Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risorse VPC in Amazon VPC Lattice
Puoi condividere le risorse VPC con altri team della tua organizzazione o con partner ISV (Independent Software Vendor) esterni. Una risorsa VPC può essere una risorsa AWS nativa come un database Amazon RDS, un nome di dominio o un indirizzo IP. La risorsa può trovarsi nel tuo VPC o nella rete locale e non è necessario che il carico sia bilanciato. Si usa AWS RAM per specificare i responsabili che possono accedere alla risorsa. Si crea un gateway di risorse attraverso il quale è possibile accedere alla risorsa. È inoltre possibile creare una configurazione di risorse che rappresenti la risorsa o un gruppo di risorse che si desidera condividere.
I responsabili con cui condividi la risorsa possono accedere a queste risorse privatamente utilizzando gli endpoint VPC. Possono utilizzare un endpoint VPC di risorse per accedere a una risorsa o raggruppare più risorse in una rete di servizi VPC Lattice e accedere alla rete di servizi utilizzando un endpoint VPC di rete di servizio.
Le seguenti sezioni spiegano come creare e gestire risorse VPC in VPC Lattice:
**Topics**
+ [Gateway per le risorse](resource-gateway.md)
+ [Configurazioni delle risorse](resource-configuration.md)
# Gateway per le risorse in VPC Lattice
Un *gateway di risorse* è il punto che riceve il traffico nel VPC in cui risiede una risorsa. Si estende su più zone di disponibilità.
Un VPC deve disporre di un gateway di risorse se prevedi di rendere accessibili le risorse all'interno del VPC da altri account. VPCs Ogni risorsa condivisa è associata a un gateway di risorse. Quando i client di altri VPCs account accedono a una risorsa nel tuo VPC, la risorsa vede il traffico proveniente localmente dal gateway di risorse in quel VPC. L'indirizzo IP di origine del traffico è l'indirizzo IP del gateway di risorse in una zona di disponibilità. È possibile collegare più configurazioni di risorse, ognuna con più risorse, a un gateway di risorse.
Il diagramma seguente mostra come un client accede a una risorsa tramite il gateway di risorse:
![\[Il client accede alla risorsa tramite il gateway di risorse.\]](http://docs.aws.amazon.com/it_it/vpc-lattice/latest/ug/images/resource-gateway-to-resource.png)
**Topics**
+ [Considerazioni](#resource-gateway-considerations)
+ [Gruppi di sicurezza](#resource-gateway-security-groups)
+ [Tipi di indirizzi IP](#resource-gateway-ip-address-type)
+ [IPv4 indirizzi per ENI](#ipv4-address-type-per-eni)
+ [Creazione di un gateway per le risorse](create-resource-gateway.md)
+ [Eliminare un gateway di risorse](delete-resource-gateway.md)
## Considerazioni
Le seguenti considerazioni si applicano ai gateway di risorse:
+ Affinché la risorsa sia accessibile da tutte le [zone di disponibilità](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/), è necessario creare gateway di risorse che coprano il maggior numero possibile di zone di disponibilità.
+ Almeno una zona di disponibilità dell'endpoint VPC e del gateway di risorse deve sovrapporsi.
+ Un VPC può avere un massimo di 100 gateway di risorse. Per ulteriori informazioni, consulta [Quotas for VPC](https://docs.aws.amazon.com/vpc-lattice/latest/ug/quotas.html) Lattice.
+ VPC Lattice potrebbe aggiungerne di nuovi ENIs al tuo gateway di risorse.
+ Gateway di risorse con sottoreti VPC condivise:
+ Un gateway di risorse può essere distribuito in una sottorete VPC condivisa solo dall'account proprietario del VPC.
+ Una configurazione delle risorse per un gateway di risorse può essere creata solo dall'account proprietario del gateway di risorse.
## Gruppi di sicurezza
È possibile collegare gruppi di sicurezza a un gateway di risorse. Le regole dei gruppi di sicurezza per i gateway di risorse controllano il traffico in uscita dal gateway di risorse alle risorse.
**Regole in uscita consigliate per il traffico che scorre da un gateway di risorse a una risorsa di database**
Affinché il traffico fluisca da un gateway di risorse a una risorsa, è necessario creare regole in uscita per i protocolli di listener e gli intervalli di porte accettati dalla risorsa.
| Destinazione | Protocollo | Intervallo porte | Comment |
| --- | --- | --- | --- |
| CIDR range for resource | TCP | 3306 | Consente il traffico dal gateway di risorse ai database. |
## Tipi di indirizzi IP
Un gateway di risorse può disporre IPv4 di indirizzi IPv6 dual-stack o dual-stack. Il tipo di indirizzo IP di un Resource Gateway deve essere compatibile con le sottoreti del Resource Gateway e il tipo di indirizzo IP della risorsa, come descritto di seguito:
+ **IPv4**— Assegna IPv4 indirizzi alle interfacce di rete del Resource Gateway. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno intervalli di IPv4 indirizzi e la risorsa dispone anche di un indirizzo. IPv4 Quando si utilizza questa opzione, è possibile configurare il numero di IPv4 indirizzi per gateway di risorse ENI.
