As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Serviços no VPC Lattice
Um serviço no VPC Lattice é uma unidade de software implantável de maneira independente que fornece uma tarefa ou função específica. Um serviço pode funcionar em instâncias, contêineres ou como funções com tecnologia sem servidor em uma conta ou em uma nuvem privada virtual (VPC). Um serviço tem um ouvinte que usa regras, chamadas regras de ouvinte, que você pode configurar para ajudar a direcionar o tráfego para seus destinos. Os tipos de destino compatíveis incluem EC2 instâncias, endereços IP, funções Lambda, Application Load Balancers, tarefas do Amazon ECS e Kubernetes Pods. Para obter mais informações, consulte [Grupos de destino no VPC Lattice](target-groups.md). É possível associar um serviço a várias redes de serviços. O diagrama a seguir mostra os principais componentes de um serviço habitual no VPC Lattice.
![\[Um serviço com um receptor, regras de receptor e dois grupos de destino.\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/images/service.png)
Você pode criar um serviço dando um nome e uma descrição a ele. No entanto, para controlar e monitorar o tráfego para seu serviço, é importante incluir configurações de acesso e detalhes de monitoramento. Para enviar tráfego do seu serviço para seus destinos, você deverá configurar um receptor e configurar regras. Para permitir que o tráfego flua da rede de serviços para seu serviço, você deverá associar seu serviço à rede de serviços.
Há um tempo limite de inatividade e um tempo limite geral de conexão para conexões com os destinos. O tempo limite da conexão ociosa é de 1 minuto. Depois disso, fecharemos a conexão. A duração máxima é de 10 minutos. Depois disso, não permitiremos novos fluxos na conexão e iniciaremos o processo de fechamento dos fluxos existentes.
**Topics**
+ [Etapa 1: criar um serviço do VPC Lattice](#create-service)
+ [Etapa 2: definir o roteamento](#define-routing)
+ [Etapa 3: criar associações de rede](#associate-to-networks)
+ [Etapa 4: revisar e criar](#review-and-create)
+ [Gerenciar associações](service-associations.md)
+ [Editar configurações de acesso](service-access.md)
+ [Editar detalhes de monitoramento](service-monitoring.md)
+ [Gerenciar tags](service-tags.md)
+ [Configurar um nome de domínio personalizado](service-custom-domain-name.md)
+ [BYOC](service-byoc.md)
+ [Excluir um serviço](delete-service.md)
## Etapa 1: criar um serviço do VPC Lattice
Crie um serviço VPC Lattice básico com configurações de acesso e detalhes de monitoramento. No entanto, o serviço não estará totalmente funcional até que você defina sua configuração de roteamento e o associe a uma rede de serviços.
**Para criar um serviço básico usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Serviços**.
1. Escolha **Create service**.
1. Em **Identificadores**, faça o seguinte:
1. Insira um nome para o serviço. O nome deve ter entre 3 e 40 caracteres e usar letras minúsculas, números e hífens. Ele deve começar e terminar com uma letra ou um número. Não use hifens duplos.
1. (Opcional) Insira uma descrição para a rede de serviços. Você pode definir ou alterar a descrição durante ou após a criação. A descrição pode ter até 256 caracteres.
1. Para especificar um nome de domínio personalizado para seu serviço, selecione **Especificar uma configuração de domínio personalizada** e insira o nome de domínio personalizado.
Para ouvintes HTTPS, você pode selecionar o certificado que o VPC Lattice usará para realizar a terminação de TLS. Se você não selecionar um certificado agora, poderá selecioná-lo ao criar um ouvinte HTTPS para o serviço.
Para ouvintes TCP, você deve especificar um nome de domínio personalizado para seu serviço. Se você especificar um certificado, ele não será usado. Em vez disso, você executa a terminação de TLS em seu aplicativo.
1. Em **Acesso ao serviço**, escolha **Nenhum** se quiser que os clientes VPCs associados à rede de serviços acessem seu serviço. Para aplicar uma [política de autenticação](auth-policies.md) para controlar o acesso ao serviço, escolha **AWS IAM**. Para aplicar uma política de recurso ao serviço, faça o seguinte em **Política de autenticação**:
+ Insira uma política no campo de entrada. Para exemplos de políticas que você pode copiar e colar, escolha **Exemplos de política**.
