Bagikan VPC Anda dengan akun lain - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagikan VPC Anda dengan akun lain

Berbagi VPC memungkinkan beberapa orang Akun AWS untuk membuat sumber daya aplikasi mereka, seperti instans Amazon EC2, database Amazon Relational Database Service (RDS), cluster AWS Lambda Amazon Redshift, dan fungsi, ke dalam cloud pribadi virtual (VPC) bersama yang dikelola secara terpusat. Dalam model ini, akun yang memiliki VPC (pemilik) membagikan satu atau beberapa subnet dengan akun lain (peserta) yang termasuk dalam organisasi yang sama dari AWS Organizations. Setelah subnet dibagikan, peserta dapat melihat, membuat, mengubah, dan menghapus sumber daya aplikasi mereka di subnet yang dibagikan dengan mereka. Peserta tidak dapat melihat, mengubah, atau menghapus sumber daya milik peserta lain atau pemilik VPC.

Anda dapat membagikan VPC Anda untuk memanfaatkan perutean implisit dalam VPC untuk aplikasi yang memerlukan tingkat interkonektivitas yang tinggi dan berada dalam batas kepercayaan yang sama. Hal ini mengurangi jumlah VPC yang Anda buat dan kelola, saat menggunakan akun terpisah untuk penagihan dan kontrol akses. Anda dapat menyederhanakan topologi jaringan dengan menginterkoneksikan Amazon VPC bersama menggunakan fitur konektivitas, seperti AWS PrivateLink, transit gateway, dan peering VPC. Untuk informasi selengkapnya tentang manfaat pembagian VPC, lihat Pembagian VPC: Pendekatan baru untuk pengelolaan banyak akun dan VPC.

Prasyarat VPC bersama

Anda harus mengaktifkan pembagian sumber daya dari akun pengelolaan organisasi Anda. Untuk informasi tentang mengaktifkan berbagi sumber daya, lihat Mengaktifkan pembagian dengan Organizations AWS dalam Panduan Pengguna AWS RAM.

Membagikan subnet

Anda dapat membagikan subnet non-default dengan akun lain di organisasi Anda. Untuk membagikan subnet, Anda harus terlebih dahulu membuat Pembagian Sumber Daya dengan subnet-subnet yang akan dibagikan dan akun, unit organisasi, atau seluruh organisasi AWS yang ingin Anda jadikan penerima pembagian subnet. Untuk informasi tentang pembuatan Pembagian Sumber Daya, lihat Membuat pembagian sumber daya dalam Panduan Pengguna AWS RAM.

Untuk membagikan subnet menggunakan konsol
  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Subnet.

  3. Pilih subnet Anda dan pilih Tindakan, Bagikan subnet.

  4. Pilih pembagian sumber daya Anda dan pilih Bagikan subnet.

Untuk membagikan subnet menggunakan AWS CLI

Gunakan create-resource-sharedan associate-resource-shareperintah.

Memetakan subnet di seluruh Availability Zone

Untuk memastikan bahwa sumber daya didistribusikan di seluruh Availability Zone untuk suatu Wilayah, kami secara independen memetakan Availability Zone untuk nama masing-masing akun. Misalnya, Zona Ketersediaan us-east-1a untuk akun AWS Anda mungkin tidak memiliki lokasi yang sama dengan us-east-1a untuk akun AWS lainnya.

Untuk mengoordinasikan Availability Zone di seluruh akun untuk berbagi VPC, Anda harus menggunakan ID AZ, yang merupakan pengenal unik dan konsisten untuk Availability Zone. Misalnya, use1-az1 adalah ID AZ untuk salah satu Availability Zone di us-east-1 Region. Gunakan ID AZ untuk menentukan lokasi sumber daya dalam satu akun relatif terhadap akun lain. Anda dapat melihat ID AZ untuk setiap subnet di konsol VPC Amazon.

Diagram berikut menggambarkan dua akun dengan pemetaan kode Zona Ketersediaan yang berbeda ke ID AZ.


          Dua akun dengan pemetaan kode Zona Ketersediaan yang berbeda ke ID AZ.

Membatalkan pembagian subnet bersama

Pemilik dapat membatalkan pembagian subnet bersama dengan para peserta kapan saja. Setelah pemilik membatalkan pembagian subnet bersama, berlaku aturan berikut:

  • Sumber daya peserta yang ada terus berjalan di subnet yang tidak dibagikan. AWSlayanan terkelola (misalnya, Elastic Load Balancing) yang memiliki alur kerja otomatis/terkelola (seperti penskalaan otomatis atau penggantian node) mungkin memerlukan akses berkelanjutan ke subnet bersama untuk beberapa sumber daya.

  • Peserta tidak dapat lagi membuat sumber daya baru di subnet yang pembagiannya dibatalkan.

  • Peserta dapat mengubah, menjelaskan, dan menghapus sumber daya mereka yang ada di subnet.

  • Jika peserta masih memiliki sumber daya di subnet yang pembagiannya dibatalkan, pemilik tidak dapat menghapus subnet bersama atau VPC subnet bersama. Pemilik hanya dapat menghapus subnet atau VPC subnet bersama setelah peserta menghapus semua sumber daya di subnet yang pembagiannya dibatalkan.

Untuk membatalkan pembagian subnet menggunakan konsol
  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Subnet.

  3. Pilih subnet Anda dan pilih Tindakan, Batalkan pembagian subnet.

  4. Pilih Tindakan, Hentikan pembagian.

Untuk membatalkan pembagian subnet menggunakan AWS CLI

Gunakan perintah disassociate-resource-share.

Mengidentifikasi pemilik subnet bersama

Peserta dapat melihat subnet yang telah dibagikan dengan mereka dengan menggunakan konsol Amazon VPC, atau alat baris perintah.

