Partager votre VPC avec d'autres comptes

Le partage de VPC permet à plusieurs Comptes AWS de créer leurs ressources d'application telles que les instances Amazon EC2, les bases de données Amazon Relational Database Service (RDS), les clusters Amazon Redshift et les fonctions AWS Lambda au sein de clouds privés partagés et gérés de manière centralisée. Dans ce modèle, le compte détenant le VPC (propriétaire) partage un ou plusieurs sous-réseaux avec d'autres comptes (participants) appartenant à la même organisation dans AWS Organizations. Une fois un sous-réseau partagé, les participants peuvent afficher, créer, modifier et supprimer leurs ressources d'application contenues dans les sous-réseaux partagés avec eux. Ils ne peuvent toutefois pas afficher, modifier ou supprimer des ressources appartenant à d'autres participants ou au propriétaire du VPC.

Vous pouvez partager vos VPC afin de tirer parti du routage implicite au sein d'un VPC au profit d'applications nécessitant un niveau élevé d'interconnectivité et comprises dans les mêmes limites de confiance. Cela permet de réduire le nombre de VPC que vous créez et gérez, tout en utilisant des comptes distincts pour la facturation et le contrôle d'accès. Vous pouvez simplifier les topologies de réseau en interconnectant les Amazon VPC partagés à l'aide de fonctionnalités de connectivité telles que la technologie AWS PrivateLink, des passerelles de transit et l'appairage Amazon VPC. Pour plus d'informations sur les avantages du partage de VPC, consultez Partage de VPC : une nouvelle approche des comptes multiples et de la gestion des VPC.

Table des matières

• Conditions préalables relatives aux VPC partagés
• Partager un sous-réseau
• Annuler le partage d'un sous-réseau partagé
• Identifier le propriétaire d'un sous-réseau partagé
• Gestion des ressources VPC
• Responsabilités et autorisations des propriétaires et des participants
• Ressources AWS et sous-réseaux VPC partagés
• Quotas de partage de VPC
• Exemple : partage de sous-réseaux publics et de sous-réseaux privés

Conditions préalables relatives aux VPC partagés

Vous devez activer le partage de ressources à partir du compte de gestion de votre organisation. Pour plus d'informations sur l'activation du partage de ressources, veuillez consulter la section Activation du partage avec AWS Organizations dans le Guide de l'utilisateur AWS RAM.

Partager un sous-réseau

Vous pouvez partager des sous-réseaux non définis par défaut avec d'autres comptes au sein de votre organisation. Pour partager des sous-réseaux, vous devez d'abord créer un partage de ressources avec les sous-réseaux à partager et les comptes AWS, des unités d'organisation ou une organisation entière avec laquelle vous souhaitez partager ces sous-réseaux. Pour plus d'informations sur la création d'un partage de ressources, veuillez consulter la section Création d'un partage de ressources dans le Guide de l'utilisateur AWS RAM.

Pour partager un sous-réseau à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, choisissez Subnets.

3. Sélectionnez votre sous-réseau, choisissez Actions, puis Share subnet (Partager un sous-réseau).

4. Sélectionnez partage de ressources, puis choisissez Share subnet (Partager un sous-réseau).

Pour partager un sous-réseau à l'aide d AWS CLI

Utilisez les associate-resource-sharecommandes create-resource-shareet.

Mapper des sous-réseaux entre les zones de disponibilité

Pour garantir que les ressources sont réparties entre les zones de disponibilité d'une Région, nous mappons indépendamment les zones de disponibilité aux noms de chaque compte. Par exemple, la zone de disponibilité us-east-1a pour votre compte AWS peut avoir un emplacement autre que us-east-1a pour un autre compte AWS.

Pour coordonner les zones de disponibilité entre les comptes pour le partage de VPC, vous devez utiliser un ID de zone de disponibilité, qui représente l'identifiant unique et cohérent d'une zone de disponibilité. Par exemple, use1-az1 est l'ID de zone de disponibilité de l'une des zones de disponibilité de la région us-east-1. Utilisez les ID de zone de disponibilité pour déterminer l'emplacement des ressources dans un compte par rapport à un autre compte. Vous pouvez afficher l'ID de zone de disponibilité pour chaque sous-réseau dans la console Amazon VPC.

Le diagramme suivant illustre deux comptes avec des mappages différents entre le code de la zone de disponibilité et l'ID de zone de disponibilité.

Annuler le partage d'un sous-réseau partagé

Le propriétaire peut annuler le partage d'un sous-réseau avec des participants à tout moment. Lorsque le propriétaire a annulé le partage d'un sous-réseau, les règles suivantes doivent être respectées :

• Les ressources des participants existants continuent de s'exécuter dans le sous-réseau dont le partage a été annulé. Les AWS managed services (par exemple, Elastic Load Balancing) qui ont des flux de travail automatisés/gérés (tels que la mise à l'échelle automatique ou le remplacement de nœud) peuvent nécessiter un accès continu au sous-réseau partagé pour certaines ressources.

• Les participants ne peuvent plus créer de ressources dans le sous-réseau dont le partage a été annulé.

