Bagikan VPC Anda dengan akun lain - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagikan VPC Anda dengan akun lain

Pembagian VPC memungkinkan beberapaAkun AWSuntuk membuat sumber daya aplikasi mereka, seperti instans Amazon EC2, basis data Amazon Relational Database Service (RDS), klaster Amazon Redshift, danAWS Lambdafungsi, ke virtual private cloud (VPC) bersama yang dikelola secara terpusat. Dalam model ini, akun yang memiliki VPC (pemilik) membagikan satu atau beberapa subnet dengan akun lain (peserta) yang termasuk dalam organisasi yang sama dari AWS Organizations. Setelah subnet dibagikan, peserta dapat melihat, membuat, mengubah, dan menghapus sumber daya aplikasi mereka di subnet yang dibagikan dengan mereka. Peserta tidak dapat melihat, mengubah, atau menghapus sumber daya milik peserta lain atau pemilik VPC.

Anda dapat membagikan VPC Anda untuk memanfaatkan perutean implisit dalam VPC untuk aplikasi yang memerlukan tingkat interkonektivitas yang tinggi dan berada dalam batas kepercayaan yang sama. Hal ini mengurangi jumlah VPC yang Anda buat dan kelola, saat menggunakan akun terpisah untuk penagihan dan kontrol akses. Anda dapat menyederhanakan topologi jaringan dengan menginterkoneksikan Amazon VPC bersama menggunakan fitur konektivitas, seperti AWS PrivateLink, transit gateway, dan peering VPC. Untuk informasi selengkapnya tentang manfaat pembagian VPC, lihatPembagian VPC: Pendekatan baru untuk beberapa akun dan manajemen VPC.

Prasyarat VPC bersama

Anda harus mengaktifkan pembagian sumber daya dari akun pengelolaan organisasi Anda. Untuk informasi tentang mengaktifkan berbagi sumber daya, lihat Mengaktifkan pembagian dengan Organizations AWS dalam Panduan Pengguna AWS RAM.

Membagikan subnet

Anda dapat membagikan subnet non-default dengan akun lain di organisasi Anda. Untuk membagikan subnet, Anda harus terlebih dahulu membuat Pembagian Sumber Daya dengan subnet-subnet yang akan dibagikan dan akun, unit organisasi, atau seluruh organisasi AWS yang ingin Anda jadikan penerima pembagian subnet. Untuk informasi tentang pembuatan Pembagian Sumber Daya, lihat Membuat pembagian sumber daya dalam Panduan Pengguna AWS RAM.

Untuk membagikan subnet menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Subnet.

  3. Pilih subnet Anda dan pilih Tindakan, Bagikan subnet.

  4. Pilih pembagian sumber daya Anda dan pilih Bagikan subnet.

Untuk membagikan subnet menggunakan AWS CLI

Gunakan perintah create-resource-share dan associate-resource-share.

Memetakan subnet di seluruh Availability Zone

Untuk memastikan bahwa sumber daya didistribusikan di seluruh Availability Zone untuk suatu Wilayah, kami secara independen memetakan Availability Zone untuk nama masing-masing akun. Misalnya, Availability Zone us-east-1a untuk akun AWS Anda mungkin tidak memiliki lokasi yang sama karena us-east-1a untuk akun AWS lainnya.

Untuk mengoordinasikan Availability Zone di seluruh akun untuk pembagian VPC, Anda harus menggunakanID, yang merupakan pengenal unik dan konsisten untuk Availability Zone. Misalnya,use1-az1adalah ID AZ untuk salah satu Availability Zone dius-east-1Wilayah. Gunakan ID AZ untuk menentukan lokasi sumber daya di satu akun relatif terhadap akun lain. Anda dapat melihat ID AZ untuk setiap subnet di konsol Amazon VPC.

Diagram berikut menggambarkan dua akun dengan pemetaan yang berbeda dari kode Availability Zone ke AZ ID.