+ Escolha **Aplicar modelo de política** e selecione o modelo **Permitir acesso autenticado e não autenticado**. Esse modelo permite que um cliente de outra conta acesse o serviço assinando a solicitação (ou seja, autenticado) ou anonimamente (ou seja, não autenticado).
+ Escolha **Aplicar modelo de política** e selecione o modelo **Permitir apenas acesso autenticado**. Esse modelo permite que um cliente de outra conta acesse o serviço exclusivamente assinando a solicitação (ou seja, autenticado).
1. (Opcional) Para habilitar os [logs de acesso](monitoring-access-logs.md), ative o seletor de **Logs de acesso** e especifique um destino para seus logs de acesso da seguinte forma:
+ Selecione **Grupo de CloudWatch registros** e escolha um grupo de CloudWatch registros. Para criar um grupo de registros, escolha **Criar um grupo de registros em CloudWatch**.
+ Selecione o **bucket do S3** e insira o caminho do bucket do S3, incluindo qualquer prefixo. Para pesquisar seus buckets do S3, escolha **Procurar S3**.
+ Em **Fluxo de entrega do Kinesis Data Firehose**, selecione um fluxo de entrega. Para criar um fluxo de entrega, escolha **Criar um fluxo de entrega no Kinesis**.
1. (Opcional) Para [compartilhar seu serviço](sharing.md) com outras contas, escolha um compartilhamento de AWS RAM recursos em **Compartilhamentos de recursos**. Para criar um compartilhamento de recursos, escolha **Criar um compartilhamento de recursos no console do RAM**.
1. Para revisar sua configuração e criar o serviço, escolha **Pular para a análise e criação**. Caso contrário, escolha **Próximo** para definir a configuração de roteamento do seu serviço.
## Etapa 2: definir o roteamento
Defina sua configuração de roteamento usando receptores para que seu serviço possa enviar tráfego para os destinos que você especificar.
**Pré-requisito**
Antes que possa adicionar um receptor, é necessário criar um grupo de destino do VPC Lattice. Para obter mais informações, consulte [Criar um grupo de destino do VPC Lattice](create-target-group.md).
**Para definir o roteamento para seu serviço usando o console**
1. Escolha **Add listener**.
1. Em **Nome do receptor**, você pode fornecer um nome de receptor personalizado ou usar o protocolo e a porta do seu receptor como o nome do receptor. Um nome personalizado que você especificar pode ter até 63 caracteres e deve ser exclusivo para cada serviço em sua conta. Os caracteres válidos são a-z, 0-9 e hifens (-). Você não pode usar um hífen como primeiro ou último caractere, nem imediatamente após outro hífen. Não é possível alterar o nome de um receptor após criá-lo.
1. Escolha um protocolo e, em seguida, insira um número de porta.
1. Em **Ação padrão**, escolha o grupo de destino do VPC Lattice para receber tráfego e escolha o peso a ser atribuído a esse grupo de destino. Opcionalmente, você poderá adicionar outro grupo de destino para a ação padrão. Escolha **Adicionar ação** e, em seguida, escolha outro grupo de destino e especifique seu peso.
1. (Opcional) Para adicionar outra regra, escolha **Adicionar regra** e insira um nome, uma prioridade, uma condição e uma ação para a regra.
Você pode atribuir um número de prioridade entre 1 e 100 a cada regra. Um listener não pode ter várias regras com a mesma prioridade. As regras são avaliadas em ordem de prioridade, do valor mais baixo para o valor mais alto. A regra padrão é avaliada por último.
Em **Condição**, insira um padrão de caminho para a condição de correspondência de caminho. O tamanho máximo de cada string é de 200 caracteres. A comparação não diferencia maiúsculas de minúsculas.
1. (Opcional) Para adicionar tags, expanda **Tags de receptor**, escolha **Adicionar nova tag** e insira uma chave de tag e um valor de tag.
1. Para revisar sua configuração e criar o serviço, escolha **Pular para a análise e criação**. Caso contrário, escolha **Próximo** para associar seu serviço a uma rede de serviços.
## Etapa 3: criar associações de rede
Associe seu serviço a uma rede de serviços para que os clientes possam se comunicar com ele.
**Para associar um serviço a uma rede de serviços usando o console**
1. Para **Redes de serviços VPC Lattice**, selecione a rede de serviços. Para criar uma rede de serviços, escolha **Criar uma rede VPC Lattice**. É possível associar seu serviço a várias redes de serviços.