+ **IPv6**— Assegna IPv6 indirizzi alle interfacce di rete del tuo Resource Gateway. Questa opzione è supportata solo se tutte le sottoreti selezionate sono IPv6 solo sottoreti e la risorsa dispone anche di un indirizzo. IPv6 Quando si utilizza questa opzione, IPv6 gli indirizzi vengono assegnati automaticamente e non è necessario gestirli.
+ **Dualstack**: assegna entrambi IPv4 IPv6 gli indirizzi alle interfacce di rete del Resource Gateway. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi gli intervalli di IPv6 indirizzi IPv4 e la risorsa dispone di un indirizzo or. IPv4 IPv6 Quando si utilizza questa opzione, è possibile configurare il numero di IPv4 indirizzi per gateway di risorse ENI.
Il tipo di indirizzo IP del Resource Gateway è indipendente dal tipo di indirizzo IP del client o dell'endpoint VPC tramite il quale si accede alla risorsa.
## IPv4 indirizzi per ENI
Se il tuo Resource Gateway ha uno IPv4 o un tipo di indirizzo IP dual-stack, puoi configurare il numero di IPv4 indirizzi assegnati a ciascun ENI del tuo Resource Gateway. Quando crei un Resource Gateway, scegli da 1 a 62 indirizzi. IPv4 Una volta impostato il numero di IPv4 indirizzi, il valore non può essere modificato.
Gli IPv4 indirizzi vengono utilizzati per la traduzione degli indirizzi di rete e determinano il numero massimo di IPv4 connessioni simultanee a una risorsa. Ogni IPv4 indirizzo può supportare fino a 55.000 connessioni simultanee per IP di destinazione. Per impostazione predefinita, a tutti i gateway di risorse vengono assegnati 16 IPv4 indirizzi per ENI.
Se il Resource Gateway utilizza il tipo di IPv6 indirizzo, il Resource Gateway riceve automaticamente un /80 CIDR per ENI. Questo valore non può essere modificato. L'unità di trasmissione massima (MTU) per connessione è di 8500 byte.
# Creare un gateway per le risorse in VPC Lattice
Usa la console per creare un gateway di risorse.
**Per creare un gateway di risorse utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, sotto **PrivateLink e Lattice**, scegli **Resource gateway**.
1. Scegli **Crea gateway di risorse**.
1. Per **il nome del Resource gateway**, inserisci un nome univoco all'interno AWS del tuo account.
1. Per **Tipo di indirizzo IP**, scegli il tipo di indirizzo IP per il Resource Gateway.
1. Se hai selezionato **IPv4****Dualstack** per il **tipo di indirizzo IP**, puoi inserire il numero di IPv4 indirizzi per ENI per il tuo Resource Gateway.
L'impostazione predefinita è 16 IPv4 indirizzi per ENI. Si tratta di un numero adeguato IPs per creare connessioni con le risorse di backend.
1. Per **VPC, scegli il VPC** e le sottoreti in cui creare il tuo gateway di risorse.
1. Per **i gruppi di sicurezza**, scegli fino a cinque gruppi di sicurezza per controllare il traffico in entrata dal VPC alla rete di servizi.
1. (Facoltativo) Per aggiungere un tag, scegliere **Add new tag (Aggiungi nuovo tag)** e immettere la chiave e il valore del tag.
1. Scegli **Crea gateway di risorse**.
**Per creare un gateway di risorse utilizzando il AWS CLI**
Utilizza il comando [create-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-resource-gateway.html).
# Eliminare un gateway per le risorse in VPC Lattice
Usa la console per eliminare un Resource Gateway.
**Per eliminare un gateway di risorse utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, sotto **PrivateLink e Lattice**, scegli **Resource gateway**.
1. **Seleziona la casella di controllo relativa al gateway di risorse che desideri eliminare e scegli **Azioni**, Elimina.** Quando viene richiesta la conferma, immettere **confirm** e quindi scegliere **Elimina**.
**Per eliminare un gateway di risorse utilizzando il AWS CLI**
Utilizza il comando [delete-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-resource-gateway.html).
# Configurazioni delle risorse per le risorse VPC
Una configurazione di risorse rappresenta una risorsa o un gruppo di risorse che si desidera rendere accessibili ai client di altri account VPCs . Definendo una configurazione delle risorse, puoi consentire la connettività di rete privata, sicura e unidirezionale alle risorse del tuo VPC da client di altri account. VPCs Una configurazione delle risorse è associata a un gateway di risorse attraverso il quale riceve il traffico. Affinché una risorsa sia accessibile da un altro VPC, deve disporre di una configurazione delle risorse.