• Les participants peuvent modifier, décrire et supprimer leurs ressources contenues dans le sous-réseau.

• Si les participants possèdent toujours des ressources dans le sous-réseau dont le partage a été annulé, le propriétaire ne peut pas supprimer le sous-réseau partagé ou le VPC de sous-réseau partagé. Il peut supprimer le sous-réseau partagé ou le VPC de sous-réseau partagé uniquement une fois que les participants ont supprimé toutes les ressources dans le sous-réseau dont le partage a été annulé.

Pour annuler le partage d'un sous-réseau à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, choisissez Subnets.

3. Sélectionnez votre sous-réseau, choisissez Actions, puis Share subnet (Partager un sous-réseau).

4. Choisissez Actions, Stop sharing (Arrêter le partage).

Pour annuler le partage d'un sous-réseau à l'aide d AWS CLI

Utilisez la commande disassociate-resource-share.

Identifier le propriétaire d'un sous-réseau partagé

Les participants peuvent afficher les sous-réseaux partagés avec eux en utilisant la console Amazon VPC ou l'outil de ligne de commande.

Pour identifier le propriétaire d'un sous-réseau à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, choisissez Subnets. La colonne Propriétaire indique le propriétaire du sous-réseau.

Pour identifier le propriétaire d'un sous-réseau à l'aide d AWS CLI

Utilisez les commandes describe-subnets et describe-vpcs, qui comprennent l'ID du propriétaire dans leur sortie.

Gestion des ressources VPC

Les propriétaires et les participants sont responsables des ressources VPC qu'ils possèdent.

Ressources des propriétaires

Les propriétaires des VPC sont responsables de la création, la gestion, et la suppression des ressources associées à un VPC partagé. Il s'agit notamment des sous-réseaux, des tables de routage, des listes ACL réseau, des connexions d'appairage, des points de terminaison de passerelle, des points de terminaison d'interface, des points de terminaison Amazon Route 53 Resolver, des passerelles Internet, des passerelles NAT, des passerelles réseau privé virtuel et des attachements de la passerelle de transit.

Ressources des participants

Les participants peuvent créer un ensemble limité de ressources VPC dans un VPC partagé. Par exemple, les participants peuvent créer des interfaces réseau et des groupes de sécurité et activer des journaux de flux VPC pour les interfaces réseau dont ils sont propriétaires. Les ressources VPC qu'un participant crée sont prises en compte dans les quotas de VPC du compte du participant, et non du compte propriétaire. Pour plus d’informations, consultez Partage de VPC.

Facturation et mesure pour le propriétaire et les participants

• Dans un VPC partagé, chaque participant paie ses ressources d'application, notamment les instances Amazon EC2, les bases de données Amazon Relational Database Service, les clusters Amazon Redshift et les fonctions AWS Lambda. Les participants paient également les frais de transfert de données associés au transfert de données dans les zones d'interdisponibilité ainsi qu'au transfert de données via des connexions d'appairage VPC, via des passerelles Internet et entre des passerelles. AWS Direct Connect

• Les propriétaires de VPC paient des frais horaires (le cas échéant), des frais de traitement et de transfert de données via les passerelles NAT, les passerelles réseau privé virtuel, les passerelles de transit, AWS PrivateLink et les points de terminaison de VPC. En outre, les adresses IPv4 publiques utilisées dans les VPC partagés sont facturées aux propriétaires de VPC. Pour plus d'informations sur la tarification des adresses IPv4 publiques, consultez l'onglet Adresse IPv4 publique sur la page de tarification d'Amazon VPC.

• Le transfert de données au sein d'une même zone de disponibilité (identifiée par son ID de zone de disponibilité) est gratuit, quel que soit le propriétaire du compte des ressources qui communiquent.

Responsabilités et autorisations des propriétaires et des participants

Les responsabilités et autorisations suivantes s'appliquent aux ressources VPC lorsque vous travaillez avec des sous-réseaux VPC partagés :

Journaux de flux

• Les participants ne peuvent pas créer, supprimer ou décrire des journaux de flux dans un sous-réseau VPC partagé dont ils ne sont pas propriétaires.

• Les participants peuvent créer, supprimer et décrire des journaux de flux dans un sous-réseau VPC partagé dont ils sont propriétaires.

• Les propriétaires de VPC ne peuvent pas décrire ou supprimer les journaux de flux créés par un participant.

Passerelles Internet et passerelles Internet de sortie uniquement

• Les participants ne peuvent pas créer, attacher ou supprimer des passerelles Internet et des passerelles Internet de sortie uniquement dans un sous-réseau VPC partagé. Les participants peuvent décrire des passerelles Internet et des passerelles Internet de sortie uniquement dans un sous-réseau VPC partagé.

Passerelles NAT

• Les participants ne peuvent pas créer, supprimer ou décrire des passerelles NAT dans un sous-réseau VPC partagé.

Listes de contrôle d'accès réseau (NACL)

• Les participants ne peuvent pas créer, supprimer ou remplacer des passerelles NACL dans un sous-réseau VPC partagé. Les participants peuvent décrire les NACL créées par les propriétaires de VPC dans un sous-réseau VPC partagé.

