AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Come posso accedere a un'API Gateway API da un altro account AWS?

2 minuti di lettura

Desidero accedere a un'API Gateway Amazon API da un altro account AWS.

Risoluzione

Endpoint API pubblici

Puoi accedere agli endpoint pubblici di Gateway API (Regionali o ottimizzati per l'edge) direttamente dall'URL della fase API. Per esempio, https://0123456789.execute-api.{regione}.amazonaws.com/{nome-fase}.

Per accedere agli endpoint pubblici di Gateway API, puoi anche utilizzare un nome di dominio personalizzato in una zona ospitata pubblica.

Per ulteriori informazioni, vedi Come faccio a configurare un nome di dominio personalizzato per la mia API Gateway API?

Endpoint REST API privati

Per accedere agli endpoint REST API privati da Amazon Virtual Private Cloud (Amazon VPC), puoi utilizzare un endpoint VPC di interfaccia.

Per accedere a una REST API privata che si trova in un altro account, modifica la policy delle risorse per concedere autorizzazioni multi-account. Per associare l'endpoint VPC a un altro account, puoi anche utilizzare un nome di dominio personalizzato privato.

Per ulteriori informazioni, consulta Come posso utilizzare un endpoint VPC di interfaccia per accedere a una REST API privata del Gateway API in un altro account?

Utilizza l'autenticazione IAM

È necessaria una configurazione aggiuntiva per accedere a un'API Gateway API con accesso multi-account che utilizza l'autenticazione AWS Identity and Access Management (AWS IAM). Assicurati che l'entità IAM nell'account consumer disponga delle autorizzazioni per richiamare l'API tramite una policy basata sull'identità.

Al ruolo IAM dell'account di origine deve essere consentito l'accesso esplicito nella policy delle risorse, ad esempio come segue:

REST API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::CONSUMER-ACCOUNT-ID:user/USERNAME",
                    "CONSUMER-ACCOUNT-ID"
                ]
            },
            "Action": "execute-api:Invoke",
            "Resource": [
                "arn:aws:execute-api:YOUR-REGION:API-OWNER-ACCOUNT-ID:API-ID///*"
            ]
        }
    ]
}

Nota: sostituisci CONSUMER-ACCOUNT-ID, USERNAME, YOUR-REGION, API-OWNER-ACCOUNT-ID e API-ID con le tue variabili.

Per ulteriori informazioni, consulta Come posso attivare l'autenticazione IAM per le REST API in Gateway API?

API HTTP

L'opzione di utilizzare le policy delle risorse per fornire l'autenticazione IAM per più account non è disponibile per le API HTTP di API Gateway.

Puoi utilizzare l'azione API sts:AssumeRole per assumere un ruolo per l'account dell'API HTTP. Il ruolo assunto fornisce credenziali di sicurezza temporanee che puoi utilizzare per invocare l'API HTTP in un altro account.

Per ulteriori informazioni, consulta Come posso fornire l'autorizzazione IAM multi-account per le API HTTP di Gateway API?

Informazioni correlate

API REST private in API Gateway

Esempio: consentire ai ruoli di un altro account AWS di utilizzare un'API

Argomenti: Serverless Front-End Web & Mobile Networking & Content Delivery
Tag: Amazon API Gateway
Lingua: Italiano

AWS UFFICIALEAggiornata 8 mesi fa