与其他账户共享 VPC - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

与其他账户共享 VPC

VPC 共享允许多个 Amazon Web Services 账户将其应用程序资源 [例如 Amazon EC2 实例、Amazon Relational Database Service(RDS)数据库、Amazon Redshift 集群和 Amazon Lambda 函数] 创建到共享的集中管理式 Virtual Private Cloud(VPC)中。在此模型中,拥有 VPC 的账户(拥有者)与属于 Amazon Organizations 中同一企业的其他账户(参与者)共享一个或多个子网。共享子网之后,参与者可以查看、创建、修改和删除与他们共享的子网中的应用程序资源。参与者无法查看、修改或删除属于其他参与者或 VPC 拥有者的资源。

您可以共享您的 VPC,以针对需要高度互连且位于相同的信任边界内的应用程序,利用 VPC 内的隐式路由。这可减少您创建和管理的 VPC 数量,同时使用单独的账户进行计费和访问控制。您可以通过使用连接功能(例如 Amazon PrivateLink、中转网关和 VPC 对等连接)互连共享的 Amazon VPC 来进一步简化网络拓扑。有关 VPC 共享优点的更多信息,请参阅 VPC 共享:多账户和 VPC 管理的新方法

共享 VPC 的先决条件

您必须从企业的管理账户启用资源共享。有关启用资源共享的信息,请参阅《Amazon RAM 用户指南》中的通过 Amazon Organizations 启用共享

共享子网

您可以与企业中的其他账户共享非默认子网。要共享子网,必须首先使用要共享的子网、Amazon 账户、企业单位或要与之共享子网的整个企业创建一个资源共享。有关创建资源共享的信息,请参阅《Amazon RAM 用户指南》中的创建资源共享

使用控制台共享子网
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Subnets (子网)

  3. 选择您的子网,然后选择操作共享子网

  4. 选择您的资源共享,然后选择共享子网

使用 Amazon CLI 共享子网

使用create-resource-shareassociate-resource-share命令。

跨可用区映射子网

为确保资源分配到区域的各可用区,我们将可用区独立映射到每个账户的名称。例如,您的 us-east-1a 账户的可用区 Amazon 可能与另一 us-east-1a 账户的 Amazon 不在同一位置。

要跨账户协调可用区以便进行 VPC 共享,您必须使用 AZ ID(可用区的唯一、一致的标识符)。例如,use1-az1us-east-1 区域中的其中一个可用区的 AZ ID。使用 AZ ID 确定一个账户中的资源相对于另一个账户的位置。您可以在 Amazon VPC 控制台中查看每个子网的 AZ ID。

下图阐明了两个账户,它们具有不同的可用区代码到 AZ ID 的映射。


          两个账户,它们具有不同的可用区代码到 AZ ID 的映射。

将共享的子网取消共享

拥有者随时可以将与参与者共享的子网取消共享。在拥有者将共享的子网取消共享后,将应用以下规则:

  • 现有参与者资源将继续在已取消共享的子网中运行。具有自动化/托管工作流(如auto 扩展或节点替换)的 Amazon 托管服务(例如,Elastic Load Balancing)可能需要持续访问某些资源的共享子网。

  • 参与者在已取消共享的子网中无法再创建新资源。

  • 参与者可以修改、描述和删除其位于子网中的资源。

  • 如果参与者在已取消共享的子网中仍具有资源,则拥有者无法删除共享子网或共享子网 VPC。仅当参与者删除已取消共享的子网中的所有资源之后,拥有者才能删除子网或共享子网 VPC。

使用控制台取消共享子网
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Subnets (子网)

  3. 选择您的子网,然后选择操作共享子网

  4. 依次选择操作停止共享

使用 Amazon CLI 取消共享子网

使用 disassociate-resource-share 命令。

确定共享子网的拥有者

参与者可以通过使用 Amazon VPC 控制台或命令行工具来查看已与其共享的子网。

使用控制台确定子网拥有者
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Subnets (子网)拥有者列显示子网拥有者。

使用 Amazon CLI 确定子网拥有者

使用 describe-subnetsdescribe-vpcs 命令,这两条命令的输出中将包括拥有者的 ID。

管理 VPC 资源

拥有者和参与者对其拥有的 VPC 资源负责。

拥有者资源

VPC 拥有者负责创建、管理和删除与共享 VPC 相关的资源。其中包括子网、路由表、网络 ACL、对等连接、网关端点、接口端点、Amazon Route 53 Resolver 端点、互联网网关、NAT 网关、虚拟私有网关和 Transit Gateway 挂载)。

参与者资源

参与者可以在共享 VPC 中创建一组有限的 VPC 资源。例如,参与者可以创建网络接口和安全组,此外还可为其拥有的网络接口启用 VPC 流日志。参与者创建的 VPC 资源将计入参与者账户中的 VPC 限额,而不是所有者账户的限额。有关更多信息,请参阅 VPC 共享

