# 所有者和参与者的责任和权限
本节旨在详细介绍拥有共享子网之人(拥有者)与使用共享子网之人(参与者)的责任和权限。
## 拥有者资源
拥有者对其拥有的 VPC 资源负责。VPC 拥有者负责创建、管理和删除与共享 VPC 相关的资源。其中包括子网、路由表、网络 ACL、对等连接、网关端点、接口端点、Route 53 Resolver 端点、互联网网关、NAT 网关、虚拟私有网关和中转网关连接。
## 参与者资源
参与者对其拥有的 VPC 资源负责。参与者可以在共享 VPC 中创建一组有限的 VPC 资源。例如,参与者可以创建网络接口和安全组,此外还可为其拥有的网络接口启用 VPC 流日志。参与者创建的 VPC 资源将计入参与者账户中的 VPC 限额,而不是所有者账户的限额。有关更多信息,请参阅 [VPC 子网共享](amazon-vpc-limits.md#vpc-share-limits)。
## VPC 资源
使用共享 VPC 子网时,以下责任和权限适用于 VPC 资源:
**流日志**
+ 参与者可以在共享 VPC 子网中为他们拥有的网络接口创建、删除和描述流日志。
+ 参与者不能在共享 VPC 子网中为他们不拥有的网络接口创建、删除或描述流日志。
+ 参与者不能为共享 VPC 子网创建、删除或描述流日志。
+ VPC 所有者能在共享 VPC 子网中为他们不拥有的网络接口创建、删除和描述流日志。
+ VPC 所有者能为共享 VPC 子网创建、删除和描述流日志。
+ VPC 所有者无法描述或删除参与者创建的流日志。
**互联网网关和仅出口互联网网关**
+ 参与者无法在共享 VPC 子网中创建、附加或删除互联网网关和仅出口互联网网关。参与者可以在共享 VPC 子网中描述互联网网关。参与者无法在共享 VPC 子网中描述仅出口互联网网关。
**NAT 网关**
+ 参与者无法在共享 VPC 子网中创建、删除或描述 NAT 网关。
**网络访问控制列表(NACL)**
+ 参与者无法在共享 VPC 子网中创建、删除或替换 NACL。参与者可以在共享 VPC 子网中描述 VPC 所有者创建的 NACL。
**网络接口**
+ 参与者可以在共享 VPC 子网中创建网络接口。参与者无法以任何其他方式(例如附加、分离或修改网络接口)在共享 VPC 子网中使用 VPC 所有者创建的网络接口。参与者可以在他们创建的共享 VPC 中修改或删除网络接口。例如,参与者可以将 IP 地址与他们创建的网络接口关联或解除关联。
+ VPC 所有者可以在共享 VPC 子网中描述参与者拥有的网络接口。VPC 所有者无法以任何其他方式(例如附加、分离或修改网络接口)在共享 VPC 子网中使用参与者拥有的网络接口。
**路由表**
+ 参与者无法在共享 VPC 子网中使用路由表(例如,创建、删除或关联路由表)。参与者可以在共享 VPC 子网中描述路由表。
**安全组**
+ 参与者可以在共享 VPC 子网中使用其拥有的安全组(创建、删除、描述、修改或创建传入和传出规则)。如果 [VPC 所有者与参与者共享安全组](security-group-sharing.md),则参与者可以使用 VPC 所有者创建的安全组。
+ 参与者可以在其拥有的安全组中创建规则,并引用属于其他参与者或 VPC 所有者的安全组,如下所示:account-number/security-group-id
+ 参与者无法使用 VPC 的默认安全组启动实例,因为此安全组属于所有者。
+ 参与者无法使用 VPC 所有者或其他参与者拥有的非默认安全组启动实例,除非[与他们共享](security-group-sharing.md)安全组。
+ VPC 所有者可以在共享 VPC 子网中描述参与者创建的安全组。VPC 所有者无法以任何其他方式使用参与者创建的安全组。例如,VPC 所有者无法使用参与者创建的安全组启动实例。
**子网**
+ 参与者无法修改共享子网或这些子网的相关属性。只有 VPC 所有者可以。参与者可以在共享 VPC 子网中描述子网。
+ VPC 所有者只能通过 Amazon Organizations 与同一组织的其他账户或组织单位共享子网。VPC 所有者无法共享位于默认 VPC 中的子网。
**中转网关**
+ 只有 VPC 所有者可以将中转网关附加到共享 VPC 子网。参与者不能。
**VPC**
+ 参与者无法修改 VPC 或 VPC 的相关属性。只有 VPC 所有者可以。参与者可以描述 VPC、VPC 属性和 DHCP 选项集。
+ VPC 标签和共享 VPC 内资源的标签不会与参与者共享。
+ 参与者可以将自己的安全组与共享 VPC 关联。这样参与者便可将安全组与其在共享 VPC 中拥有的弹性网络接口一起使用。