私はelasticbeanstalkを使って展開するapiを持っています。私はそれを公共のインターネットからアクセスできないように完全に内部にしたいと考えています。私は、サービスが私たちの他のサービス(それぞれが独自のVPCで実行され、すべてがelasticbeanstalkを介して展開されている)を介してアクセス可能になりたいからです。個人用サービスを作成するために弾力性のある肥料を備えた内部ロードバランサを使用することは可能ですか?
エラスティックビーンストークで内部ELBを使用することはできますか?これは私が何をする必要があるのでしょうか? VPCのピアリングで私を助けられますか?
最終的な目的は、apiにいくつかのhttpリソースを公開し、いくつかプライベートにする必要があることです。私のアプローチは、サービスをプライベートにし、APIゲートウェイ経由で公開リソースを公開することになるだろうが、おそらくこれは適切な解決策ではない。おそらく、APIゲートウェイ経由ですべてを公開し、プライベートリソースに対してIAM認証を要求し、APIゲートウェイから要求が送信されるAPIを強制する方が良いでしょうか?
「私のアプローチは、サービスをプライベートにし、APIゲートウェイを介して任意のパブリックリソースを公開することにするつもりでした」。公共サービスの前にのみAPIゲートウェイを置くことができます。これらのサービスをロックして、API Gatewayから発信されていないリクエストは拒否できますが、非公開にすることはできません。 –
Markのコメントを詳しく説明するには、API GatewayのクライアントサイドSSL証明書機能を使用して、API Gatewayからのリクエストのみがサービスで受け入れられるようにします。 http://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html –
コメントありがとうございます。 APIゲートウェイがプライベートサブネット内のリソースでボックスからすぐに通信することができないことは非常に心配です。しかし、これはラムダを使って行うことができます:https://aws.amazon.com/blogs/compute/using-api-gateway-with-vpc-endpoints-via-aws-lambda/ – SirSlush86