Tipos de configurações de recursos Gateway de recursos Nomes de domínio personalizados para provedores de recursos Nomes de domínio personalizados para consumidores de recursos Nomes de domínio personalizados para proprietários de redes de serviços Definição de recurso Protocolo Intervalo de portas Acesso a recursos da Associação com tipo de rede de serviço Tipos de redes de serviço Compartilhando configurações de recursos por meio de AWS RAM Monitoramento

Configuração de recurso para recursos de VPC

Uma configuração de recurso representa um recurso ou um grupo de recursos que você deseja tornar acessível aos clientes em outras VPCs e contas. Definindo uma configuração de recurso, você pode permitir conectividade de rede privada, segura e unidirecional de clientes em outras VPCs e contas com os recursos de sua VPC. Uma configuração de recursos é associada a um gateway de recursos pelo qual recebe tráfego.

Conteúdo

Tipos de configurações de recursos
Gateway de recursos
Nomes de domínio personalizados para provedores de recursos
Nomes de domínio personalizados para consumidores de recursos
Nomes de domínio personalizados para proprietários de redes de serviços
Definição de recurso
Protocolo
Intervalo de portas
Acesso a recursos da
Associação com tipo de rede de serviço
Tipos de redes de serviço
Compartilhando configurações de recursos por meio de AWS RAM
Monitoramento
Criar uma configuração de recurso
Gerenciar associações

Tipos de configurações de recursos

Um configuração de recurso pode ser de vários tipos. Os diferentes tipos ajudam a representar diferentes tipos de recursos. Os tipos são:

Configuração de recurso único: um endereço IP ou um nome de domínio. Ela pode ser compartilhada de modo independente.
Configuração de recurso de grupo: um conjunto de configurações de recursos secundárias. Ela pode ser compartilhada de modo independente.
Configuração de recurso secundária: um membro de uma configuração de recurso de grupo. Representa um endereço IP ou um nome de domínio. Ela não pode ser compartilhada de modo independente, só pode ser compartilhada como parte de um grupo. Pode ser adicionada e removida de um grupo facilmente. Quando adicionada, pode ser acessada automaticamente por quem pode acessar o grupo.
Configuração do recurso ARN: representa um tipo de recurso suportado que é provisionado por um serviço. AWS Por exemplo, um banco de dados do Amazon RDS. As configurações de recursos secundárias são gerenciadas automaticamente pela AWS.

Gateway de recursos

Uma configuração de recurso é associada a um gateway de recursos. Um gateway de recursos é um conjunto de ENIs que serve como ponto de entrada na VPC em que o recurso se encontra. Várias configurações de recursos podem ser associadas ao mesmo gateway de recursos. Quando clientes em outras VPCs ou contas acessam um recurso em sua VPC, o recurso vê o tráfego vindo localmente do gateway de recursos nessa VPC.

Nomes de domínio personalizados para provedores de recursos

Os provedores de recursos podem anexar um nome de domínio personalizado a uma configuração de recursos, comoexample.com, por exemplo, qual recurso os consumidores podem usar para acessar a configuração do recurso. O nome de domínio personalizado pode pertencer e ser verificado pelo provedor de recursos, ou pode ser de um terceiro ou de um AWS domínio. Os provedores de recursos podem usar configurações de recursos para compartilhar clusters de cache e clusters, TLS-based aplicativos ou outros recursos do Kafka. AWS

As considerações a seguir se aplicam aos fornecedores de configurações de recursos:

Uma configuração de recurso só pode ter um domínio personalizado.
O nome de domínio personalizado de uma configuração de recurso não pode ser alterado.
O nome de domínio personalizado é visível para todos os consumidores de configuração de recursos.
Você pode verificar seu nome de domínio personalizado usando o processo de verificação de nome de domínio no VPC Lattice. Para obter mais informações, consultehttps://docs.aws.amazon.com/vpc-lattice/latest/ug/create-and-verify.html.
Para configurações de recursos do tipo grupo e filho, você deve primeiro especificar um domínio de grupo na configuração de recursos do grupo. Depois, as configurações de recursos secundários podem ter domínios personalizados que são subdomínios do domínio do grupo. Se o grupo não tiver um domínio de grupo, você poderá usar qualquer nome de domínio personalizado para o filho, mas o VPC Lattice não provisionará nenhuma zona hospedada para os nomes de domínio secundário na VPC do consumidor do recurso.

