Considérations sur le partage de passerelle de transit - Amazon VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations sur le partage de passerelle de transit

Vous pouvez utiliser AWS Resource Access Manager (RAM) pour partager une passerelle de transit pour les attachements de VPC entre plusieurs comptes ou au sein de votre organisation dans AWS Organizations. Le RAM doit être activé et les ressources doivent être partagées avec une organisation. Pour de plus amples informations, veuillez consulter Activer le partage de ressources avec AWS Organizations dans le Guide de l'utilisateur AWS RAM.

Lorsque vous souhaitez partager une passerelle de transit, prenez en compte les éléments suivants.

  • Un attachement AWS Site-to-Site VPN doit être créé dans le compte AWS auquel appartient la passerelle de transit.

  • Un attachement à une passerelle Direct Connect utilise une association de passerelles de transit et peut figurer dans le même compte AWS que la passerelle Direct Connect ou un compte différent de la passerelle Direct Connect.

Par défaut, les utilisateurs ne sont pas autorisés à créer ou modifier les ressources AWS RAM. Pour autoriser les utilisateurs à créer ou à modifier des ressources et à exécuter des tâches, vous devez créer des politiques IAM qui autorisent les utilisateurs à utiliser des actions d’API et des ressources spécifiques. Vous devez ensuite attacher ces stratégies aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.

Seul le propriétaire d'une ressource peut effectuer les opérations suivantes :

  • Créer un partage de ressources.

  • Mettre à jour un partage de ressources.

  • Afficher un partage de ressources.

  • Afficher les ressources partagées par votre compte sur tous les partages de ressources.

  • Afficher les mandataires avec qui vous partagez vos ressources sur tous les partages de ressources. L'affichage des mandataires avec qui vous effectuez un partage vous permet de déterminer qui a accès à vos ressources partagées.

  • Supprimer un partage de ressources.

  • Exécutez toutes les API de passerelle de transit, d’attachement de passerelle de transit et de table de routage de passerelle de transit.

Vous pouvez effectuer les opérations suivantes sur les ressources partagées avec vous :

  • Accepter ou refuser une invitation de partage de ressource.

  • Afficher un partage de ressources.

  • Afficher les ressources partagées auxquelles vous avez accès.

  • Afficher une liste de tous les mandataires qui partagent des ressources avec vous. Vous pouvez voir les ressources et les partages de ressources qu'ils ont partagés avec vous.

  • Vous pouvez exécuter l'API DescribeTransitGateways.

  • Exécuter les API qui créent et décrivent les attachements, par exemple CreateTransitGatewayVpcAttachment et DescribeTransitGatewayVpcAttachments, dans leurs VPC.

  • Quitter un partage de ressources.

Lorsqu'une passerelle de transit est partagée avec vous, vous ne pouvez pas créer, modifier ou supprimer ses tables de routage de passerelle de transit, ni ses propagations et associations de tables de routage de passerelle de transit.

Lorsque vous créez une passerelle de transit, elle est créé dans la zone de disponibilité mappée à votre compte et est indépendante des autres comptes. Lorsque la passerelle de transit et les entités d’attachement se trouvent dans des comptes différents, utilisez l'ID de zone de disponibilité pour identifier de façon unique et cohérente la zone de disponibilité. Par exemple, use1-az1 est un ID de zone de disponibilité de la région us-east-1 et est mappé au même emplacement dans chaque compte AWS.

Annuler le partage d’une passerelle de transit

Lorsque le propriétaire du partage annule le partage de la passerelle de transit, les règles suivantes s'appliquent :

  • L’attachement de la passerelle de transit reste fonctionnelle.

  • Le compte partagé ne peut pas décrire la passerelle de transit.

  • Le propriétaire de la passerelle de transit et le propriétaire du partage peuvent supprimer l’attachement de la passerelle de transit.

Lorsqu'une passerelle de transit n'est pas partagée avec un autre compte AWS, ou si le compte AWS avec lequel la passerelle de transit est partagée est supprimé de l'organisation, la passerelle de transit elle-même n'en sera pas affectée.

Sous-réseaux partagés

Un propriétaire de VPC peut attacher une passerelle de transit à un sous-réseau VPC partagé. Les participants ne le peuvent pas. Le trafic provenant des ressources des participants peut utiliser les attachements en fonction des routes définies sur le sous-réseau VPC partagé par le propriétaire du VPC.

Pour plus d'informations, consultez Partager votre VPC avec d'autres comptes dans le Guide de l'utilisateur Amazon VPC.