本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon VPC Transit Gateways 利用中转网关
您可以通过 Amazon VPC 控制台或 Amazon CLI使用中转网关。
主题
共享中转网关
您可以使用 Res Amazon ource Access Manager (RAM) 在中跨账户或整个组织共享 VPC 附件的传输网关 Amazon Organizations。必须启用 RAM,并与组织共享资源。有关更多信息,请参阅《Amazon RAM 用户指南》中的允许与 Amazon Organizations共享资源。
注意事项
如果要共享中转网关,请考虑以下因素。
-
必须在拥有传输网关的同一个 Amazon 账户中创建 Amazon Site-to-Site VPN 附件。
-
Direct Connect 网关的连接使用传输网关关联,可以与 Direct Connect 网关位于同一个 Amazon 账户中,也可以与 Direct Connect 网关位于不同的账户中。
默认情况下,用户无权创建或修改 Amazon RAM 资源。要允许用户创建或修改资源和执行任务,您必须创建授予使用特定资源和 API 操作的权限的 IAM 策略。然后,将这些策略附加到需要这些权限的 IAM 用户或组。
仅资源拥有者能够执行以下操作:
-
创建资源共享。
-
更新资源共享。
-
查看资源共享。
-
查看您的账户在所有资源共享中共享的资源。
-
在所有资源共享中查看您与其共享资源的委托人。通过查看您与其共享资源的委托人,您可以确定谁有权访问您共享的资源。
-
删除资源共享。
-
运行所有公交网关、中转网关连接和中转网关路由表 APIs。
您可以对与您共享的资源执行以下操作:
-
接受或拒绝资源共享邀请。
-
查看资源共享。
-
查看您可以访问的共享资源。
-
查看与您共享资源的所有委托人的列表。您可以查看他们与您共享的资源和资源共享。
-
可以运行
DescribeTransitGatewaysAPI。 -
运行用于创建和描述附件的,例如
CreateTransitGatewayVpcAttachment和DescribeTransitGatewayVpcAttachments,在其中 VPCs。 APIs -
退出资源共享。
与您共享中转网关时,您无法创建、修改或删除其中转网关路由表或其中转网关路由表传播和关联。
在创建中转网关时,将在映射到您的账户并独立于其他账户的可用区中创建中转网关。如果中转网关和连接实体位于不同的账户中,请使用可用区 ID 唯一且一致地标识可用区。例如,use1-az1 是 us-east-1 区域的可用区 ID,它映射到每个账户中的相同位置。 Amazon
取消共享中转网关
当共享拥有者取消共享中转网关时,以下规则适用:
-
Transit Gateway 连接保持正常工作。
-
共享账户无法描述中转网关。
-
中转网关拥有者和共享拥有者可以删除 Transit Gateway 连接。
当公交网关与另一个 Amazon 账户取消共享时,或者如果与之共享公交网关的 Amazon 账户已从组织中移除,则公交网关本身不会受到影响。
共享子网
仅 VPC 所有者可以将中转网关附加到共享 VPC 子网。参与者不能。来自参与者资源的流量可以使用附件,具体取决于 VPC 所有者在共享 VPC 子网上设置的路由。
有关更多信息,请参阅《Amazon VPC 用户指南》中的 与其他账户共享 VPC。