          Dua akun dengan pemetaan kode Availability Zone yang berbeda dengan ID AZ.

Membatalkan pembagian subnet bersama

Pemilik dapat membatalkan pembagian subnet bersama dengan para peserta kapan saja. Setelah pemilik membatalkan pembagian subnet bersama, berlaku aturan berikut:

  • Sumber daya peserta yang ada terus berjalan di subnet yang pembagiannya dibatalkan.

  • Peserta tidak dapat lagi membuat sumber daya baru di subnet yang pembagiannya dibatalkan.

  • Peserta dapat mengubah, menjelaskan, dan menghapus sumber daya mereka yang ada di subnet.

  • Jika peserta masih memiliki sumber daya di subnet yang pembagiannya dibatalkan, pemilik tidak dapat menghapus subnet bersama atau VPC subnet bersama. Pemilik hanya dapat menghapus subnet atau VPC subnet bersama setelah peserta menghapus semua sumber daya di subnet yang pembagiannya dibatalkan.

Untuk membatalkan pembagian subnet menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Subnet.

  3. Pilih subnet Anda dan pilih Tindakan, Batalkan pembagian subnet.

  4. Pilih Tindakan, Hentikan pembagian.

Untuk membatalkan pembagian subnet menggunakan AWS CLI

Gunakan perintah disassociate-resource-share.

Mengidentifikasi pemilik subnet bersama

Peserta dapat melihat subnet yang telah dibagikan dengan mereka dengan menggunakan konsol Amazon VPC, atau alat baris perintah.

Untuk mengidentifikasi pemilik subnet menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Subnet. Kolom Pemilik menampilkan pemilik subnet.

Untuk mengidentifikasi pemilik subnet menggunakan AWS CLI

Gunakan perintah describe-subnets and describe-vpcs, yang meliputi ID pemilik di outputnya.

Mengelola sumber daya VPC

Pemilik dan peserta bertanggung jawab atas sumber daya VPC yang mereka miliki.

Sumber daya pemilik

Pemilik VPC bertanggung jawab untuk membuat, mengelola, dan menghapus sumber daya yang terkait dengan VPC bersama. Ini termasuk subnet, tabel rute, ACL jaringan, koneksi peering, endpoint gateway, endpoint antarmuka,Amazon RouteĀ 53 Resolverendpoint, gateway internet, gateway NAT, gateway privat virtual, dan lampiran gateway transit.

Pemilik VPC tidak dapat mengubah atau menghapus sumber daya yang dibuat oleh peserta, seperti instans EC2 dan grup keamanan. Pemilik VPC dapat melihat detail untuk antarmuka jaringan dan grup keamanan yang dilekatkan pada sumber daya peserta, untuk memudahkan pemecahan masalah dan audit. Pemilik VPC dapat membuat langganan log alur untuk VPC, subnetnya, dan antarmuka jaringannya.

Sumber daya peserta

Peserta dapat membuat, mengelola, dan menghapus sumber daya dalam VPC bersama. Peserta memiliki sumber daya yang mereka buat di VPC, seperti instans EC2, basis data Amazon RDS, dan penyeimbang beban Elastic Load Balancing.

Peserta dapat melihat detail sumber daya yang bertanggung jawab pemilik VPC, seperti tabel rute dan ACL jaringan, tetapi mereka tidak dapat memodifikasinya. Peserta tidak dapat melihat atau mengubah sumber daya milik akun peserta lain. Peserta dapat membuat langganan log alur hanya untuk antarmuka jaringan yang mereka miliki.