**Topics**
+ [Tipi di configurazioni delle risorse](#resource-configuration-types)
+ [Protocollo](#resource-configuration-protocol)
+ [Gateway per le risorse](#resource-gateway)
+ [Nomi di dominio personalizzati per i provider di risorse](#custom-domain-name-resource-providers)
+ [Nomi di dominio personalizzati per consumatori di risorse](#custom-domain-name-resource-consumers)
+ [Nomi di dominio personalizzati per i proprietari di reti di servizi](#resource-configuration-custom-domain-name-service-network-owners)
+ [Definizione delle risorse](#resource-definition)
+ [Intervalli di porte](#resource-configuration-port)
+ [Accesso alle risorse](#resource-configuration-accessing)
+ [Associazione con il tipo di rete di servizi](#resource-configuration-service-network-association)
+ [Tipi di reti di servizio](#service-network-types)
+ [Condivisione delle configurazioni delle risorse tramite AWS RAM](#sharing-resource-configuration-ram)
+ [Monitoraggio](#resource-configuration-monitoring)
+ [Crea e verifica un dominio](create-and-verify.md)
+ [Crea una configurazione delle risorse](create-resource-configuration.md)
+ [Gestire le associazioni](resource-configuration-associations.md)
## Tipi di configurazioni delle risorse
Una configurazione delle risorse può essere di diversi tipi. I diversi tipi aiutano a rappresentare diversi tipi di risorse. I tipi sono:
+ **Configurazione a risorsa singola**: rappresenta un indirizzo IP o un nome di dominio. Può essere condivisa indipendentemente.
+ **Configurazione delle risorse di gruppo**: è una raccolta di configurazioni di risorse secondarie. Può essere utilizzato per rappresentare un gruppo di endpoint DNS e indirizzi IP.
+ **Configurazione delle risorse secondarie**: è un membro di una configurazione di risorse di gruppo. Rappresenta un indirizzo IP o un nome di dominio. Non può essere condiviso in modo indipendente; può essere condiviso solo come parte di un gruppo. Può essere aggiunto e rimosso da un gruppo. Una volta aggiunto, è automaticamente accessibile a coloro che possono accedere al gruppo.
+ **Configurazione delle risorse ARN**: rappresenta un tipo di risorsa supportato fornito da un servizio. AWS Qualsiasi relazione gruppo-figlio viene gestita automaticamente.
L'immagine seguente mostra una configurazione di risorse singole, secondarie e di gruppo:
![\[Configurazioni di risorse singole, secondarie e di gruppo.\]](http://docs.aws.amazon.com/it_it/vpc-lattice/latest/ug/images/resource-config-types.png)
## Protocollo
Quando si crea una configurazione delle risorse, è possibile definire i protocolli che la risorsa supporterà. Attualmente è supportato solo il protocollo TCP.
## Gateway per le risorse
Una configurazione delle risorse è associata a un gateway di risorse. Un gateway di risorse è un insieme di ENIs dispositivi che fungono da punto di ingresso nel VPC in cui si trova la risorsa. È possibile associare più configurazioni di risorse allo stesso gateway di risorse. Quando i client di altri VPCs account accedono a una risorsa nel tuo VPC, la risorsa vede il traffico proveniente localmente dagli indirizzi IP del gateway di risorse in quel VPC.
## Nomi di dominio personalizzati per i provider di risorse
I provider di risorse possono associare un nome di dominio personalizzato a una configurazione di risorse, ad esempio quali `example.com` risorse possono utilizzare gli utenti per accedere alla configurazione delle risorse. Il nome di dominio personalizzato può essere di proprietà e verificato dal provider di risorse oppure può essere di terze parti o di un AWS dominio. I provider di risorse possono utilizzare le configurazioni delle risorse per condividere cluster di cache e cluster Kafka, applicazioni basate su TLS o altre risorse. AWS
Le seguenti considerazioni si applicano ai fornitori di configurazioni di risorse:
+ Una configurazione di risorse può avere solo un dominio personalizzato.
+ Il nome di dominio personalizzato di una configurazione di risorse non può essere modificato.
+ Il nome di dominio personalizzato è visibile a tutti gli utenti della configurazione delle risorse.
+ Puoi verificare il tuo nome di dominio personalizzato utilizzando il processo di verifica del nome di dominio in VPC Lattice. Per ulteriori informazioni Per ulteriori informazioni, vedere. [Crea e verifica un dominio](create-and-verify.md)
+ Per le configurazioni delle risorse di tipo group e child, è necessario innanzitutto specificare un dominio di gruppo nella configurazione delle risorse di gruppo. Successivamente, le configurazioni delle risorse secondarie possono avere domini personalizzati che sono sottodomini del dominio del gruppo. Se il gruppo non ha un dominio di gruppo, puoi utilizzare qualsiasi nome di dominio personalizzato per il figlio, ma VPC Lattice non fornirà alcuna zona ospitata per i nomi di dominio figlio nel VPC del consumatore di risorse.