1. (Opcional) Para adicionar uma tag, expanda **Tags de associação de rede de serviços**, escolha **Adicionar nova tag** e insira uma chave de tag e um valor de tag.
1. Escolha **Próximo**.
## Etapa 4: revisar e criar
**Para revisar a configuração e criar o serviço usando o console**
1. Revise a configuração do seu serviço.
1. Escolha **Editar** se precisar modificar qualquer parte da configuração do serviço.
1. Quando terminar de revisar ou editar sua configuração, escolha **Criar serviço VPC Lattice**.
1. Se você tiver especificado um nome de domínio personalizado para o serviço, será necessário configurar o roteamento de DNS após a criação do serviço. Para obter mais informações, consulte [Configure um nome de domínio personalizado para seu serviço VPC Lattice](service-custom-domain-name.md).
# Gerenciar associações de um serviço do VPC Lattice
Quando você associa um serviço à rede de serviços, ele permite que os clientes (recursos em uma VPC associada à rede de serviços) façam solicitações a esse serviço. Você pode associar serviços que estejam em sua conta ou serviços que sejam compartilhados com você de contas diferentes. Essa etapa é opcional na criação do serviço. No entanto, após a criação, o serviço não poderá se comunicar com outros serviços até que você o associe a uma rede de serviços. Os proprietários do serviço podem associar seus serviços à rede de serviços se a conta tiver o acesso necessário. Para obter mais informações, consulte [Funcionamento do VPC Lattice](how-it-works.md).
**Para gerenciar associações de rede de serviços usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Serviços**.
1. Selecione o nome do serviço para abrir sua página de detalhes.
1. Escolha a guia **Associações de rede de serviços**.
1. Para criar uma associação, faça o seguinte:
1. Escolha **Criar associações**.
1. Selecione uma rede de serviços nas **Redes de serviços VPC Lattice**. Para criar uma rede de serviços, escolha **Criar uma rede VPC Lattice**.
1. (Opcional) Para adicionar uma tag, expanda **Tags de associação de serviço**, escolha **Adicionar nova tag** e insira uma chave de tag e um valor de tag.
1. Escolha **Salvar alterações**.
1. Para excluir uma associação, marque a caixa de seleção da associação e escolha **Ações**, **Excluir associações de rede**. Quando a confirmação for solicitada, insira **confirm** e selecione **Excluir**.
**Para criar uma associação de rede de serviços usando o AWS CLI**
Use o comando [create-service-network-service-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-service-association.html).
**Para excluir uma associação de rede de serviços usando o AWS CLI**
Use o comando [delete-service-network-service-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-service-association.html).
# Editar as configurações de acesso para um serviço VPC Lattice
As configurações de acesso permitem que você configure e gerencie o acesso do cliente a um serviço. As configurações de acesso incluem *tipo de autenticação* e *políticas de autenticação*. As políticas de autenticação ajudam você a autenticar e autorizar o fluxo de tráfego para serviços no VPC Lattice.
Você pode aplicar políticas de autenticação no nível da rede de serviços, no nível do serviço ou em ambos. No nível do serviço, os proprietários do serviço podem aplicar controles refinados, que podem ser mais restritivos. Normalmente, as políticas de autenticação são aplicadas pelos proprietários da rede ou administradores da nuvem. Eles podem implementar uma autorização específica, por exemplo, permitindo chamadas autenticadas de dentro da organização ou permitindo solicitações GET anônimas que correspondam a uma determinada condição. Para obter mais informações, consulte [Controle o acesso aos serviços do VPC Lattice usando políticas de autenticação](auth-policies.md).
**Para adicionar ou atualizar políticas de acesso usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Serviços**.
1. Selecione o nome do serviço para abrir sua página de detalhes.
1. Escolha a guia **Acesso** para verificar as configurações de acesso atuais.
1. Para atualizar as configurações de acesso, escolha **Editar configurações de acesso**.
1. Se você quiser que os clientes VPCs na rede de serviços associada acessem seu serviço, escolha **Nenhum** para o **tipo de autenticação**.
