Responsabilidades y permisos para propietarios y participantes

Recursos del propietario Recursos del participante Recursos de la VPC Recursos de AWS y subredes de VPC compartidas

En esta sección, se incluyen detalles sobre las responsabilidades y los permisos de los dueños de la subred compartida (el propietario) y de los que la utilizan (el participante).

Recursos del propietario

Los propietarios deben hacerse cargo de sus propios recursos de la VPC. Los propietarios de la VPC se encargan de crear, administrar y eliminar los recursos asociados a una VPC compartida. Esto incluye a las subredes, las tablas de enrutamiento, las ACL de red, las conexiones de emparejamiento, los puntos de conexión de puerta de enlace, los puntos de conexión de interfaz, los puntos de conexión de Amazon Route 53 Resolver, las puertas de enlace de Internet, las puertas de enlace NAT, las puertas de enlace privadas virtuales y las conexiones de puertas de enlace de tránsito.

Recursos del participante

Los participantes deben hacerse cargo de sus propios recursos de la VPC. Los participantes pueden crear un conjunto limitado de recursos de VPC en una VPC compartida. Pueden crear interfaces de red y grupos de seguridad, y habilitar los registros de flujo de VPC para las interfaces de red de las que son propietarios. Los recursos de VPC que crea un participante se calculan para las cuotas de VPC de la cuenta del participante, no para la cuenta del propietario. Para obtener más información, consulte Uso compartido de VPC.

Recursos de la VPC

Las siguientes responsabilidades y permisos se aplican a los recursos de VPC cuando se trabaja con subredes de VPC compartidas:

Logs de flujo

Los participantes no pueden crear, eliminar ni describir registros de flujo en una subred de VPC compartida que no les pertenezca.
Los participantes pueden crear, eliminar y describir registros de flujo en una subred de VPC compartida de su propiedad.
Los propietarios de VPC no pueden describir ni eliminar registros de flujo creados por un participante.

Puertas de enlace de Internet y puertas de enlace de Internet de solo salida

Los participantes no pueden crear, adjuntar ni eliminar puertas de enlace de Internet ni puertas de enlace de Internet únicamente de salida en una subred de VPC compartida. Los participantes pueden describir las puertas de enlace de Internet en una subred de VPC compartida. Los participantes no pueden describir las puertas de enlace de Internet de solo salida en una subred de VPC compartida.

Puerta de enlace de NAT

Los participantes no pueden crear, eliminar ni describir puertas de enlace NAT en una subred de VPC compartida.

Listas de control de acceso a la red (NACL)

Los participantes no pueden crear, eliminar ni reemplazar NACL en una subred de VPC compartida. Los participantes pueden describir las NACL creadas por propietarios de VPC en una subred de VPC compartida.

Interfaces de red

Los participantes pueden crear interfaces de red en una subred de VPC compartida. Los participantes no pueden trabajar con interfaces de red creadas por propietarios de VPC en una subred de VPC compartida de ninguna otra manera, como adjuntar, desconectar o modificar las interfaces de red. Los participantes pueden modificar o eliminar las interfaces de red en una VPC compartida que crearon. Por ejemplo, los participantes pueden asociar o desasociar direcciones IP con las interfaces de red que crearon.
Los propietarios de VPC pueden describir las interfaces de red que pertenecen a los participantes en una subred de VPC compartida. Los propietarios de VPC no pueden trabajar con las interfaces de red que pertenecen a los participantes como adjuntar, desconectar o modificar las interfaces de red que pertenecen a los participantes en una subred de VPC compartida.

Tablas de enrutamiento

Los participantes no pueden trabajar con tabla de enrutamiento (por ejemplo, crear, eliminar o asociar tablas de rutas) en una subred de VPC compartida. Los participantes pueden describir tablas de rutas en una subred de VPC compartida.

Grupos de seguridad

Los participantes pueden trabajar con (crear, eliminar, describir, modificar o crear reglas de entrada y salida para) grupos de seguridad que poseen en una subred de VPC compartida. Los participantes no pueden trabajar con grupos de seguridad creados por los propietarios de VPC de ninguna forma.
Los participantes pueden crear reglas en los grupos de seguridad de los que son propietarios que hacen referencia a grupos de seguridad que pertenecen a otros participantes o al propietario de la VPC de la siguiente manera: número-cuenta/id-grupo-seguridad
Los participantes no pueden lanzar instancias mediante grupos de seguridad que sean propiedad del propietario de la VPC o de otros participantes. Los participantes no pueden lanzar instancias utilizando el grupo de seguridad predeterminado para la VPC porque pertenece al propietario.
Los propietarios de VPC pueden describir los grupos de seguridad creados por los participantes en una subred de VPC compartida. Los propietarios de VPC no pueden trabajar con grupos de seguridad creados por los participantes de ninguna otra forma. Por ejemplo, los propietarios de VPC no pueden lanzar instancias mediante grupos de seguridad creados por los participantes.

Subredes

Los participantes no pueden modificar las subredes compartidas ni sus atributos relacionados. Solo el propietario de la VPC puede hacerlo. Los participantes pueden describir subredes en una subred VPC compartida.
Los propietarios de VPC pueden compartir subredes solo con otras cuentas o unidades organizativas que estén en la misma organización desde Organizaciones de AWS. Los propietarios de VPC no pueden compartir subredes que estén en una VPC predeterminada.

Puertas de enlace de tránsito

Solo el propietario de la VPC puede asociar una puerta de enlace de tránsito a una subred de VPC compartida. Los participantes no pueden hacerlo.

VPC

Los participantes no pueden modificar las VPC ni sus atributos relacionados. Solo el propietario de la VPC puede hacerlo. Los participantes pueden describir las VPC, sus atributos y los conjuntos de opciones de DHCP.
Las etiquetas de VPC y las etiquetas de los recursos de la VPC compartida no se comparten con los participantes.

Los siguientes AWS services admiten recursos en subredes de VPC compartidas. Para obtener más información sobre cómo el servicio admite las subredes de VPC compartidas, siga los enlaces a la documentación del servicio correspondiente.

Amazon Aurora
AWS CodeBuild
AWS Database Migration Service
Amazon EC2
Amazon ElastiCache para Redis
Amazon Elastic Kubernetes Service
Elastic Load Balancing
Amazon EMR
AWS Glue
AWS Lambda
Amazon MQ con Apache MQ (no Rabbit MQ)
Amazon MSK
AWS Network Manager
Amazon OpenSearch Service
AWS PrivateLink^†
Amazon Relational Database Service (RDS)
Amazon Redshift
Amazon Route 53
AWS Transit Gateway
Acceso verificado de AWS
Amazon VPC
- Intercambio de tráfico
- Replicación de tráfico
Amazon VPC Lattice

^† Puede conectarse a todos los servicios de AWS que admiten PrivateLink mediante un punto de conexión de VPC en una VPC compartida. Para ver una lista de los servicios compatibles con PrivateLink, consulte Servicios de AWS que se integran con AWS PrivateLink en la Guía de AWS PrivateLink.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Facturación y medición para el propietario y los participantes

Ampliar una VPC a otras zonas