisez la AWS RAM console pour afficher les partages de ressources auxquels vous avez été ajouté, les ressources partagées auxquelles vous pouvez accéder et les AWS comptes qui ont partagé des ressources avec vous. Pour plus d'informations, consultez la section [Ressources partagées avec vous](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html) dans le *Guide de AWS RAM l'utilisateur*.
Pour accéder à une ressource depuis un autre VPC sur le même compte que la configuration des ressources, il n'est pas nécessaire de partager la configuration des ressources via. AWS RAM
## Contrôle
Vous pouvez activer les journaux de surveillance sur la configuration de vos ressources. Vous pouvez choisir la destination à laquelle envoyer les journaux.
# Création et vérification d'un domaine
Une vérification de nom de domaine est une entité qui vous permet de prouver que vous êtes propriétaire d'un domaine donné. En tant que fournisseur de ressources, vous pouvez utiliser le domaine et ses sous-domaines comme noms de domaine personnalisés pour vos configurations de ressources. Les consommateurs de ressources peuvent voir le statut de vérification de votre nom de domaine personnalisé lorsqu'ils décrivent la configuration des ressources.
## Lancer la vérification du domaine
Vous démarrez la vérification du nom de domaine à l'aide de VPC Lattice, puis vous utilisez votre zone DNS pour terminer le processus.
------
#### [ AWS Management Console ]
**Pour démarrer la vérification du nom de domaine**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sous **PrivateLink et Lattice**, choisissez **Domain verification**
1. Choisissez **Démarrer la vérification du domaine**.
1. Dans **Nom de domaine**, entrez un nom de domaine dont vous êtes le propriétaire.
1. (Facultatif) Pour ajouter une balise, choisissez **Ajouter une nouvelle balise** et entrez la clé et la valeur de la balise.
1. Choisissez **Démarrer la vérification du nom de domaine**.
Une fois la vérification de votre nom de domaine démarrée avec succès, VPC Lattice renvoie le et le`Id`. `txtMethodConfig` Vous utilisez le `txtMethodConfig` pour terminer la vérification de votre nom de domaine.
------
#### [ AWS CLI ]
La `start-domain-verification` commande suivante lance la vérification du nom de domaine :
```
aws vpc-lattice start-domain-verification \
--domain-name example.com
```
Le résultat se présente comme suit :
```
{
"id": "dv-aaaa0000000111111",
"arn": "arn:aws:vpc-lattice:us-west-2:111122223333:domainverification/dv-aaaa0000000111111",
"domainName": "example.com",
"status": "PENDING",
"txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
}
```
VPC Lattice renvoie le et le`Id`. `txtMethodConfig` Vous utilisez le `txtMethodConfig` pour terminer la vérification de votre nom de domaine. Dans cet exemple, `txtMethodConfig` voici ce qui suit :
```
txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
```
------
## Terminez la vérification du nom de domaine
Pour terminer la vérification du nom de domaine, vous devez ajouter un enregistrement TXT dans votre zone DNS. Si vous utilisez Route 53, utilisez la zone hébergée de votre nom de domaine. Lorsque vous vérifiez un nom de domaine, tous les sous-domaines sont également vérifiés. Par exemple, si vous effectuez une vérification`example.com`, vous pouvez associer une configuration de ressource avec `alpha.example.com` ou `beta.example.com` sans effectuer de vérification supplémentaire.
Pour créer un enregistrement TXT à l'aide du AWS Management Console, consultez [Création d'enregistrements à l'aide de la console Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html).
**Pour créer un enregistrement TXT à l'aide du AWS CLI for Route 53**
1. Utilisez la [change-resource-record-sets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/r53/change-resource-record-sets.html)commande avec le `TXT-record.json` fichier d'exemple suivant :
```
{
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "_11111aaaaaaaaa",
"Type": "TXT",
"ResourceRecords": [
{
"value": "vpc-lattice:1111aaaaaaa"
}
]
}
}
]
}
```
1. Utilisez la AWS CLI commande suivante pour ajouter l'enregistrement TXT de l'étape précédente à une zone hébergée Route 53 :
```
aws route53 change-resource-record-sets \
--hosted-zone-id ABCD123456 \
--change-batch file://path/to/your/TXT-record.json
```
Remplacez le `hosted-zone-id` par l'ID de zone hébergée Route 53 de la zone hébergée de votre compte. La valeur du paramètre change-batch pointe vers un fichier JSON (Txt-Record.json) dans un dossier (). path/to/your
Pour vérifier le statut de vérification de votre nom de domaine, vous pouvez utiliser la console VPC Lattice ou la commande. `get-domain-verification`
Une fois que vous avez vérifié votre nom de domaine, il reste vérifié jusqu'à ce que vous le supprimiez. Si vous supprimez l'enregistrement TXT de votre zone DNS, VPC Lattice le supprime `verification-id` et vous devez revérifier le nom de domaine. Si vous supprimez l'enregistrement TXT de votre zone DNS, VPC Lattice définit le statut de vérification de votre nom de domaine sur. `UNVERIFIED` Cela n'a aucun impact sur les points de terminaison de ressources, les points de terminaison de réseau de services ou les associations VPC de réseau de services existants avec vos configurations de ressources. Pour revérifier votre nom de domaine, recommencez le processus de vérification du nom de domaine.