1. Para aplicar uma política de recursos para controlar o acesso ao serviço, escolha **AWS IAM** em **Tipo de autenticação** e faça o seguinte para a **Política de autenticação**:
+ Insira uma política no campo de entrada. Para exemplos de políticas que você pode copiar e colar, escolha **Exemplos de política**.
+ Escolha **Aplicar modelo de política** e selecione o modelo **Permitir acesso autenticado e não autenticado**. Esse modelo permite que um cliente de outra conta acesse o serviço assinando a solicitação (ou seja, autenticado) ou anonimamente (ou seja, não autenticado).
+ Escolha **Aplicar modelo de política** e selecione o modelo **Permitir apenas acesso autenticado**. Esse modelo permite que um cliente de outra conta acesse o serviço exclusivamente assinando a solicitação (ou seja, autenticado).
1. Escolha **Salvar alterações**.
**Para adicionar ou atualizar uma política de acesso usando o AWS CLI**
Use o comando [put-auth-policy](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/put-auth-policy.html).
# Editar os detalhes de monitoramento de um serviço VPC Lattice
O VPC Lattice gera métricas e logs para cada solicitação e resposta, tornando mais eficiente monitorar e solucionar problemas de aplicações.
Você pode habilitar os logs de acesso e especificar o recurso de destino para seus logs. O VPC Lattice pode enviar registros para os seguintes recursos: grupos de CloudWatch registros, fluxos de entrega do Firehose e buckets do S3.
**Para habilitar logs de acesso ou atualizar um destino de log usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Serviços**.
1. Selecione o nome do serviço para abrir sua página de detalhes.
1. Escolha a guia **Monitor** e **Logs**. Verifique **Logs de acesso** para ver se os logs de acesso estão habilitados.
1. Para habilitar ou desabilitar os logs de acesso, escolha **Editar logs de acesso** e, em seguida, ative ou desative a opção **Logs de acesso**.
1. Ao habilitar os logs de acesso, você deverá selecionar o tipo de destino de entrega e, em seguida, criar ou escolher o destino para os logs de acesso. Você também pode alterar o destino da entrega a qualquer momento. Por exemplo:
+ Selecione **Grupo de CloudWatch registros** e escolha um grupo de CloudWatch registros. Para criar um grupo de registros, escolha **Criar um grupo de registros em CloudWatch**.
+ Selecione o **bucket do S3** e insira o caminho do bucket do S3, incluindo qualquer prefixo. Para pesquisar seus buckets do S3, escolha **Procurar S3**.
+ Em **Fluxo de entrega do Kinesis Data Firehose**, selecione um fluxo de entrega. Para criar um fluxo de entrega, escolha **Criar um fluxo de entrega no Kinesis**.
1. Escolha **Salvar alterações**.
**Para habilitar os registros de acesso usando o AWS CLI**
Use o comando [create-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-access-log-subscription.html).
**Para atualizar o destino do registro usando o AWS CLI**
Use o comando [update-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/update-access-log-subscription.html).
**Para desativar os registros de acesso usando o AWS CLI**
Use o comando [delete-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-access-log-subscription.html).
# Gerenciar tags de um serviço VPC Lattice
As tags ajudam a categorizar seu serviço de diferentes formas, por exemplo, por finalidade, por proprietário ou por ambiente.
Você pode adicionar várias tags a cada serviço. As chaves de tag devem ser exclusivas para cada serviço. Se você adicionar uma tag com uma chave que já esteja associada ao serviço, ela atualizará o valor dessa tag. É possível usar caracteres como letras, espaços, números (em UTF-8) e os seguintes caracteres especiais: \$1 - = . \$1 : / @. Não use espaços no início nem no fim. Os valores de tags não diferenciam maiúsculas de minúsculas.
**Para adicionar ou excluir tags usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Serviços**.
1. Selecione o nome do serviço para abrir sua página de detalhes.
1. Escolha a guia **Tags**.
1. Para adicionar uma tag, escolha **Adicionar tags** e insira a chave e o valor da tag. Para adicionar outra tag, escolha **Adicionar nova tag** novamente. Quando terminar de adicionar etiquetas, escolha **Save changes** (Salvar alterações).
1. Para excluir uma tag, marque a caixa de seleção da tag e escolha **Excluir**. Quando a confirmação for solicitada, insira **confirm** e selecione **Excluir**.
**Para adicionar ou excluir tags usando o AWS CLI**
Use os comandos [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/tag-resource.html) e [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/untag-resource.html).
