Configuration d'une connexion privée à AWS

Utilisez AWS PrivateLink pour créer des points de terminaison d'interface VPC qui se connectent aux services de points de terminaison hébergés par Amazon Web Services, permettant ainsi une connexion privée à votre API Connect Enterprise as a Service instance.

Remarque : cette fonctionnalité nécessite l'installation d' Premium subscription API Connect Enterprise as a Service.

Vous pouvez configurer des connexions privées entrantes et des connexions privées sortantes, voire les deux types de connexions si nécessaire. Il n'est pas nécessaire de configurer les différentes connexions dans un ordre particulier. Lorsque vous configurez une connexion privée, elle est disponible pour tous les catalogues de l' API Connect Enterprise as a Service instance.

Remarque : la connectivité privée prend en charge une connexion entrante et jusqu'à trois connexions sortantes par instance, ce qui offre une plus grande souplesse pour les configurations de réseau complexes.

Configurer une connexion privée entrante (connecter AWS à vos API)

  1. Se connecter à API Connect Enterprise as a Service.
  2. Dans le bandeau de la page, cliquez sur API Connect Paramètres de l'instance.
  3. Dans le panneau Paramètres de l'instance, cliquez sur le bouton Ajouter en regard de l'option Connectivité privée.
  4. Sur la page Créer une connexion de connectivité privée, cliquez sur Entrant.
  5. Saisissez un nom personnalisé ou le nom par défaut fourni dans le champ Nom.
  6. Cliquez sur Suivant.
    Remarque : à ce stade, la connexion est créée mais n'est pas complètement configurée. Si vous fermez la fenêtre de configuration sans avoir terminé la configuration, vous pouvez poursuivre la configuration à partir du tableau de données du panneau de configuration de l'instance. Pour poursuivre la configuration, cliquez sur l'icône du menu d'options Icône d'options à côté de la connexion répertoriée dans le tableau de données, puis cliquez sur Continuer.
  7. Sur la page Configurer la connexion entrante, créez une connexion AWS PrivateLink pour permettre un accès privé à vos API à partir de votre compte AWS en suivant les étapes suivantes :
    1. Sur la page Détails du compte, entrez votre AWS ARN de compte dans le champ ARN du consommateur de service, puis cliquez sur Suivant.

      L'entité qui crée le point de terminaison VPC dans le compte client doit être préapprouvée pour accéder au service de point de terminaison VPC dans le compte API Connect . Il peut s'agir d'un rôle de service, d'un rôle d'utilisateur ou même de l'ARN racine du compte client. Pour plus d'informations, voir Configurer un service d'extrémité dans la documentation AWS.

    2. Sur la page de l' infrastructure, attendez que l'état devienne "Infrastructure terminée", puis cliquez sur Suivant.
    3. Copier les valeurs: Sur la page Connectivité, copiez les valeurs Nom du service et Nom du DNS privé pour les utiliser à l'étape suivante, puis cliquez sur Finir.
  8. Dans AWS, configurez un point d'extrémité VPC.
    1. Connectez-vous à votre compte sur AWS.
    2. Ouvrez la page VPC > Points de terminaison > Créer un point de terminaison et complétez les paramètres suivants :
      Zone Valeur
      Paramètres du point de terminaison : Étiquette de nom Facultatif. Fournissez une balise de nom qui décrit votre nouveau point de terminaison.
      Paramètres du point de terminaison : Catégorie de service Sélectionner Autres services de point de terminaison.
      Paramètres des services : Nom du service Collez le nom du service que vous avez copié à partir du Nom du service champ dans le Connectivité page dansAPI Connect .
    3. Cliquez sur Créer un point de terminaison.
    4. Cliquez sur Vérifier le service.
    5. Ouvrez la page Route53 > Zones hébergées > Créer une zone hébergée et complétez les paramètres suivants :
      Zone Valeur
      Nom de domaine Collez la valeur DNS privée que vous avez copiée depuis le Nom DNS privé champ dans le Connectivité page dansAPI Connect .
      Description Facultatif. Fournissez une description du domaine.
      Type Sélectionner Zone hébergée privée.
    6. Cliquez sur Créer une zone hébergée.
    7. Ouvrez la page Route53 > Hosted zones > <votre-nom-de-dns-privé> > Créer un enregistrement et complétez les paramètres suivants :
      Zone Valeur
      Nom d'enregistrement Collez le préfixe du nom DNS privé ; par exemple, "api-ibm".
      Type d'enregistrement Sélectionner le genre A - Achemine le trafic vers un IPv4 adresse et quelques AWS ressources.
      Alias Activer l'utilisation d'un alias.
      Acheminer le trafic vers Il y a 2 champs à remplir pour ce paramètre :
      • Dans le premier champ, sélectionnez Alias vers le point de terminaison d'un VPC.
      • Dans le deuxième champ, sélectionnez votre région ; Par exemple, Est des États-Unis (N. Virginie) .
      Politique de routage Sélectionner Routage simple.
      Évaluer la santé de la cible Activez ce paramètre (réglez-le sur Oui).
    8. Cliquez sur Créer un enregistrement.