## Nomi di dominio personalizzati per consumatori di risorse
Quando i consumatori di risorse abilitano la connettività a una configurazione di risorse con un nome di dominio personalizzato, possono consentire a VPC Lattice di gestire una zona ospitata privata Route 53 nel proprio VPC. I consumatori di risorse hanno opzioni granulari per i domini per cui desiderano consentire a VPC Lattice di gestire zone ospitate private.
I consumatori di risorse possono impostare il `private-dns-enabled` parametro quando abilitano la connettività alle configurazioni delle risorse tramite un endpoint di risorse, un endpoint di rete di servizi o un'associazione VPC di rete di servizi. Oltre al `private-dns-enabled` parametro, i consumatori possono utilizzare le opzioni DNS per specificare per quali domini desiderano che VPC Lattice gestisca le zone ospitate private. I consumatori possono scegliere tra le seguenti preferenze DNS private:
**`ALL_DOMAINS`**
VPC Lattice fornisce zone ospitate private per tutti i nomi di dominio personalizzati.
**`VERIFIED_DOMAINS_ONLY`**
VPC Lattice fornisce una zona ospitata privata solo se il nome di dominio personalizzato è stato verificato dal provider.
**`VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`**
VPC Lattice fornisce zone ospitate private per tutti i nomi di dominio personalizzati verificati e altri nomi di dominio specificati dal consumatore di risorse. Il consumatore di risorse specifica i nomi di dominio nel parametro. `private DNS specified domains`
**`SPECIFIED_DOMAINS_ONLY`**
VPC Lattice fornisce una zona ospitata privata per i nomi di dominio specificati dal consumatore di risorse. Il consumatore di risorse specifica i nomi di dominio nel parametro. `private DNS specified domains `
Quando abiliti il DNS privato, VPC Lattice crea una zona ospitata privata nel tuo VPC per il nome di dominio personalizzato associato alla configurazione delle risorse. Per impostazione predefinita, la preferenza DNS privata è impostata su. `VERIFIED_DOMAINS_ONLY` Ciò significa che le zone private ospitate vengono create solo se il nome di dominio personalizzato è stato verificato dal provider di risorse. Se imposti la preferenza DNS privata su `ALL_DOMAINS` o `SPECIFIED_DOMAINS_ONLY` allora VPC Lattice crea zone ospitate private indipendentemente dallo stato di verifica del nome di dominio personalizzato. Quando viene creata una zona ospitata privata per un determinato dominio, tutto il traffico verso quel dominio dal tuo VPC viene instradato tramite VPC Lattice. Ti consigliamo di utilizzare le `SPECIFIED_DOMAINS_ONLY` preferenze `ALL_DOMAINS``VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`, o solo quando desideri che il traffico verso questi nomi di dominio personalizzati passi attraverso VPC Lattice.
Consigliamo ai consumatori di risorse di impostare la propria preferenza DNS privata su. `VERIFIED_DOMAINS_ONLY` Ciò consente ai consumatori di rafforzare il proprio perimetro di sicurezza consentendo a VPC Lattice di fornire zone private ospitate per domini verificati nell'account del consumatore di risorse.
Per selezionare i domini nei domini privati specificati dal DNS, i consumatori di risorse possono inserire un nome di dominio completo, ad esempio o utilizzare un carattere jolly come. `my.example.com` `*.example.com`
Le seguenti considerazioni si applicano agli utenti che utilizzano configurazioni di risorse:
+ Il parametro DNS privato abilitato non può essere modificato.
+ Il DNS privato deve essere abilitato su un'associazione di risorse di rete di servizio per l'hosting privato da creare in un VPC. Per una configurazione di risorse, lo stato di abilitazione DNS privato dell'associazione di risorse di rete di servizio ha la precedenza sullo stato di abilitazione DNS privato dell'endpoint della rete di servizio o dell'associazione VPC della rete di servizio.
## Nomi di dominio personalizzati per i proprietari di reti di servizi
La proprietà DNS privata abilitata dell'associazione di risorse di rete di servizio ha la precedenza sulla proprietà DNS privata abilitata dell'endpoint della rete di servizio e dell'associazione VPC della rete di servizio.
Se il proprietario di una rete di servizi crea un'associazione di risorse di rete di servizio e non abilita il DNS privato, VPC Lattice non fornirà zone ospitate private per quella configurazione di risorse in VPCs nessuna delle aree a cui è connessa la rete di servizio, anche se il DNS privato è abilitato sull'endpoint della rete di servizio o sulle associazioni VPC della rete di servizio.
Per le configurazioni delle risorse di tipo ARN, il flag DNS privato è vero e immutabile.