# Configure um nome de domínio personalizado para seu serviço VPC Lattice
Quando você cria um novo serviço, o VPC Lattice gera um nome de domínio totalmente qualificado (FQDN) exclusivo para o serviço com a seguinte sintaxe.
```
service_name-service_id.partition_id.vpc-lattice-svcs.region.on.aws
```
No entanto, os nomes de domínio que o VPC Lattice fornece não são fáceis de lembrar para seus usuários. Os nomes de domínio personalizados são mais simples e intuitivos do URLs que você pode fornecer aos seus usuários. Se você preferir usar um nome de domínio personalizado para seu serviço, como `www.parking.example.com`, em vez do nome DNS gerado pelo VPC Lattice, você poderá configurá-lo ao criar um serviço VPC Lattice. Quando um cliente fizer uma solicitação usando seu nome de domínio personalizado, o servidor de DNS o resolverá para o nome de domínio gerado pelo VPC Lattice.
**Pré-requisitos**
+ Você deve ter um nome de domínio registrado para o seu serviço. Se ainda não tiver um nome de domínio registrado, você poderá registrar um por meio do Amazon Route 53 ou em dezenas de outros registradores comerciais.
+ Para receber solicitações HTTPS, você deverá fornecer seu próprio certificado no AWS Certificate Manager. O VPC Lattice não oferece suporte a um certificado padrão como alternativa. Portanto, se você não fornecer um SSL/TLS certificado correspondente ao seu nome de domínio personalizado, todas as conexões HTTPS com seu nome de domínio personalizado falharão. Para obter mais informações, consulte [Traga seu próprio certificado (BYOC) para o VPC Lattice](service-byoc.md).
**Limitações e considerações**
+ Você não pode ter mais de um nome de domínio personalizado para um serviço.
+ Você não pode modificar o nome de domínio personalizado após criar o serviço.
+ O nome de domínio personalizado deve ser exclusivo para uma rede de serviços. Isso significa que um serviço não poderá ser criado com um nome de domínio personalizado que já exista (para outro serviço) na mesma rede de serviços.
O procedimento a seguir mostra como configurar um nome de domínio personalizado para seu serviço.
------
#### [ Console de gerenciamento da AWS ]
**Para configurar um nome de domínio personalizado para seu serviço**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Serviço**.
1. Escolha **Criar serviço**. Você seguirá para a **Etapa 1: criar um serviço**.
1. Na seção **Configuração de domínio personalizado**, escolha **Especificar uma configuração de domínio personalizado**.
1. Insira o nome de domínio personalizado.
1. Para atender às solicitações HTTPS, selecione o SSL/TLS certificado correspondente ao seu nome de domínio personalizado em ** SSL/TLS Certificado personalizado**. Se você ainda não tiver um certificado ou não quiser adicionar um agora, poderá adicionar um certificado ao criar seu receptor HTTPS. No entanto, sem um certificado, seu nome de domínio personalizado não poderá atender às solicitações HTTPS. Para obter mais informações, consulte [Adicionar um receptor HTTPS](https-listeners.md#add-https-listener).
1. Quando terminar de adicionar todas as outras informações para criar o serviço, escolha **Criar**.
------
#### [ AWS CLI ]
**Para configurar um nome de domínio personalizado para seu serviço**
Use o comando [create-service](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service.html).
```
aws vpc-lattice create-service --name service_name --custom-domain-name your_custom_domain_name --type https --certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012
```
No comando acima, insira um nome para o serviço em `--name`. Em `--custom-domain-name`, insira o nome de domínio do seu serviço, como `parking.example.com`. Em `--certificate-arn`, insira o ARN do seu certificado no ACM. O ARN do certificado está disponível em AWS Certificate Manager na sua conta.
------
## Associe um nome de domínio personalizado ao seu serviço
Primeiro, se você ainda não tiver feito isso, registre seu nome de domínio personalizado. A Sociedade Internet para a Atribuição de Nomes e Números (ICANN, Internet Corporation for Assigned Names and Numbers) gerencia nomes de domínio na Internet. Você registra um nome de domínio usando um *registrador de nomes de domínio*, uma organização chancelada pela ICANN que gerencia o registro dos nomes de domínio. O site do registrador fornecerá instruções detalhadas e informações sobre a definição de preço para registrar o nome de domínio. Para saber mais, consulte os seguintes recursos:
+ Para usar o Amazon Route 53 para registrar um nome de domínio, consulte [Registrar nomes de domínio com o Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html) no *Guia do desenvolvedor do Amazon Route 53*.