Interfaces réseau

• Les participants peuvent créer des interfaces réseau dans un sous-réseau VPC partagé. Les participants ne peuvent utiliser les interfaces réseau créées par les propriétaires de VPC dans un sous-réseau VPC partagé d'une autre manière, par exemple en attachant, en détachant ou en modifiant les interfaces réseau. Les participants peuvent modifier ou supprimer les interfaces réseau d'un VPC partagé qu'ils ont créé. Par exemple, les participants peuvent associer ou dissocier des adresses IP aux interfaces réseau qu'ils ont créées.

• Les propriétaires de VPC peuvent décrire les interfaces réseau détenues par les participants d'un sous-réseau VPC partagé. Les propriétaires de VPC ne peuvent pas travailler avec les interfaces réseau détenues par les participants d'une autre manière, par exemple en attachant, détachant ou modifiant les interfaces réseau détenues par les participants dans un sous-réseau VPC partagé.

Tables de routage

• Les participants ne peuvent pas utiliser des tables de routage (par exemple, créer, supprimer ou associer des tables de routage) dans un sous-réseau VPC partagé. Les participants peuvent décrire les tables de routage dans un sous-réseau VPC partagé.

Groupes de sécurité

• Les participants peuvent créer, supprimer, décrire, modifier ou créer des règles d'entrée et de sortie pour les groupes de sécurité dans un sous-réseau VPC partagé. Les participants ne peuvent utiliser les groupes de sécurité créés par les propriétaires de VPC d'une autre manière.

• Les participants peuvent créer des règles dans les groupes de sécurité dont ils sont propriétaires et qui font référence à des groupes de sécurité appartenant à d'autres participants ou au propriétaire du VPC comme suit : numéro de compte/ security-group-id

• Les participants ne peuvent pas lancer d'instances en utilisant des groupes de sécurité appartenant au propriétaire du VPC ou à d'autres participants. Les participants ne peuvent pas lancer d'instances en utilisant le groupe de sécurité par défaut du VPC, car il appartient au propriétaire.

• Les propriétaires de VPC peuvent décrire les groupes de sécurité créés par les participants dans un sous-réseau VPC partagé. Les propriétaires de VPC ne peuvent pas travailler avec les groupes de sécurité créés par les participants d'aucune autre manière. Par exemple, les propriétaires de VPC ne peuvent pas lancer d'instances à l'aide de groupes de sécurité créés par les participants.

Sous-réseaux

• Les participants ne peuvent pas modifier les sous-réseaux partagés ni leurs attributs associés. Seul le propriétaire du VPC peut le faire. Les participants peuvent décrire les sous-réseaux dans un sous-réseau VPC partagé.

• Les propriétaires de VPC peuvent partager les sous-réseaux uniquement avec d'autres comptes ou unités organisationnelles se trouvant dans la même organisation d'AWS Organizations. Les propriétaires de VPC ne peuvent pas partager des sous-réseaux se trouvant dans un VPC par défaut.

Passerelles de transit

• Seul le propriétaire d'un VPC peut attacher une passerelle de transit à un sous-réseau VPC partagé. Les participants ne le peuvent pas.

VPC

• Les participants ne peuvent pas modifier les VPC ni leurs attributs associés. Seul le propriétaire du VPC peut le faire. Les participants peuvent décrire les VPC, leurs attributs et les ensembles d'options DHCP.

• Les balises de VPC et les balises pour les ressources dans le VPC partagé ne sont pas partagées avec les participants.

Ressources AWS et sous-réseaux VPC partagés

Les Services AWS suivants prennent en charge les ressources dans les sous-réseaux VPC partagés. Pour plus d'informations sur la façon dont le service prend en charge les sous-réseaux VPC partagés, consultez les liens vers la documentation du service correspondant.

• Amazon Aurora

• AWS CodeBuild

• AWS Database Migration Service

• Amazon EC2

• Amazon Elastic Kubernetes Service

• Elastic Load Balancing

  • Application Load Balancers

  • Équilibreurs de charge de passerelle

  • Network Load Balancers

• Amazon EMR

• AWS Glue

• AWS Lambda

• AWS Network Manager

  • AWS Cloud WAN

  • Analyseur d'accès réseau

  • Reachability Analyzer

• AWS PrivateLink^†

• Amazon Relational Database Service (RDS)

• Amazon Redshift

• Amazon Route 53

• AWS Transit Gateway

• Accès vérifié par AWS

• Amazon VPC

  • Appairage

  • Mise en miroir du trafic

• Amazon VPC Lattice

^† Vous pouvez vous connecter à tous les AWS services qui prennent PrivateLink en charge l'utilisation d'un point de terminaison VPC dans un VPC partagé. Pour obtenir la liste des services compatibles PrivateLink, reportez-vous à la section AWSServices intégrés AWS PrivateLink dans le AWS PrivateLinkGuide.

Quotas de partage de VPC

Il existe des quotas liés au partage de VPC. Pour plus d'informations, consultez Partage de VPC.