## Definizione delle risorse
Nella configurazione della risorsa, identificate la risorsa in uno dei seguenti modi:
+ Con un **Amazon Resource Name (ARN)**: i tipi di risorse supportati, forniti dai AWS servizi, possono essere identificati dal relativo ARN. Sono supportati solo i database Amazon RDS. Non è possibile creare una configurazione delle risorse per un cluster accessibile pubblicamente.
+ In base a un **nome di dominio: puoi** utilizzare qualsiasi nome di dominio risolvibile pubblicamente. Se il tuo nome di dominio punta a un IP esterno al tuo VPC, devi avere un gateway NAT nel tuo VPC.
+ Tramite un **indirizzo IP**: Per IPv4, specifica un IP privato tra i seguenti intervalli: 10.0.0.0/8, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16. Per IPv6, specifica un IP dal VPC. IPs I pubblici non sono supportati.
## Intervalli di porte
Quando si crea una configurazione di risorse, è possibile definire le porte su cui verranno accettate le richieste. L'accesso del client su altre porte non sarà consentito.
## Accesso alle risorse
I consumatori possono accedere alle configurazioni delle risorse direttamente dal proprio VPC utilizzando un endpoint VPC o tramite una rete di servizi. In qualità di consumatore, puoi abilitare l'accesso dal tuo VPC a una configurazione di risorse presente nel tuo account o che è stata condivisa con te da un altro account tramite. AWS RAM
+ *Accesso diretto a una configurazione delle risorse*
Puoi creare un endpoint AWS PrivateLink VPC di tipo risorsa (endpoint di risorse) nel tuo VPC per accedere a una configurazione di risorse in modo privato dal tuo VPC. Per ulteriori informazioni su come creare un endpoint di risorse, consulta [Accesso alle risorse VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-resources.html) nella guida per *AWS PrivateLink l'*utente.
+ *Accesso a una configurazione di risorse tramite una rete di servizi*
Puoi associare una configurazione di risorse a una rete di servizi e connettere il tuo VPC alla rete di servizi. Puoi connettere il tuo VPC alla rete di servizio tramite un'associazione o utilizzando un endpoint VPC AWS PrivateLink della rete di servizi.
Per ulteriori informazioni sulle associazioni delle reti di servizio, consulta [Gestire le associazioni per una rete di servizi VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-network-associations.html).
*Per ulteriori informazioni sugli endpoint VPC della rete di servizio, consulta [Accedere alle reti di servizio](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-service-networks.html) nella guida per l'AWS PrivateLink utente.*
Quando il DNS privato è abilitato per il tuo VPC, non puoi creare un endpoint di risorse e un endpoint di rete di servizi per la stessa configurazione di risorse.
## Associazione con il tipo di rete di servizi
Quando condividi una configurazione di risorse con un account consumatore, ad esempio Account-B AWS RAM, tramite Account-B puoi accedere alla configurazione delle risorse direttamente tramite un endpoint VPC di risorse o tramite una rete di servizi.
Per accedere a una configurazione delle risorse tramite una rete di servizi, l'Account-B dovrebbe associare la configurazione delle risorse a una rete di servizi. Le reti di servizio sono condivisibili tra account. Pertanto, l'Account-B può condividere la propria rete di servizi (a cui è associata la configurazione delle risorse) con l'Account-C, rendendo la risorsa accessibile dall'Account-C.
Per impedire tale condivisione transitiva, è possibile specificare che la configurazione delle risorse non può essere aggiunta alle reti di servizi condivisibili tra account. Se lo specifichi, l'Account-B non sarà in grado di aggiungere la configurazione delle risorse alle reti di servizi che sono condivise o che possono essere condivise con un altro account in futuro.
## Tipi di reti di servizio
Quando condividi una configurazione di risorse con un altro account, ad esempio Account-B AWS RAM, tramite Account-B puoi accedere alle risorse specificate nella configurazione delle risorse in tre modi:
+ Utilizzo di un endpoint VPC di tipo *risorsa* (endpoint VPC di risorsa).
+ Utilizzo di un endpoint VPC di tipo *service network* (endpoint VPC della rete di assistenza).
+ Utilizzo di un'associazione VPC di rete di servizi.
Quando si utilizza un'associazione di rete di servizi, a ciascuna risorsa viene assegnato un IP per sottorete a partire dal blocco 129.224.0.0/17, che è di proprietà e non è instradabile. AWS Questo si aggiunge all'[elenco di prefissi gestiti](security-groups.md#managed-prefix-list) che VPC Lattice utilizza per indirizzare il traffico verso i servizi sulla rete VPC Lattice. Entrambi IPs vengono aggiornati nella tabella di routing VPC.
