中转网关共享注意事项 - Amazon VPC
取消共享中转网关共享子网
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中转网关共享注意事项

您可以使用 Amazon Resource Access Manager (RAM) 在 Amazon Organizations 中的账户之间或组织中共享 VPC 挂载的中转网关。必须启用 RAM,并与组织共享资源。有关更多信息,请参阅《Amazon RAM 用户指南》中的允许与 Amazon Organizations 共享资源

如果要共享中转网关,请考虑以下因素。

  • Amazon Site-to-Site VPN 挂载必须在拥有中转网关的同一 Amazon 账户中创建。

  • 到 Direct Connect 网关的连接使用中转网关关联,可以位于与 Direct Connect 网关相同的 Amazon 账户中,也可以位于与 Direct Connect 网关不同的账户中。

默认情况下,用户没有创建或修改 Amazon RAM 资源的权限。要允许用户创建或修改资源和执行任务,您必须创建授予使用特定资源和 API 操作的权限的 IAM 策略。然后,将这些策略附加到需要这些权限的 IAM 用户或组。

仅资源拥有者能够执行以下操作:

  • 创建资源共享。

  • 更新资源共享。

  • 查看资源共享。

  • 在所有资源共享中查看您的账户共享的资源。

  • 在所有资源共享中查看您与其共享资源的委托人。通过查看您与其共享资源的委托人,您可以确定谁有权访问您共享的资源。

  • 删除资源共享。

  • 运行所有中转网关、Transit Gateway 挂载和中转网关路由表 API。

您可以对与您共享的资源执行以下操作:

  • 接受或拒绝资源共享邀请。

  • 查看资源共享。

  • 查看您可以访问的共享资源。

  • 查看与您共享资源的所有委托人的列表。您可以查看他们与您共享的资源和资源共享。

  • 可以运行 DescribeTransitGateways API。

  • 运行 API 以在 VPC 中创建和描述连接,例如,CreateTransitGatewayVpcAttachmentDescribeTransitGatewayVpcAttachments

  • 退出资源共享。

与您共享中转网关时,您无法创建、修改或删除其中转网关路由表或其中转网关路由表传播和关联。

在创建中转网关时,将在映射到您的账户并独立于其他账户的可用区中创建中转网关。如果中转网关和挂载实体位于不同的账户中,请使用可用区 ID 唯一且一致地标识可用区。例如,use1-az1 是 us-east-1 区域的可用区 ID,并映射到每个 Amazon 账户中的相同位置。

取消共享中转网关

当共享拥有者取消共享中转网关时,以下规则适用:

  • Transit Gateway 挂载保持正常工作。

  • 共享账户无法描述中转网关。

  • 中转网关拥有者和共享拥有者可以删除 Transit Gateway 挂载。

当一个中转网关与另一个 Amazon 账户取消共享时,或者如果与之共享中转网关的 Amazon 账户已从组织中移除,在中转网关本身不受影响。

共享子网

仅 VPC 所有者可以将中转网关附加到共享 VPC 子网。参与者不能。来自参与者资源的流量可以使用附件,具体取决于 VPC 所有者在共享 VPC 子网上设置的路由。

有关更多信息,请参阅《Amazon VPC 用户指南》中的 与其他账户共享 VPC