# Création d’une configuration de ressources dans VPC Lattice
Créez une configuration de ressources.
------
#### [ AWS Management Console ]
**Pour créer une configuration de ressources à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sous Lattice **PrivateLink et Lattice**, choisissez **Resource configurations**.
1. Choisissez **Créer une configuration de ressources**.
1. Entrez un nom unique au sein de votre AWS compte. Vous ne pouvez pas modifier ce nom une fois la configuration des ressources créée.
1. Pour **Type de configuration**, choisissez **Ressource** pour une ressource unique ou enfant ou **Groupe de ressources** pour un groupe de ressources enfants.
1. Choisissez une passerelle de ressources que vous avez créée précédemment ou créez-en une maintenant.
1. (Facultatif) Pour saisir un nom de domaine personnalisé, effectuez l'une des opérations suivantes :
+ Si vous avez une configuration de ressource de type unique, vous pouvez saisir un nom de domaine personnalisé. Les consommateurs de ressources peuvent utiliser ce nom de domaine pour accéder à vos configurations de ressources.
+ Si vous avez une configuration de ressources de type groupe et enfant, vous devez d'abord spécifier un domaine de groupe dans la configuration des ressources de groupe. Ensuite, les configurations de ressources enfants peuvent comporter des domaines personnalisés qui sont des sous-domaines du domaine du groupe.
1. (Facultatif) Entrez le numéro de vérification.
Fournissez un numéro de vérification si vous souhaitez que votre nom de domaine soit vérifié. Cela permet aux consommateurs de ressources de savoir que vous êtes propriétaire du nom de domaine.
1. Choisissez l'identifiant de la ressource que vous souhaitez que cette configuration de ressource représente.
1. Choisissez les plages de ports par lesquelles vous souhaitez partager la ressource.
1. Pour les **paramètres d'association**, spécifiez si cette configuration de ressources peut être associée à des réseaux de services partageables.
1. Pour **Partager la configuration des ressources**, choisissez les partages de ressources qui identifient les principaux autorisés à accéder à cette ressource.
1. (Facultatif) Pour la **surveillance**, activez **les journaux d'accès aux ressources** et la destination de livraison si vous souhaitez surveiller les demandes et les réponses depuis et vers la configuration des ressources.
1. (Facultatif) Pour ajouter une balise, choisissez **Ajouter une nouvelle balise** et entrez la clé et la valeur de la balise.
1. Choisissez **Créer une configuration de ressources**.
------
#### [ AWS CLI ]
La [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)commande suivante crée une configuration de ressource unique et l'associe au nom de domaine personnalisé`example.com`.
```
aws vpc-lattice create-resource-configuration \
--name my-resource-config \
--type SINGLE \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--resource-configuration-definition 'ipResource={ipAddress=10.0.14.85}' \
--custom-domain-name example.com \
--verification-id dv-aaaa0000000111111
```
La [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)commande suivante crée une configuration de ressources de groupe et l'associe au nom de domaine personnalisé`example.com`.
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-group \
--type GROUP \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--domain-verification-identifier dv-aaaa0000000111111
```
La [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)commande suivante crée une configuration de ressource enfant et l'associe au nom de domaine personnalisé`child.example.com`.
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-child \
--type CHILD \
--resource-configuration-definition 'dnsResource={domainName=my-alb-123456789.us-west-2.elb.amazonaws.com,ipAddressType=IPV4}' \
--resource-configuration-group-identifier rcfg-07129f3acded87626 \
--custom-domain-name child.example.com
```
------
# Gestion des associations pour une configuration de ressources VPC Lattice
Les comptes clients avec lesquels vous partagez une configuration de ressources et les clients de votre compte peuvent accéder à la configuration des ressources soit directement à l'aide d'un point de terminaison VPC de type ressource, soit via un point de terminaison VPC de type réseau de services. Par conséquent, votre configuration de ressources comportera des associations de points de terminaison et de réseaux de services.