Peserta dapat mencantumkan referensi grup keamanan yang menjadi milik peserta lain atau pemilik sebagai berikut:

account-number/security-group-id

Peserta tidak dapat langsung mengaitkan salah satu zona yang di-hosting privat mereka dengan VPC bersama. Peserta yang perlu mengendalikan perilaku zona yang di-hosting privat yang terkait dengan VPC dapat menggunakan solusi berikut:

  • Peserta dapat membuat dan membagikan zona yang di-hosting privat dengan pemilik VPC. Untuk informasi tentang berbagi zona yang di-hosting privat, lihatMengaitkan VPC dan zona yang di-hosting privat yang Anda buat dengan cara yang berbedaAkun AWSdiPanduan Pengembang Amazon Route 53.

  • Pemilik VPC dapat membuat IAM role lintas akun yang menyediakan kontrol atas zona yang di-hosting privat yang telah dikaitkan pemilik dengan VPC. Pemilik selanjutnya dapat memberi izin yang diperlukan kepada akun peserta untuk melaksanakan peran tersebut. Untuk informasi selengkapnya, lihatTutorial IAM: Delegasikan akses di seluruhAkun AWSmenggunakan peran IAMdiPanduan Pengguna IAM. Akun peserta kemudian dapat melakukan peran, dan melakukan kendali apapun atas zona yang di-hosting privat yang telah didelegasikan pemilik melalui izin peran

Penagihan dan pengukuran untuk pemilik dan peserta

Dalam VPC bersama, setiap peserta membayar untuk sumber daya aplikasi mereka termasuk instans Amazon EC2, basis data Amazon Relational Database Service, klaster Amazon Redshift, dan fungsi AWS Lambda. Peserta juga membayar biaya transfer data yang terkait dengan transfer data antar Availability Zone, transfer data melalui koneksi peering VPC, dan transfer data melalui gateway AWS Direct Connect. Pemilik VPC membayar biaya per jam (jika berlaku), pemrosesan data, dan biaya transfer data di gateway NAT, gateway privat virtual, transit gateway, AWS PrivateLink, dan VPC endpoint. Transfer data dalam Availability Zone yang sama (yang diidentifikasi secara unik menggunakan AZ-ID) bebas terlepas dari kepemilikan akun sumber daya yang berkomunikasi.

Keterbatasan:

Batasan berikut berlaku untuk bekerja dengan pembagian VPC:

  • Pemilik hanya dapat membagikan subnet dengan akun atau unit organisasi lain yang berada di organisasi yang sama dari AWS Organizations.

  • Pemilik tidak dapat membagikan subnet yang ada di VPC default.

  • Peserta tidak dapat meluncurkan sumber daya menggunakan grup keamanan yang dimiliki oleh peserta lain yang membagikan VPC, atau pemilik VPC.

  • Peserta tidak dapat meluncurkan sumber daya menggunakan grup keamanan default untuk VPC karena milik pemilik.

  • Peserta tidak dapat meluncurkan sumber daya menggunakan grup keamanan yang dimiliki oleh peserta lain.

  • Ketika peserta meluncurkan sumber daya di subnet bersama, mereka harus memastikan bahwa mereka melekatkan grup keamanan mereka ke sumber daya, dan tidak bergantung pada grup keamanan default. Peserta tidak dapat menggunakan grup keamanan default karena milik pemilik VPC.

  • Peserta tidak dapat membuat titik akhir Route 53 Resolver di VPC yang mereka tidak miliki. Hanya pemilik VPC yang dapat membuat sumber daya tingkat VPC seperti titik akhir masuk.

  • Tag VPC, dan tag untuk sumber daya dalam VPC bersama tidak dibagikan dengan peserta.

  • Hanya pemilik subnet yang dapat melekatkan transit gateway ke subnet bersama. Peserta tidak bisa.

  • Peserta dapat membuat Application Load Balancers dan Network Load Balancers dalam VPC bersama, tetapi mereka tidak dapat mendaftarkan target yang berjalan di subnet yang tidak dibagikan dengan mereka.

  • Hanya pemilik subnet yang dapat memilih subnet bersama saat membuat Penyeimbang Beban Gateway. Peserta tidak bisa.

  • Service quotas berlaku per akun individu.