Nomes de domínio personalizados para consumidores de recursos

Quando os consumidores de recursos habilitam a conectividade com uma configuração de recurso que tem um nome de domínio personalizado, eles podem permitir que o VPC Lattice gerencie uma zona hospedada privada do Route 53 em sua VPC. Os consumidores de recursos têm opções granulares para quais domínios desejam permitir que o VPC Lattice gerencie zonas hospedadas privadas.

Os consumidores de recursos podem definir o private-dns-enabled parâmetro ao habilitar a conectividade às configurações de recursos por meio de um endpoint de recursos, de um endpoint de rede de serviços ou de uma associação VPC de rede de serviços. Junto com o private-dns-enabled parâmetro, os consumidores podem usar as opções de DNS para especificar para quais domínios desejam que o VPC Lattice gerencie zonas hospedadas privadas. Os consumidores podem escolher entre as seguintes preferências de DNS privado:

ALL_DOMAINS: O VPC Lattice provisiona zonas hospedadas privadas para todos os nomes de domínio personalizados.
VERIFIED_DOMAINS_ONLY: O VPC Lattice provisiona uma zona hospedada privada somente se o nome de domínio personalizado tiver sido verificado pelo provedor.
VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS: O VPC Lattice provisiona zonas hospedadas privadas para todos os nomes de domínio personalizados verificados e outros nomes de domínio especificados pelo consumidor do recurso. O consumidor do recurso especifica os nomes de domínio no private DNS specified domains parâmetro.
SPECIFIED_DOMAINS_ONLY: O VPC Lattice provisiona uma zona hospedada privada para nomes de domínio especificados pelo consumidor do recurso. O consumidor do recurso especifica os nomes de domínio no private DNS specified domains parâmetro.

Quando você ativa o DNS privado, o VPC Lattice cria uma zona hospedada privada em sua VPC para o nome de domínio personalizado associado à configuração do recurso. Por padrão, a preferência de DNS privado é definida como. VERIFIED_DOMAINS_ONLY Isso significa que as zonas hospedadas privadas são criadas somente se o nome de domínio personalizado tiver sido verificado pelo provedor de recursos. Se você definir sua preferência de DNS privado como ALL_DOMAINS ouSPECIFIED_DOMAINS_ONLY, em seguida, o VPC Lattice cria zonas hospedadas privadas, independentemente do status de verificação do nome de domínio personalizado. Quando uma zona hospedada privada é criada para um determinado domínio, todo o tráfego da sua VPC para esse domínio é roteado pela VPC Lattice. Recomendamos que você use as SPECIFIED_DOMAINS_ONLY preferênciasALL_DOMAINS,VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS, ou somente quando quiser que o tráfego para esses nomes de domínio personalizados passe pelo VPC Lattice.

Recomendamos que os consumidores de recursos definam suas preferências de DNS privado comoVERIFIED_DOMAINS_ONLY. Isso permite que os consumidores aumentem seu perímetro de segurança, permitindo apenas que a VPC Lattice provisione zonas hospedadas privadas para domínios verificados na conta do consumidor do recurso.