Per l'endpoint VPC della rete di servizio e l'associazione VPC della rete di servizio, la configurazione delle risorse dovrebbe essere associata a una rete di servizi nell'Account-B. Le reti di servizi sono condivisibili tra account. Pertanto, l'Account-B può condividere la propria rete di servizi (che contiene la configurazione delle risorse) con l'Account-C, rendendo la risorsa accessibile dall'Account-C. Per impedire tale condivisione transitiva, è possibile impedire che la configurazione delle risorse venga aggiunta a reti di servizi condivisibili tra account. Se non consentite questa opzione, l'Account-B non sarà in grado di aggiungere la configurazione delle risorse a una rete di servizi condivisa o condivisa con un altro account.
## Condivisione delle configurazioni delle risorse tramite AWS RAM
Le configurazioni delle risorse sono integrate con. AWS Resource Access ManagerÈ possibile condividere la configurazione delle risorse con un altro account tramite AWS RAM. Quando condividi una configurazione di risorse con un AWS account, i client di quell'account possono accedere privatamente alla risorsa. È possibile condividere una configurazione di risorse utilizzando una [condivisione di risorse](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html) in AWS RAM.
Usa la AWS RAM console per visualizzare le condivisioni di risorse a cui sei stato aggiunto, le risorse condivise a cui puoi accedere e gli AWS account che hanno condiviso risorse con te. Per ulteriori informazioni, consulta [Risorse condivise con te](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html) nella *Guida AWS RAM per l'utente*.
Per accedere a una risorsa da un altro VPC nello stesso account della configurazione della risorsa, non è necessario condividere la configurazione della risorsa tramite. AWS RAM
## Monitoraggio
È possibile abilitare i log di monitoraggio sulla configurazione delle risorse. È possibile scegliere una destinazione a cui inviare i log.
# Crea e verifica un dominio
Una verifica del nome di dominio è un'entità che ti consente di dimostrare la tua proprietà di un determinato dominio. In qualità di provider di risorse, puoi utilizzare il dominio e i relativi sottodomini come nomi di dominio personalizzati per le configurazioni delle risorse. I consumatori di risorse possono vedere lo stato di verifica del nome di dominio personalizzato quando descrivono la configurazione delle risorse.
## Inizia la verifica del dominio
Si avvia la verifica del nome di dominio utilizzando VPC Lattice, quindi si utilizza la zona DNS per completare il processo.
------
#### [ Console di gestione AWS ]
**Per iniziare la verifica del nome di dominio**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione, sotto **PrivateLink e Lattice**, scegli Verifiche **del dominio**
1. Scegli **Avvia la verifica del dominio**.
1. Per **Nome di dominio**, inserisci un nome di dominio di tua proprietà.
1. (Facoltativo) Per aggiungere un tag, scegliere **Add new tag (Aggiungi nuovo tag)** e immettere la chiave e il valore del tag.
1. Scegli **Avvia la verifica del nome di dominio**.
Dopo aver avviato con successo la verifica del nome di dominio, VPC Lattice restituisce e il`Id`. `txtMethodConfig` Utilizzi il `txtMethodConfig` per completare la verifica del tuo nome di dominio.
------
#### [ AWS CLI ]
Il `start-domain-verification` comando seguente avvia una verifica del nome di dominio:
```
aws vpc-lattice start-domain-verification \
--domain-name example.com
```
L'output sarà simile al seguente:
```
{
"id": "dv-aaaa0000000111111",
"arn": "arn:aws:vpc-lattice:us-west-2:111122223333:domainverification/dv-aaaa0000000111111",
"domainName": "example.com",
"status": "PENDING",
"txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
}
```
VPC Lattice restituisce e il`Id`. `txtMethodConfig` Utilizzi il `txtMethodConfig` per completare la verifica del tuo nome di dominio. In questo esempio, `txtMethodConfig` è il seguente:
```
txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
```
------
## Completa la verifica del nome di dominio
Per completare la verifica del nome di dominio, aggiungi un record TXT nella tua zona DNS. Se usi Route 53, usa la zona ospitata del tuo nome di dominio. Quando verifichi un nome di dominio, vengono verificati anche tutti i sottodomini. Ad esempio, se effettui la verifica`example.com`, puoi associare una configurazione di risorse con `alpha.example.com` e `beta.example.com` senza eseguire alcuna verifica aggiuntiva.
Per creare un record TXT utilizzando il Console di gestione AWS, consulta [Creazione di record utilizzando la console Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html).
