中转网关共享注意事项 - Amazon Virtual Private Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

中转网关共享注意事项

您可以使用 AWS Resource Access Manager (RAM) 在 AWS Organizations 中的账户之间或组织中共享 VPC 挂载的中转网关。如果要共享中转网关,请考虑以下因素。

AWS 站点到站点 VPN 挂载必须在拥有中转网关的同一 AWS 账户中创建。

到 Direct Connect 网关的连接使用中转网关关联,可以位于与 Direct Connect 网关相同的 AWS 账户中,也可以位于与 Direct Connect 网关不同的 AWS 账户中。

默认情况下,IAM 用户没有创建或修改 AWS RAM 资源的权限。要允许 IAM 用户创建或修改资源和执行任务,您必须创建授予使用特定资源和 API 操作的权限的 IAM 策略。然后,将这些策略附加到需要这些权限的 IAM 用户或组。

仅资源拥有者能够执行以下操作:

  • 创建资源共享。

  • 更新资源共享。

  • 查看资源共享。

  • 在所有资源共享中查看您的账户共享的资源。

  • 在所有资源共享中查看您与其共享资源的委托人。通过查看您与其共享资源的委托人,您可以确定谁有权访问您共享的资源。

  • 删除资源共享。

  • 运行所有中转网关、Transit Gateway 挂载和中转网关路由表 API。

您可以对与您共享的资源执行以下操作:

  • 接受或拒绝资源共享邀请。

  • 查看资源共享。

  • 查看您可以访问的共享资源。

  • 查看与您共享资源的所有委托人的列表。您可以查看他们与您共享的资源和资源共享。

  • 可以运行 DescribeTransitGateways API。

  • 运行 API 以在 VPC 中创建和描述连接,例如,CreateTransitGatewayVpcAttachmentDescribeTransitGatewayVpcAttachments

  • 退出资源共享。

与您共享中转网关时,您无法创建、修改或删除中转网关路由表或中转网关路由表传播和关联。接受共享中转网关的账户无法创建、修改或删除中转网关路由表或中转网关路由表传播和关联。

在创建中转网关时,将在映射到您的账户并独立于其他账户的可用区中创建中转网关。如果中转网关和挂载实体位于不同的账户中,请使用可用区 ID 唯一且一致地标识可用区。例如,use1-az1 是 us-east-1 区域的可用区 ID,并映射到每个 AWS 账户中的相同位置。

取消共享中转网关

当共享拥有者取消共享中转网关时,以下规则适用:

  • Transit Gateway 挂载保持正常工作。

  • 共享账户无法描述中转网关。

  • 中转网关拥有者和共享拥有者可以删除 Transit Gateway 挂载。