Para selecionar domínios nos domínios específicos do DNS privado, os consumidores de recursos podem inserir um nome de domínio totalmente qualificado, como, my.example.com ou usar um caractere curinga, como. *.example.com

As considerações a seguir se aplicam aos consumidores de configurações de recursos:

O parâmetro DNS privado habilitado não pode ser alterado.
O DNS privado deve estar habilitado em uma associação de recursos de rede de serviços para que uma hospedagem privada seja criada em uma VPC. Para uma configuração de recursos, o status habilitado para DNS privado da associação de recursos de rede de serviços substitui o status habilitado para DNS privado do endpoint da rede de serviços ou da associação VPC da rede de serviços.

Para configurações de recursos que são destinos de nome de domínio, uma entrada de zona hospedada privada não é criada se o seguinte for verdadeiro:

O gateway de recursos está na mesma VPC que a associação VPC da rede de serviços VPC da endpoint/service rede VPC.
A resolução de DNS é definida como IN_VPC no gateway de recursos.
O nome de domínio personalizado ou domínio de grupo é o mesmo domínio ou um domínio de nível superior do destino do nome de domínio.

Nomes de domínio personalizados para proprietários de redes de serviços

A propriedade habilitada para DNS privado da associação de recursos da rede de serviços substitui a propriedade habilitada para DNS privado do endpoint da rede de serviços e a associação VPC da rede de serviços.

Se o proprietário de uma rede de serviços criar uma associação de recursos de rede de serviços e não habilitar o DNS privado, o VPC Lattice não provisionará zonas hospedadas privadas para essa configuração de recursos em nenhuma VPC à qual a rede de serviços esteja conectada, mesmo que o DNS privado esteja habilitado no endpoint da rede de serviços ou nas associações VPC da rede de serviços.

Para configurações de recursos do tipo ARN, o sinalizador DNS privado é verdadeiro e imutável.

Definição de recurso

Na configuração do recurso, identifique o recurso de uma das seguintes maneiras:

Por um nome de recurso da Amazon (ARN): os tipos de recursos compatíveis que são provisionados por AWS serviços podem ser identificados por seu ARN. Somente os bancos de dados do Amazon RDS são compatíveis. Você não pode criar uma configuração de recurso para um cluster acessível publicamente.
Por um alvo de nome de domínio: você pode usar qualquer nome de domínio. Se você usa um servidor DNS privado ou seu domínio está em uma zona hospedada privada do Route53, o gateway de recursos deve ter a resolução DNS definida como IN_VPC. Se o nome de domínio apontar para um IP fora de sua VPC, você deverá ter um gateway NAT em sua VPC.
Por um IP-address: Para IPv4, especifique um IP privado dos seguintes intervalos: 10.0.0. 0/8, 10.64.0. 0/10, 172.16.0. 0/12, 192.168.0. 0/16. Para IPv6, especifique um IP da VPC. IPs públicos não são compatíveis.

Protocolo

Quando você cria uma configuração de recurso, pode definir os protocolos com que o recurso será compatível. Atualmente, apenas o protocolo TCP é compatível.

Intervalo de portas

Quando você cria uma configuração de recurso, pode definir as portas em que aceitará solicitações. O acesso de cliente em outras portas não será permitido.

Acesso a recursos da

Os consumidores podem acessar as configurações de recursos diretamente de sua VPC usando um endpoint da VPC ou por uma rede de serviço. Como consumidor, você pode habilitar o acesso de sua VPC a uma configuração de recurso que esteja em sua conta ou que tenha sido compartilhada com você de outra conta pelo AWS RAM.

Acessar uma configuração de recurso diretamente

Você pode criar um AWS PrivateLink VPC endpoint do tipo resource (endpoint de recurso) na sua VPC para acessar uma configuração de recursos de forma privada a partir da sua VPC. Para obter mais informações sobre como criar um endpoint de recurso, consulte Accessing VPC resources no AWS PrivateLink User Guide.
Acessar uma configuração de recurso por uma rede de serviço

Você pode associar uma configuração de recurso a uma rede de serviço e conectar sua VPC à rede de serviço. Você pode conectar sua VPC à rede de serviços por meio de uma associação ou usando um endpoint VPC de AWS PrivateLink rede de serviços.