拥有者和参与者的计费和计量

  • 在共享 VPC 中,每个参与者为其应用程序资源付费,包括 Amazon EC2 实例、Amazon Relational Database Service 数据库、Amazon Redshift 集群和 Amazon Lambda 函数。参与者还需支付与可用区间数据传输相关的数据传输费用,以及通过 VPC 对等连接、互联网网关和网关之间的数据传输费用。Amazon Direct Connect

  • VPC 拥有者支付每小时费用(如果适用),跨 NAT 网关、虚拟私有网关、中转网关、Amazon PrivateLink 和 VPC 终端节点的数据处理和数据传输费用。此外,共享 VPC 中使用的公有 IPv4 地址需向 VPC 所有者收费。有关公有 IPv4 地址定价的更多信息,请参阅 Amazon VPC 定价页面上的公有 IPv4 地址选项卡。

  • 在同一个可用区域(使用 AZ-ID 进行唯一标识)内数据传输是免费的,而不考虑通信资源的账户所有权。

所有者和参与者的责任和权限

使用共享 VPC 子网时,以下责任和权限适用于 VPC 资源:

流日志
  • 参与者无法在非他们拥有的共享 VPC 子网中创建、删除或描述流日志。

  • 参与者可以在他们拥有的共享 VPC 子网中创建、删除或描述流日志。

  • VPC 所有者无法描述或删除参与者创建的流日志。

互联网网关和仅出口互联网网关
  • 参与者无法在共享 VPC 子网中创建、附加或删除互联网网关和仅出口互联网网关。参与者可以在共享 VPC 子网中描述互联网网关和仅出口互联网网关。

NAT 网关
  • 参与者无法在共享 VPC 子网中创建、删除或描述 NAT 网关。

网络访问控制列表(NACL)
  • 参与者无法在共享 VPC 子网中创建、删除或替换 NACL。参与者可以在共享 VPC 子网中描述 VPC 所有者创建的 NACL。

网络接口
  • 参与者可以在共享 VPC 子网中创建网络接口。参与者无法以任何其他方式(例如附加、分离或修改网络接口)在共享 VPC 子网中使用 VPC 所有者创建的网络接口。参与者可以在他们创建的共享 VPC 中修改或删除网络接口。例如,参与者可以将 IP 地址与他们创建的网络接口关联或解除关联。

  • VPC 所有者可以描述共享 VPC 子网中参与者拥有的网络接口。VPC 所有者不能以任何其他方式使用参与者拥有的网络接口,例如连接、分离或修改共享 VPC 子网中参与者拥有的网络接口。

路由表
  • 参与者无法在共享 VPC 子网中使用路由表(例如,创建、删除或关联路由表)。参与者可以在共享 VPC 子网中描述路由表。

安全组
  • 参与者可以在共享 VPC 子网中创建、删除、描述、修改安全组,或创建安全组的传入和传出规则。参与者无法以任何其他方式使用 VPC 所有者创建的安全组。

  • 参与者可以在他们拥有的安全组中创建规则,这些规则引用属于其他参与者或 VPC 所有者的安全组,如下所示:account-number/ security-group-id

  • 参与者无法使用其他 VPC 所有者或参与者拥有的安全组启动实例。参与者无法使用 VPC 的默认安全组启动实例,因为此安全组属于所有者。

  • VPC 所有者可以在共享 VPC 子网中描述参与者创建的安全组。VPC 所有者不能以任何其他方式使用参与者创建的安全组。例如,VPC 所有者无法使用参与者创建的安全组启动实例。

子网
  • 参与者无法修改共享子网或这些子网的相关属性。只有 VPC 所有者可以。参与者可以在共享 VPC 子网中描述子网。

  • VPC 所有者只能通过 Amazon Organizations 与同一组织的其他账户或组织单位共享子网。VPC 所有者无法共享位于默认 VPC 中的子网。

中转网关
  • 只有 VPC 所有者可以将中转网关附加到共享 VPC 子网。参与者不能。

VPC
  • 参与者无法修改 VPC 或 VPC 的相关属性。只有 VPC 所有者可以。参与者可以描述 VPC、VPC 属性和 DHCP 选项集。

  • VPC 标签和共享 VPC 内资源的标签不会与参与者共享。

Amazon 资源和共享 VPC 子网

以下 Amazon Web Services 支持共享 VPC 子网中的资源。有关该服务如何支持共享 VPC 子网的更多信息,请访问相应服务文档的链接。

您可以连接到所有支持在共享 VPC 中 PrivateLink 使用 VPC 终端节点的Amazon服务。有关支持的服务列表 PrivateLink,请参阅Amazon PrivateLink指南Amazon PrivateLink与之集成的Amazon服务

VPC 共享限额

VPC 共享存在相关的限额。有关更多信息,请参阅 VPC 共享