如何在 VPC 内设置跨账户 AWS CodeArtifact 访问

问题描述 投票:0回答:1

这是我的设置:

  • 使用 AWS Organizations 隔离不同的应用程序堆栈;每个组织单位都有单独的 AWS 账户来分隔开发和生产。
  • 一个“共享服务”AWS 账户,其中包含包含私有 Python 包的 CodeArtifact 存储库,包括供多个 OU 使用的通用包。

这有效:我已经能够设置对 CodeArtifact 的跨组织访问,并且能够从 

Account Shared Services
中的 CodeArtifact 中拉取一个包,以表示 
Account A
中的 EC2 实例。

我正在 

Account A
设置 AWS Glue 作业,我希望它使用我的 CodeArtifact 存储库中的一些包。
这有效:如果我在 VPC 之外运行 Glue 作业,没问题,我可以访问 CodeArtifact。

这不起作用:但是,我想在 

Account A
中的 VPC 中运行 Glue(以访问 VPC 中运行的其他资源)。看起来当我这样做时,我失去了连接到 CodeArtifact 的能力。

这似乎是因为当 Glue 在 VPC 中运行时,AWS 会自动创建一个没有任何公共 IP 的弹性网络接口(在此处更详细地描述)。 AWS 建议使用 NAT 网关来解决这个问题。

现在,如果我的 CodeArtifact 存储库也在 

Account A
(我的 Glue 作业所在的位置)内,我想我可以为其创建一个 VPC 端点,我可以使用它从 VPC 内从 Glue 进行连接。鉴于其在不同的帐户中,是否有某种方法可以执行类似的操作?我在这里讨论的所有内容都在 AWS 中,我不想创建 NAT 网关只是为了从另一个 AWS 服务连接到 AWS 服务。

amazon-web-services aws-glue amazon-vpc aws-codeartifact
1个回答
0
投票

许多 AWS 服务都在处理跨账户问题上遇到困难。向 AWS 支持提交一张票证,他们会告诉您详细信息,这是获得该主题正确答案的唯一有保证的方法,因为他们通常不会在任何公开可用的文档中发布这些细微差别。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.