Responsabilités et autorisations des propriétaires et des participants

Ressources des propriétaires Ressources des participants Ressources VPC AWS ressources et sous-réseaux VPC partagés

Cette section contient des détails sur les responsabilités et les autorisations des propriétaires du sous-réseau partagé (propriétaire) et de ceux qui utilisent le sous-réseau partagé (participant).

Ressources des propriétaires

Les propriétaires sont responsables des ressources VPC qu'ils possèdent. Les propriétaires des VPC sont responsables de la création, la gestion, et la suppression des ressources associées à un VPC partagé. Il s'agit notamment des sous-réseaux, des tables de routage, des listes ACL réseau, des connexions d'appairage, des points de terminaison de passerelle, des points de terminaison d'interface, des points de terminaison Amazon Route 53 Resolver , des passerelles Internet, des passerelles NAT, des passerelles réseau privé virtuel et des attachements de la passerelle de transit.

Ressources des participants

Les participants sont responsables des ressources VPC qu'ils possèdent. Les participants peuvent créer un ensemble limité de ressources VPC dans un VPC partagé. Par exemple, les participants peuvent créer des interfaces réseau et des groupes de sécurité et activer des journaux de flux VPC pour les interfaces réseau dont ils sont propriétaires. Les ressources VPC qu'un participant crée sont prises en compte dans les quotas de VPC du compte du participant, et non du compte propriétaire. Pour plus d’informations, consultez Partage de VPC.

Ressources VPC

Les responsabilités et autorisations suivantes s'appliquent aux ressources VPC lorsque vous travaillez avec des sous-réseaux VPC partagés :

Journaux de flux

Les participants ne peuvent pas créer, supprimer ou décrire des journaux de flux dans un sous-réseau VPC partagé dont ils ne sont pas propriétaires.
Les participants peuvent créer, supprimer et décrire des journaux de flux dans un sous-réseau VPC partagé dont ils sont propriétaires.
Les propriétaires de VPC ne peuvent pas décrire ou supprimer les journaux de flux créés par un participant.

Passerelles Internet et passerelles Internet de sortie uniquement

Les participants ne peuvent pas créer, attacher ou supprimer des passerelles Internet et des passerelles Internet de sortie uniquement dans un sous-réseau VPC partagé. Les participants peuvent décrire les passerelles Internet d'un sous-réseau VPC partagé. Les participants ne peuvent pas décrire les passerelles Internet de sortie uniquement dans un sous-réseau VPC partagé.

Passerelles NAT

Les participants ne peuvent pas créer, supprimer ou décrire des passerelles NAT dans un sous-réseau VPC partagé.

Listes de contrôle d'accès réseau (NACL)

Les participants ne peuvent pas créer, supprimer ou remplacer des passerelles NACL dans un sous-réseau VPC partagé. Les participants peuvent décrire les NACL créées par les propriétaires de VPC dans un sous-réseau VPC partagé.

Interfaces réseau

Les participants peuvent créer des interfaces réseau dans un sous-réseau VPC partagé. Les participants ne peuvent utiliser les interfaces réseau créées par les propriétaires de VPC dans un sous-réseau VPC partagé d'une autre manière, par exemple en attachant, en détachant ou en modifiant les interfaces réseau. Les participants peuvent modifier ou supprimer les interfaces réseau d'un VPC partagé qu'ils ont créé. Par exemple, les participants peuvent associer ou dissocier des adresses IP aux interfaces réseau qu'ils ont créées.
Les propriétaires de VPC peuvent décrire les interfaces réseau détenues par les participants d'un sous-réseau VPC partagé. Les propriétaires de VPC ne peuvent pas travailler avec les interfaces réseau détenues par les participants d'une autre manière, par exemple en attachant, détachant ou modifiant les interfaces réseau détenues par les participants dans un sous-réseau VPC partagé.

Tables de routage

Les participants ne peuvent pas utiliser des tables de routage (par exemple, créer, supprimer ou associer des tables de routage) dans un sous-réseau VPC partagé. Les participants peuvent décrire les tables de routage dans un sous-réseau VPC partagé.

Groupes de sécurité

Les participants peuvent travailler avec (créer, supprimer, décrire, modifier ou créer des règles d'entrée et de sortie pour) les groupes de sécurité dont ils sont propriétaires dans un sous-réseau VPC partagé. Les participants ne peuvent en aucun cas travailler avec les groupes de sécurité créés par les propriétaires de VPC.
Les participants peuvent créer des règles dans les groupes de sécurité dont ils sont propriétaires et qui font référence à des groupes de sécurité appartenant à d'autres participants ou au propriétaire du VPC comme suit : numéro de compte/ security-group-id
Les participants ne peuvent pas lancer d'instances en utilisant des groupes de sécurité appartenant au propriétaire du VPC ou à d'autres participants. Les participants ne peuvent pas lancer d'instances en utilisant le groupe de sécurité par défaut du VPC, car il appartient au propriétaire.
Les propriétaires de VPC peuvent décrire les groupes de sécurité créés par les participants dans un sous-réseau VPC partagé. Les propriétaires de VPC ne peuvent pas travailler avec les groupes de sécurité créés par les participants d'aucune autre manière. Par exemple, les propriétaires de VPC ne peuvent pas lancer d'instances à l'aide de groupes de sécurité créés par les participants.

Sous-réseaux

Les participants ne peuvent pas modifier les sous-réseaux partagés ni leurs attributs associés. Seul le propriétaire du VPC peut le faire. Les participants peuvent décrire les sous-réseaux dans un sous-réseau VPC partagé.
Les propriétaires de VPC ne peuvent partager des sous-réseaux qu'avec d'autres comptes ou unités organisationnelles appartenant à la même organisation qu'Organizations. AWS Les propriétaires de VPC ne peuvent pas partager des sous-réseaux se trouvant dans un VPC par défaut.

Passerelles de transit

Seul le propriétaire d'un VPC peut attacher une passerelle de transit à un sous-réseau VPC partagé. Les participants ne le peuvent pas.

VPC

Les participants ne peuvent pas modifier les VPC ni leurs attributs associés. Seul le propriétaire du VPC peut le faire. Les participants peuvent décrire les VPC, leurs attributs et les ensembles d'options DHCP.
Les balises de VPC et les balises pour les ressources dans le VPC partagé ne sont pas partagées avec les participants.

Les ressources de AWS services support suivantes dans les sous-réseaux VPC partagés. Pour plus d'informations sur la façon dont le service prend en charge les sous-réseaux VPC partagés, consultez les liens vers la documentation du service correspondant.

Amazon Aurora
AWS CodeBuild
AWS Database Migration Service
Amazon EC2
Amazon ElastiCache pour Redis
Amazon Elastic Kubernetes Service
Elastic Load Balancing
Amazon EMR
AWS Glue
AWS Lambda
Amazon MQ exécute Apache MQ (pas Rabbit MQ)
Amazon MSK
AWS Network Manager
Amazon OpenSearch Service
AWS PrivateLink^†
Amazon Relational Database Service (RDS)
Amazon Redshift
Amazon Route 53
AWS Transit Gateway
Accès vérifié par AWS
Amazon VPC
- Appairage
- Mise en miroir du trafic
Amazon VPC Lattice

^† Vous pouvez vous connecter à tous les AWS services qui prennent PrivateLink en charge l'utilisation d'un point de terminaison VPC dans un VPC partagé. Pour obtenir la liste des services compatibles PrivateLink, reportez-vous à la section AWS Services intégrés AWS PrivateLink dans le AWS PrivateLink Guide.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Facturation et comptage pour le propriétaire et les participants

Étendre un VPC à d'autres zones