Para obter mais informações sobre associações de rede de serviço, consulte Manage the associations for a VPC Lattice service network.

Para obter mais informações sobre endpoints da VPC de rede de serviço, consulte Access service networks no AWS PrivateLink User Guide.

Quando DNS privado está habilitado para a VPC, você não pode criar um endpoint de recurso e um endpoint de rede de serviço para a mesma configuração de recurso.

Associação com tipo de rede de serviço

Quando você compartilha uma configuração de recursos com uma conta de consumidor, por exemplo,, Account-B por meio de AWS RAM, Account-B pode acessar a configuração do recurso diretamente por meio de um endpoint VPC de recursos ou por meio de uma rede de serviços.

Para acessar uma configuração de recursos por meio de uma rede de serviços, Account-B seria necessário associar a configuração do recurso a uma rede de serviços. As redes de serviço podem ser compartilhadas entre contas. Assim, Account-B podem compartilhar sua rede de serviços (à qual a configuração do recurso está associada) Account-C, tornando seu recurso acessível a partir de Account-C.

Para evitar esse compartilhamento transitivo, você pode especificar que a configuração de recurso não pode ser adicionada a redes de serviço que possam ser compartilhadas entre contas. Se você especificar isso, Account-B não será possível adicionar sua configuração de recursos às redes de serviços que são compartilhadas ou podem ser compartilhadas com outra conta no futuro.

Tipos de redes de serviço

Quando você compartilha uma configuração de recurso com outra conta, por exemplo Account-B, por meio de AWS RAM, Account-B pode acessar o recurso de uma das três maneiras:

Usando um endpoint da VPC do tipo recurso (endpoint da VPC de recurso).
Usando um endpoint da VPC do tipo rede de serviço (endpoint da VPC de rede de serviço).
Usando uma associação de VPC de rede de serviço.

Quando você usa uma associação de serviço-rede, cada recurso recebe um IP por sub-rede do 129.224.0. 0/17 bloco, que é AWS próprio e não roteável. Isso é além da lista de prefixos gerenciados que o VPC Lattice usa para rotear o tráfego para serviços pela rede do VPC Lattice. Esses dois IPs são atualizados para a tabela de rotas de sua VPC.

Para o endpoint VPC da rede de serviços e a associação VPC da rede de serviços, a configuração do recurso teria que ser colocada em uma rede de serviços em. Account-B As redes de serviço podem ser compartilhadas entre contas. Assim, Account-B podem compartilhar sua rede de serviços (que contém a configuração do recurso) com Account-C, tornando seu recurso acessível a partir de Account-C. Para evitar esse compartilhamento transitivo, você pode impedir que sua configuração de recursos seja adicionada às redes de serviços que podem ser compartilhadas entre contas. Se você não permitir isso, Account-B não poderá adicionar sua configuração de recursos a uma rede de serviços compartilhada ou que possa ser compartilhada com outra conta.

As configurações de recursos são integradas com o. AWS Resource Access Manager Você também pode compartilhar a configuração de recurso com outra conta pelo AWS RAM. Quando você compartilha uma configuração de recurso com uma AWS conta, os clientes dessa conta podem acessar o recurso de forma privada. Você pode compartilhar uma configuração de recurso usando um compartilhamento de recurso no AWS RAM.

Use o AWS RAM console para ver os compartilhamentos de recursos aos quais você foi adicionado, os recursos compartilhados que você pode acessar e as AWS contas que compartilharam recursos com você. Para obter mais informações, consulte Resources shared with you no AWS RAM User Guide.

Para acessar um recurso de outra VPC na mesma conta da configuração do recurso, você não precisa compartilhar a configuração do recurso por meio de. AWS RAM

Monitoramento

Você pode habilitar logs de monitoramento na configuração de recurso. Você pode escolher um destino para enviar os logs.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciar endpoints de recurso

Criar uma configuração de recurso