## Gérer les associations de ressources du réseau de services
Créez ou supprimez une association de réseau de service.
**Note**
Si vous recevez un message de refus d'accès lors de la création de l'association entre le réseau de service et la configuration des ressources, vérifiez la version de votre AWS RAM politique et assurez-vous qu'il s'agit de la version 2. Pour plus d'informations, consultez le [guide de AWS RAM l'utilisateur](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
**Pour gérer une association service-réseau à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sous Lattice **PrivateLink et Lattice**, choisissez **Resource configurations**.
1. Sélectionnez le nom de la configuration des ressources pour ouvrir sa page de détails.
1. Sélectionnez l'onglet **Associations de réseaux de services**.
1. Choisissez **Créer des associations**.
1. Sélectionnez un réseau de service parmi les réseaux de service **VPC Lattice**. Pour créer un réseau de service, choisissez **Create a VPC Lattice** network.
1. (Facultatif) Pour ajouter une balise, développez les **balises d'association de services**, choisissez **Ajouter une nouvelle balise**, puis entrez une clé de balise et une valeur de balise.
1. (Facultatif) Pour activer les noms DNS privés pour cette association de ressources réseau de services, choisissez **Activer le nom DNS privé**. Pour de plus amples informations, veuillez consulter [Noms de domaine personnalisés pour les propriétaires de réseaux de services](resource-configuration.md#resource-configuration-custom-domain-name-service-network-owners).
1. Sélectionnez **Save Changes (Enregistrer les modifications)**.
1. Pour supprimer une association, cochez la case correspondante, puis choisissez **Actions**, **Supprimer**. Lorsque vous êtes invité à confirmer, entrez **confirm**, puis choisissez **Delete (Supprimer)**.
**Pour créer une association de réseau de service à l'aide du AWS CLI**
Utilisez la commande [create-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-resource-association.html).
**Pour supprimer une association de réseau de service à l'aide du AWS CLI**
Utilisez la commande [delete-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-resource-association.html).
## Gérer les associations de points de terminaison VPC de ressources
Les comptes clients ayant accès à votre configuration de ressources ou les clients de votre compte peuvent accéder à la configuration des ressources à l'aide d'un point de terminaison VPC de ressources. Si votre configuration de ressources possède un nom de domaine personnalisé, vous pouvez utiliser Enable Private DNS pour permettre à VPC Lattice de provisionner des zones hébergées privées pour votre point de terminaison de ressource ou votre point de terminaison de réseau de services. Ainsi, les clients peuvent directement recroqueviller le nom de domaine pour accéder à la configuration des ressources. Pour de plus amples informations, veuillez consulter [Noms de domaine personnalisés pour les consommateurs de ressources](resource-configuration.md#custom-domain-name-resource-consumers).
------
#### [ AWS Management Console ]
1. Pour créer une nouvelle association de points de terminaison, accédez à **PrivateLink et Lattice** dans le volet de navigation de gauche et choisissez **Endpoints**.
1. Choisissez **Create endpoints.**
1. Sélectionnez la configuration des ressources que vous souhaitez connecter à votre VPC.
1. Sélectionnez le VPC, les sous-réseaux et les groupes de sécurité.
1. (Facultatif) Pour activer le DNS privé et configurer les options DNS, sélectionnez **Activer le nom DNS privé**.
1. (Facultatif) Pour étiqueter votre point de terminaison VPC, choisissez **Ajouter une nouvelle balise**, puis entrez une clé de balise et une valeur de balise.
1. Choisissez **Créer un point de terminaison**.
------
#### [ AWS CLI ]
La [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html)commande suivante crée un point de terminaison VPC qui utilise un DNS privé. Les préférences DNS privées sont définies sur `VERIFIED_AND_SELECTED` et les domaines sélectionnés sont définis sur `example.com` et`example.org`. VPC Lattice fournit uniquement des zones hébergées privées pour les domaines vérifiés ou. `example.com` `example.org`
```
aws ec2 create-vpc-endpoint \
--vpc-endpoint-type Resource \
--vpc-id vpc-111122223333aabbc \
--subnet-ids subnet-0011aabbcc2233445 \
--resource-configuration-arn arn:aws:vpc-lattice:us-west-2:111122223333:resourceconfiguration/rcfg-07129f3acded87625 \
--private-dns-enabled \
--private-dns-preferences VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS \
--private-domains-set example.com, example.org
```
------
**Pour créer une association de point de terminaison VPC à l'aide du AWS CLI**
Utilisez la commande [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html).
**Pour supprimer une association de point de terminaison VPC à l'aide du AWS CLI**
Utilisez la commande [delete-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint.html).