Configurer une connexion privée sortante (connecter vos API à AWS) :

  1. Se connecter à API Connect Enterprise as a Service.
  2. Dans le bandeau de la page, cliquez sur API Connect paramètres de l'instance.
  3. Dans le panneau Paramètres de l'instance, cliquez sur le bouton Ajouter en regard de l'option Connectivité privée.
  4. Sur la page Créer une connexion de connectivité privée, cliquez sur Sortie.
  5. Saisissez un nom personnalisé ou le nom par défaut fourni dans le champ Nom.
  6. Cliquez sur Suivant.
    Remarque : à ce stade, la connexion est créée mais n'est pas complètement configurée. Si vous fermez la fenêtre de configuration sans avoir terminé la configuration, vous pouvez poursuivre la configuration à partir du tableau de données du panneau de configuration de l'instance. Pour poursuivre la configuration, cliquez sur l'icône du menu d'options Icône d'options à côté de la connexion répertoriée dans le tableau de données, puis cliquez sur Continuer.
  7. Sur la page Créer un service d'extrémité privé, cliquez sur Guide pour la création d'un service d'extrémité VPC et effectuez les étapes suivantes :
    1. Utilisez l'assistant dans AWS pour créer le service de point de terminaison privé. Pour plus d'informations, voir Créer un service d'extrémité dans la documentation AWS.
    2. Valeur de copie : Copiez le nom du nouveau service de point de terminaison, affiché dans le Nom champ sur le Services de point de terminaison page de l'assistant. Vous utiliserez cette valeur à l’étape suivante.
    3. Une fois l'assistant terminé, revenez à l'écran Créer un service de point de terminaison privé page dansAPI Connect et cliquez Suivant.
  8. Sur la page Entrer les détails du service d'extrémité, tapez ou collez le nom du service d'extrémité VPC (que vous avez copié depuis l'assistant) dans le champ Nom du service d'extrémité privé, puis cliquez sur Suivant.
  9. Sur la page Pre-autorisation AWS principal, effectuez les étapes suivantes pour autoriser AWS à accéder à votre service APIC :
    1. Valeur de copie : Copiez la valeur dans le ARN pour API Connect c'est AWS Principal champ.
    2. Connectez-vous à votre compte AWS et accédez à la page VPC > Services de point de terminaison > <votre-service-de-point-de-terminaison-vpc>.
    3. Sélectionnez le Autoriser les directeurs languette.
    4. Collez l'ARN que vous avez copié dans le ARN dans la section « Principaux à ajouter » de la page.
    5. Cliquez sur Autoriser les directeurs.
    6. Retour au Pré-autoriser AWS principal page dansAPI Connect et cliquez Suivant.

    A ce stade, une demande de connexion est générée parAPI Connect , et vous devez accepter la demande dans AWS.

  10. Dans AWS, acceptez la demande de connexion en effectuant les étapes suivantes :
    1. Toujours sur la page VPC > Services de point de terminaison > <votre-service-de-point-de-terminaison-vpc>, sélectionnez l'onglet Connexions de point de terminaison.
    2. Attends le État de la connexion pour afficher "En attente".
    3. Dans le Actions champ, sélectionnez Accepter la demande de connexion au point de terminaison.
    4. Attends le État de la connexion pour afficher « Disponible » en guise de confirmation.

    Maintenant que la connexion est terminée, revenez àAPI Connect pour terminer la configuration de la connexion privée pour le catalogue.

  11. Sur la page Demande de connexion dans API Connect, cliquez sur Suivant pour confirmer que vous avez accepté la demande de connexion dans AWS.
  12. Copier la valeur: Sur la page Connectivité, copiez la valeur du champ Nom DNS privé du point d'extrémité VPC et conservez-la en lieu sûr ; puis cliquez sur Finish.

    Utilisez le Nom DNS privé du point de terminaison d'un VPC dans tonAPI Connect API pour vous connecter à l'application derrière votre service de point de terminaison VPC.

Gérer les connexions publiques :

Vous pouvez désormais activer ou désactiver les paramètres de connectivité publique au niveau de l'instance et pour les catalogues individuels.

Note : Les connexions publiques sont activées par défaut.
  1. Pour désactiver les connexions publiques pour l'ensemble de l'instance, procédez comme suit :
    1. Dans le panneau des paramètres de l'instance, réglez la case à cocher située à côté de Connexions publiques sur Non.
      Note : Un tableau de données est disponible dans le panneau d'instance, qui répertorie tous les catalogues et l'état correspondant des connexions publiques. Cet état indique si la connexion publique est autorisée ou bloquée. Ce tableau de données est caché si les connexions publiques sont désactivées au niveau de l'instance.
  2. Pour désactiver les connexions publiques pour des catalogues spécifiques, procédez comme suit :
    1. Dans le panneau des paramètres de l'instance, localisez le tableau de données dans la section Connexions publiques.
      Remarque : si les connexions publiques sont désactivées au niveau de l'instance, ce tableau de données est masqué et les paramètres de niveau catalogue pour les connexions publiques ne sont pas visibles.
    2. Sélectionnez les catalogues, puis cliquez sur Bloquer.
    3. Dans la boîte de dialogue, cliquez sur Bloc.