+ Para obter uma lista de registradores chancelados, consulte [Diretório de registradores chancelados](http://www.internic.net/regist.html).
Em seguida, use seu serviço de DNS, como seu registrador de domínio, para criar um registro para encaminhar consultas para seu serviço. Para obter mais informações, consulte a documentação do serviço DNS. Também é possível usar o Route 53 como seu serviço DNS.
Se você estiver usando o Route 53, poderá usar um registro de alias ou um registro CNAME para encaminhar consultas para seu serviço. Recomendamos que você use um registro de alias, pois você pode criar um registro de alias no nó superior de um namespace DNS, também conhecido como ápice da zona.
Se você estiver usando o Route 53, primeiro crie uma *zona hospedada*, que contém informações sobre como rotear o tráfego na Internet para seu domínio. Depois de criar a zona hospedada pública ou privada, crie um registro para que seu nome de domínio personalizado, por exemplo`parking.example.com`, seja mapeado para o nome de domínio gerado automaticamente pelo VPC Lattice, por exemplo,. `my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws` Sem esse mapeamento, seu nome de domínio personalizado não funcionará no VPC Lattice.
Os procedimentos a seguir mostram como criar uma zona hospedada pública ou privada usando o Route 53.
------
#### [ Console de gerenciamento da AWS ]
Para criar um registro de alias para rotear consultas para seu serviço usando o Route 53, consulte [Roteamento de tráfego para o endpoint de domínio do serviço Amazon VPC Lattice](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-vpc-lattice-service.html).
**Use o nome de domínio gerado pelo VPC Lattice para seu serviço, por exemplo`my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws`, para o Value.** Você pode encontrar esse nome de domínio gerado automaticamente no console do VPC Lattice na sua página de serviço.
------
#### [ AWS CLI ]
**Para criar um registro de alias na sua zona hospedada**
1. Obtenha o nome de domínio gerado pelo VPC Lattice para seu serviço (por exemplo,). `my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws`
1. Para definir o alias, execute o seguinte comando.
```
aws route53 change-resource-record-sets --hosted-zone-id your-hosted-zone-ID --change-batch file://~/Desktop/change-set.json
```
Para o arquivo `change-set.json`, crie um arquivo JSON com o conteúdo do exemplo de JSON a seguir e salve-o em sua máquina local. *file://\$1/Desktop/change-set.json*Substitua o comando acima pelo caminho do arquivo JSON salvo em sua máquina local. Observe que “Type” no JSON a seguir pode ser um tipo de registro A ou AAAA.
```
{
"Comment": "my-custom-domain-name.com alias",
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "my-custom-domain-name.com",
"Type": "alias-record-type",
"AliasTarget": {
"HostedZoneId": "your-hosted-zone-ID",
"DNSName": "lattice-generated-domain-name",
"EvaluateTargetHealth": true
}
}
}
]
}
```
------
# Traga seu próprio certificado (BYOC) para o VPC Lattice
Para atender às solicitações HTTPS, você deve ter seu próprio SSL/TLS certificado pronto AWS Certificate Manager (ACM) antes de configurar um nome de domínio personalizado. Esses certificados devem ter um Subject Alternate Name (SAN – Nome alternativo do assunto) ou Common Name (CN – Nome comum) que corresponda ao nome de domínio personalizado do seu serviço. Se houver um SAN presente, verificaremos se há uma correspondência somente na lista de SAN. Se não houver um SAN, verificaremos se há uma correspondência no CN.
O VPC Lattice atenderá às solicitações HTTPS usando a Server Name Indication (SNI – Indicação de nome de servidor). O DNS encaminhará a solicitação HTTPS para seu serviço VPC Lattice com base no nome de domínio personalizado e no certificado correspondente a esse nome de domínio. *Para solicitar um SSL/TLS certificado para um nome de domínio no ACM ou importar um para o ACM, consulte [Emissão e gerenciamento de certificados e [Importação de certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) no Guia do usuário.AWS Certificate Manager * Se você não puder solicitar ou importar seu próprio certificado no ACM, use o nome de domínio e o certificado gerados pelo VPC Lattice.
