Amazon Virtual Private Cloud
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

使用共享 VPC

VPC 共享允许多个账户在集中管理的共享 VPC 内启动其应用程序资源。可用于共享的资源包括 Amazon EC2 中的实例、Amazon Redshift 中 Amazon Relational Database Service 集群中的数据库和 Lambda 函数。在此模型中,拥有 VPC 的账户(拥有者)与属于 AWS Organizations 中同一组的其他账户(参与者)共享一个或多个子网。共享子网之后,参与者可以查看、创建、修改和删除与他们共享的子网中的应用程序资源。参与者无法查看、修改或删除属于其他参与者或 VPC 拥有者的资源。

共享子网

您可以与组织中的其他账户共享非默认子网。您必须先创建资源共享,然后才能共享子网。有关更多信息,请参阅 中的创建资源共享

使用控制台共享子网

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Subnets

  3. 选择您的子网,然后选择操作共享子网

  4. 选择您的资源共享,然后选择共享子网

使用 AWS CLI 共享子网

使用 create-resource-shareassociate-resource-share 命令。

跨可用区映射子网

为确保资源分配到区域的各可用区,我们将可用区独立映射到每个账户的名称。例如,您的 AWS 账户的可用区 us-east-1a 可能与另一 AWS 账户的 us-east-1a 不在同一位置。

要跨账户协调可用区以便进行 VPC 共享,您必须使用 AZ ID(可用区的唯一、一致的标识符)。例如,use1-az1us-east-1 区域中的可用区之一。利用可用区 ID,您可以确定一个账户中的资源相对于另一个账户中的资源所在的位置。有关更多信息,请参阅 中的 您的资源的 AZ ID

将共享的子网取消共享

拥有者随时可以将与参与者共享的子网取消共享。在拥有者将共享的子网取消共享后,将应用以下规则:

  • 现有参与者资源将继续在已取消共享的子网中运行。

  • 参与者在已取消共享的子网中无法再创建新资源。

  • 参与者可以修改、描述和删除其位于子网中的资源。

  • VPC 流日志订阅不包括属于参与者 ENI 的所有数据。参与者可以决定是否创建或删除 ENI 流日志。

  • 如果参与者在已取消共享的子网中仍具有资源,则拥有者无法删除共享子网或共享子网 VPC。仅当参与者删除已取消共享的子网中的所有资源之后,拥有者才能删除子网或共享子网 VPC。

使用控制台取消共享子网

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Subnets

  3. 选择您的子网,然后选择操作共享子网

  4. 依次选择操作停止共享

使用 AWS CLI 取消共享子网

使用 disassociate-resource-share 命令。

确定共享子网的拥有者

参与者可以通过使用 Amazon VPC 控制台或命令行工具来查看已与其共享的子网。

确定子网拥有者(控制台)

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Subnets拥有者列显示子网拥有者。

使用 AWS CLI 确定子网拥有者

使用 describe-subnetsdescribe-vpcs 命令,这两条命令的输出中将包括拥有者的 ID。

共享子网权限

拥有者权限

VPC 拥有者负责创建、管理和删除所有 VPC 级别的资源(包括子网、路由表、网络 ACL、对等连接、VPC 终端节点、PrivateLink 终端节点、Internet 网关、NAT 网关、虚拟专用网关和中转网关附件)。

VPC 拥有者无法修改或删除参与者资源(包括参与者创建的安全组)。VPC 拥有者可以查看所有网络接口和附加到参与者资源的安全组的详细信息,以便于问题排查和审计。VPC 拥有者可以在 VPC、子网或 ENI 级别创建流日志订阅,以便监控流量或排查问题。

参与者权限

位于共享 VPC 中的参与者负责创建、管理和删除其资源(包括 Amazon EC2 实例、Amazon RDS 数据库和负载均衡器)。参与者无法查看或修改属于其他参与者账户的资源。参与者可以查看路由表和网络 ACL(附加到与其共享的子网)的详细信息。但是,他们无法修改 VPC 级别的资源(包括路由表、网络 ACL 或子网)。参与者可以使用安全组 ID 引用属于其他参与者或拥有者的安全组。参与者只能为他们拥有的接口创建流日志订阅。

拥有者和参与者的计费和计量

在共享 VPC 中,每个参与者为其应用程序资源(包括 Amazon EC2 实例、Amazon Relational Database Service 数据库、Amazon Redshift 集群和 AWS Lambda 函数)付费。参与者还支付与可用区间数据传输、跨 VPC 对等连接的数据传输和通过 AWS Direct Connect 网关的数据传输关联的数据传输费用。VPC 拥有者支付每小时费用(如果适用),跨 NAT 网关、虚拟专用网关、中转网关、PrivateLink 和 VPC 终端节点的数据处理和数据传输费用。无论谁拥有通信资源,同一可用区内的数据传输(通过唯一 AZ_ID 指示)都是免费的。

共享子网不支持的服务

参与者不能将共享子网用于以下服务:

  • Amazon Aurora 无服务器

  • AWS CloudHSM

  • AWS Glue

  • Amazon EMR

  • 网络负载均衡器

限制

以下限制适用于 VPC 共享的使用:

  • 拥有者只能通过 AWS Organizations 与位于同一组织的其他账户或组织单位共享子网。

  • 拥有者无法共享位于默认 VPC 中的子网。

  • 参与者无法使用其他参与者或拥有者拥有的安全组启动资源。

  • 参与者无法使用 VPC 的默认安全组启动资源,因为此安全组属于拥有者。

  • 标准 VPC 限制适用于共享 VPC。对于参与者在共享 VPC 中创建的资源(例如,安全组和 ENI),将强制实施参与者账户的服务限制,即使参与者在属于拥有者账户的 VPC 中创建资源也是如此。有关更多信息,请参阅 限制。

  • 服务限制按独立账户应用。有关服务限制的更多信息,请参阅 Amazon Web Services 一般参考 中的 AWS 服务限制