**Per creare un record TXT utilizzando AWS CLI for Route 53**
1. Utilizzate il [change-resource-record-sets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/r53/change-resource-record-sets.html)comando con il seguente `TXT-record.json` file di esempio:
```
{
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "_11111aaaaaaaaa",
"Type": "TXT",
"ResourceRecords": [
{
"value": "vpc-lattice:1111aaaaaaa"
}
]
}
}
]
}
```
1. Usa il AWS CLI comando seguente per aggiungere il record TXT del passaggio precedente a una zona ospitata da Route 53:
```
aws route53 change-resource-record-sets \
--hosted-zone-id ABCD123456 \
--change-batch file://path/to/your/TXT-record.json
```
`hosted-zone-id`Sostituiscilo con l'ID della zona ospitata Route 53 della zona ospitata nel tuo account. Il valore del parametro change-batch punta a un file JSON (Txt-Record.json) in una cartella (). path/to/your
Per verificare lo stato di verifica del tuo nome di dominio, puoi utilizzare la console VPC Lattice o il comando. `get-domain-verification`
Una volta verificato il nome di dominio, questo rimane verificato finché non lo elimini. Se elimini il record TXT dalla tua zona DNS, VPC Lattice lo elimina `verification-id` e devi verificare nuovamente il nome di dominio. Se elimini il record TXT nella tua zona DNS, VPC Lattice imposta lo stato di verifica del nome di dominio su. `UNVERIFIED` Ciò non ha alcun impatto sugli endpoint di risorse, sugli endpoint della rete di servizio o sulle associazioni VPC della rete di servizio esistenti alle configurazioni delle risorse. Per verificare nuovamente il tuo nome di dominio, riavvia la procedura di verifica del nome di dominio.
# Creare una configurazione delle risorse in VPC Lattice
Crea una configurazione delle risorse.
------
#### [ Console di gestione AWS ]
**Per creare una configurazione delle risorse utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, sotto **PrivateLink e Lattice**, scegli **Configurazioni delle risorse**.
1. Scegli **Crea configurazione delle risorse**.
1. Inserisci un nome univoco all'interno del tuo AWS account. Non puoi modificare questo nome dopo aver creato la configurazione delle risorse.
1. Per **Tipo di configurazione**, scegli **Risorsa** per una risorsa singola o secondaria o **Gruppo di risorse** per un gruppo di risorse secondarie.
1. Scegli un gateway di risorse che hai creato in precedenza o creane uno ora.
1. (Facoltativo) Per inserire un nome di dominio personalizzato, effettuate una delle seguenti operazioni:
+ Se disponi di una configurazione delle risorse di tipo single, puoi inserire un nome di dominio personalizzato. I consumatori di risorse possono utilizzare questo nome di dominio per accedere alle configurazioni delle risorse.
+ Se disponi di una configurazione delle risorse di tipo group e child, devi prima specificare un dominio di gruppo nella configurazione delle risorse di gruppo. Successivamente, le configurazioni delle risorse secondarie possono avere domini personalizzati che sono sottodomini del dominio del gruppo.
1. (Facoltativo) Inserisci l'ID di verifica.
Fornisci un ID di verifica se desideri che il tuo nome di dominio venga verificato. Ciò consente ai consumatori di risorse di sapere che il nome di dominio è tuo.
1. Scegliete l'identificatore per la risorsa che desiderate che questa configurazione di risorse rappresenti.
1. Scegliete gli intervalli di porte attraverso i quali desiderate condividere la risorsa.
1. Per **le impostazioni di associazione**, specifica se questa configurazione delle risorse può essere associata a reti di servizi condivisibili.
1. Per la **configurazione di condivisione delle risorse**, scegli le condivisioni di risorse che identificano i principali che possono accedere a questa risorsa.
1. (Facoltativo) Per il **monitoraggio**, abilita **i registri di accesso alle risorse** e la destinazione di consegna se desideri monitorare le richieste e le risposte da e verso la configurazione delle risorse.
1. (Facoltativo) Per aggiungere un tag, scegliere **Add new tag (Aggiungi nuovo tag)** e immettere la chiave e il valore del tag.
1. Scegli **Crea configurazione delle risorse**.
------
#### [ AWS CLI ]
Il [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)comando seguente crea una singola configurazione di risorse e la associa al nome `example.com` di dominio personalizzato.
```
aws vpc-lattice create-resource-configuration \
--name my-resource-config \
--type SINGLE \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--resource-configuration-definition 'ipResource={ipAddress=10.0.14.85}' \
--custom-domain-name example.com \
--verification-id dv-aaaa0000000111111
```
Il [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)comando seguente crea una configurazione di risorse di gruppo e la associa al nome di dominio personalizzato. `example.com`
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-group \
--type GROUP \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--domain-verification-identifier dv-aaaa0000000111111
```
Il [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)comando seguente crea una configurazione di risorse secondarie e la associa al nome di dominio personalizzato. `child.example.com`
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-child \
--type CHILD \
--resource-configuration-definition 'dnsResource={domainName=my-alb-123456789.us-west-2.elb.amazonaws.com,ipAddressType=IPV4}' \
--resource-configuration-group-identifier rcfg-07129f3acded87626 \
--custom-domain-name child.example.com
```
------
# Gestire le associazioni per una configurazione di risorse VPC Lattice
Gli account consumer con cui condividi una configurazione di risorse e i client del tuo account possono accedere alla configurazione delle risorse direttamente utilizzando un endpoint VPC di tipo risorsa o tramite un endpoint VPC di tipo servizio-rete. Di conseguenza, la configurazione delle risorse avrà associazioni di endpoint e associazioni di reti di servizi.