O VPC Lattice só aceita um certificado personalizado por serviço. No entanto, você pode usar um certificado personalizado para vários domínios personalizados. Isso significa que você poderá usar o mesmo certificado para todos os serviços VPC Lattice criados com um nome de domínio personalizado.
Para visualizar seu certificado usando o console do ACM, abra **Certificados** e selecione seu ID de certificado. Você deverá ver o serviço VPC Lattice associado a esse certificado em **Recurso associado**.
**Limitações e considerações**
+ O VPC Lattice permite combinações de caracteres curinga com um nível de profundidade no nome alternativo do assunto (SAN) ou no nome comum (CN) do certificado associado. Por exemplo, se você criar um serviço com o nome de domínio personalizado `parking.example.com` e associar seu próprio certificado ao SAN `*.example.com`. Quando uma solicitação chegar para `parking.example.com`, o VPC Lattice combinará o SAN com qualquer nome de domínio com o domínio apex `example.com`. No entanto, se você tiver o domínio personalizado `parking.different.example.com` e seu certificado tiver o SAN `*.example.com`, a solicitação falhará.
+ O VPC Lattice oferece suporte a um nível de correspondência de domínio curinga. Isso significa que um curinga só pode ser usado como um subdomínio de primeiro nível e que protege apenas um nível de subdomínio. Por exemplo, se o SAN do seu certificado for `*.example.com`, não haverá suporte para `parking.*.example.com`.
+ O VPC Lattice oferece suporte a um curinga por nome de domínio. Isso significa que `*.*.example.com` não é válido. Para obter mais informações, consulte [Solicitar um certificado público](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console) no *Guia do usuário do AWS Certificate Manager *.
+ O VPC Lattice é compatível somente com certificados com chaves RSA de 2.048 bits.
+ O SSL/TLS certificado no ACM deve estar na mesma região do serviço VPC Lattice ao qual você o está associando.
## Como proteger a chave privada do seu certificado
Quando você solicita um SSL/TLS certificado usando o ACM, o ACM gera um par de public/private chaves. Ao importar um certificado, você gera o par de chaves. A chave pública se torna parte do certificado. **Para armazenar com segurança a chave privada, o ACM cria outra chave usando AWS KMS, chamada de chave KMS, com o alias aws/acm.** AWS KMS usa essa chave para criptografar a chave privada do seu certificado. Para obter mais informações, consulte [Proteção de dados no AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/data-protection.html), no *Guia do usuário do AWS Certificate Manager *.
O VPC Lattice usa o Gerenciador de AWS Conexões TLS, um serviço que só pode ser acessado por Serviços da AWS, para proteger e usar as chaves privadas do seu certificado. Quando você usa seu certificado ACM para criar um serviço VPC Lattice, o VPC Lattice associa seu certificado ao Gerenciador de Conexões TLS. AWS Fazemos isso criando uma concessão em AWS KMS relação à sua chave AWS gerenciada. Essa concessão permite que o Gerenciador de Conexões TLS use AWS KMS para descriptografar a chave privada do seu certificado. O TLS Connection Manager usará o certificado e a chave privada descriptografada (texto simples) para estabelecer uma conexão segura (sessão SSL/TLS) com clientes de serviços do VPC Lattice. Quando o certificado for desassociado de um serviço VPC Lattice, a concessão será removida. Para obter mais informações, consulte [Concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no *Guia do desenvolvedor do AWS Key Management Service *.
Para obter mais informações, consulte [Criptografia em repouso](data-protection.md#encryption-rest).
# Excluir um serviço VPC Lattice
Para excluir um serviço VPC Lattice, primeiro você deverá excluir todas as associações que o serviço possa ter com qualquer rede de serviços. Se você excluir um serviço, todos os recursos relacionados ao serviço, como política de recursos, política de autenticação, receptores, regras de receptor e assinaturas de registros de acesso, também serão excluídos.
**Para excluir um serviço usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **VPC Lattice**, escolha **Serviço**.
1. Na página **Serviços**, selecione o serviço que você deseja excluir e, em seguida, escolha **Ações**, **Excluir serviço**.
1. Quando a confirmação for solicitada, escolha **Excluir**.
**Para excluir um serviço usando o AWS CLI**
Use o comando [delete-service](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service.html).