## Gestisci le associazioni di risorse della rete di servizio
Creare o eliminare un'associazione di rete di servizio.
**Nota**
Se ricevi un messaggio di accesso negato durante la creazione dell'associazione tra la rete di servizio e la configurazione delle risorse, controlla la versione AWS RAM della policy e assicurati che sia la versione 2. Per ulteriori informazioni, consulta la guida per l'[AWS RAM utente](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
**Per gestire un'associazione servizio-rete utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Nel riquadro di navigazione, sotto **PrivateLink e Lattice**, scegli Configurazioni delle risorse.**
1. Seleziona il nome della configurazione della risorsa per aprirne la pagina dei dettagli.
1. Seleziona la scheda **Associazioni di rete di servizio**.
1. Scegli **Crea associazioni**.
1. Seleziona una rete di servizi dalle reti di servizi **VPC Lattice**. Per creare una rete di servizi, scegli **Crea una rete VPC Lattice**.
1. (Facoltativo) Per aggiungere un tag, espandi **Service Association tags**, scegli **Aggiungi nuovo tag** e inserisci una chiave e un valore per il tag.
1. (Facoltativo) Per abilitare i nomi DNS privati per questa associazione di risorse di rete di servizio, scegli **abilita il nome DNS privato**. Per ulteriori informazioni, consulta [Nomi di dominio personalizzati per i proprietari di reti di servizi](resource-configuration.md#resource-configuration-custom-domain-name-service-network-owners).
1. Scegli **Salva modifiche**.
1. **Per eliminare un'associazione, seleziona la casella di controllo relativa all'associazione, quindi scegli **Azioni**, Elimina.** Quando viene richiesta la conferma, immettere **confirm** e quindi scegliere **Elimina**.
**Per creare un'associazione di rete di servizi utilizzando il AWS CLI**
Utilizzare il comando [create-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-resource-association.html).
**Per eliminare un'associazione di rete di servizi utilizzando il AWS CLI**
Utilizzare il comando [delete-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-resource-association.html).
## Gestisci le associazioni degli endpoint VPC delle risorse
Gli account consumer con accesso alla configurazione delle risorse o i client nel tuo account possono accedere alla configurazione delle risorse utilizzando un endpoint VPC di risorse. Se la configurazione delle risorse ha un nome di dominio personalizzato, puoi utilizzare abilita il DNS privato per consentire a VPC Lattice di fornire zone ospitate private per l'endpoint di risorse o l'endpoint della rete di servizi. In questo modo, i client possono modificare direttamente il nome di dominio per accedere alla configurazione delle risorse. Per ulteriori informazioni, consulta [Nomi di dominio personalizzati per consumatori di risorse](resource-configuration.md#custom-domain-name-resource-consumers).
------
#### [ Console di gestione AWS ]
1. **Per creare una nuova associazione di endpoint, vai su **PrivateLink and Lattice** nel riquadro di navigazione a sinistra e scegli Endpoints.**
1. **Scegli Crea endpoint.**
1. Seleziona la configurazione delle risorse che desideri connettere al tuo VPC.
1. Seleziona il VPC, le sottoreti e i gruppi di sicurezza.
1. **(Facoltativo) Per attivare il DNS privato e configurare le opzioni DNS, seleziona Abilita nome DNS privato.**
1. (Facoltativo) Per taggare il tuo endpoint VPC, scegli **Aggiungi nuovo tag** e inserisci una chiave e un valore del tag.
1. Seleziona **Crea endpoint**.
------
#### [ AWS CLI ]
Il [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html)comando seguente crea un endpoint VPC che utilizza DNS privato. Le preferenze DNS private sono impostate su `VERIFIED_AND_SELECTED` e i domini selezionati sono e. `example.com` `example.org` VPC Lattice fornisce solo zone ospitate private per qualsiasi dominio verificato o o. `example.com` `example.org`
```
aws ec2 create-vpc-endpoint \
--vpc-endpoint-type Resource \
--vpc-id vpc-111122223333aabbc \
--subnet-ids subnet-0011aabbcc2233445 \
--resource-configuration-arn arn:aws:vpc-lattice:us-west-2:111122223333:resourceconfiguration/rcfg-07129f3acded87625 \
--private-dns-enabled \
--private-dns-preferences VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS \
--private-domains-set example.com, example.org
```
------
**Per creare un'associazione di endpoint VPC utilizzando il AWS CLI**
Utilizza il comando [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html).
**Per eliminare un'associazione di endpoint VPC utilizzando il AWS CLI**
Utilizza il comando [delete-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint.html).