Untuk mengidentifikasi pemilik subnet menggunakan konsol
  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Subnet. Kolom Pemilik menampilkan pemilik subnet.

Untuk mengidentifikasi pemilik subnet menggunakan AWS CLI

Gunakan perintah describe-subnets and describe-vpcs, yang meliputi ID pemilik di outputnya.

Kelola sumber daya VPC

Pemilik dan peserta bertanggung jawab atas sumber daya VPC yang mereka miliki.

Sumber daya pemilik

Pemilik VPC bertanggung jawab untuk membuat, mengelola, dan menghapus sumber daya yang terkait dengan VPC bersama. Ini termasuk subnet, tabel rute, ACL jaringan, koneksi peering, titik akhir gateway, titik akhir antarmuka, titik akhir, gateway internet, Amazon Route 53 Resolver gateway NAT, gateway pribadi virtual, dan lampiran gateway transit.

Sumber daya peserta

Peserta dapat membuat kumpulan sumber daya VPC terbatas di VPC bersama. Misalnya, peserta dapat membuat antarmuka jaringan dan grup keamanan, dan mengaktifkan log aliran VPC untuk antarmuka jaringan yang mereka miliki. Sumber daya VPC yang dibuat peserta dihitung terhadap kuota VPC di akun peserta, bukan akun pemilik. Untuk informasi selengkapnya, lihat Pembagian VPC.

Penagihan dan pengukuran untuk pemilik dan peserta

  • Dalam VPC bersama, setiap peserta membayar untuk sumber daya aplikasi mereka termasuk instans Amazon EC2, basis data Amazon Relational Database Service, klaster Amazon Redshift, dan fungsi AWS Lambda. Peserta juga membayar biaya transfer data yang terkait dengan transfer data Inter-availability Zone serta transfer data melalui koneksi peering VPC, lintas gateway internet, dan lintas gateway. AWS Direct Connect

  • Pemilik VPC membayar biaya per jam (jika berlaku), pemrosesan data, dan biaya transfer data di gateway NAT, gateway privat virtual, transit gateway, AWS PrivateLink, dan VPC endpoint. Selain itu, alamat IPv4 publik yang digunakan dalam VPC bersama ditagih ke pemilik VPC. Untuk informasi selengkapnya tentang harga alamat IPv4 publik, lihat tab Alamat IPv4 Publik di halaman harga Amazon VPC.

  • Transfer data dalam Availability Zone yang sama (yang diidentifikasi secara unik menggunakan AZ-ID) bebas terlepas dari kepemilikan akun sumber daya yang berkomunikasi.

Tanggung jawab dan izin untuk pemilik dan peserta

Tanggung jawab dan izin berikut berlaku untuk sumber daya VPC saat bekerja dengan subnet VPC bersama:

Log alur
  • Peserta tidak dapat membuat, menghapus, atau mendeskripsikan log alur di subnet VPC bersama yang tidak mereka miliki.

  • Peserta dapat membuat, menghapus, dan mendeskripsikan flow log di subnet VPC bersama yang mereka miliki.

  • Pemilik VPC tidak dapat mendeskripsikan atau menghapus log alur yang dibuat oleh peserta.

Gateway internet dan gateway internet khusus jalan keluar
  • Peserta tidak dapat membuat, melampirkan, atau menghapus gateway internet dan gateway internet khusus egres di subnet VPC bersama. Peserta dapat mendeskripsikan gateway internet dan gateway internet khusus egres dalam subnet VPC bersama.

Gateway NAT
  • Peserta tidak dapat membuat, menghapus, atau mendeskripsikan gateway NAT di subnet VPC bersama.

Daftar kontrol akses jaringan (NACLS)
  • Peserta tidak dapat membuat, menghapus, atau mengganti NACL di subnet VPC bersama. Peserta dapat mendeskripsikan NACL yang dibuat oleh pemilik VPC di subnet VPC bersama.

Antarmuka jaringan
  • Peserta dapat membuat antarmuka jaringan di subnet VPC bersama. Peserta tidak dapat bekerja dengan antarmuka jaringan yang dibuat oleh pemilik VPC di subnet VPC bersama dengan cara lain, seperti melampirkan, melepaskan, atau memodifikasi antarmuka jaringan. Peserta dapat memodifikasi atau menghapus antarmuka jaringan dalam VPC bersama yang mereka buat. Misalnya, peserta dapat mengaitkan atau memisahkan alamat IP dengan antarmuka jaringan yang mereka buat.

  • Pemilik VPC dapat mendeskripsikan antarmuka jaringan yang dimiliki oleh peserta dalam subnet VPC bersama. Pemilik VPC tidak dapat bekerja dengan antarmuka jaringan yang dimiliki oleh peserta dengan cara lain, seperti melampirkan, melepaskan, atau memodifikasi antarmuka jaringan yang dimiliki oleh peserta dalam subnet VPC bersama.

Tabel rute
  • Peserta tidak dapat bekerja dengan tabel rute (misalnya, membuat, menghapus, atau mengaitkan tabel rute) di subnet VPC bersama. Peserta dapat mendeskripsikan tabel rute dalam subnet VPC bersama.

Grup keamanan
  • Peserta dapat membuat, menghapus, mendeskripsikan, memodifikasi, atau membuat aturan masuk dan keluar untuk grup keamanan dalam subnet VPC bersama. Peserta tidak dapat bekerja dengan grup keamanan yang dibuat oleh pemilik VPC dengan cara lain.

  • Peserta dapat membuat aturan dalam kelompok keamanan yang mereka miliki yaitu kelompok keamanan referensi milik peserta lain atau pemilik VPC sebagai berikut: nomor akun/ security-group-id

  • Peserta tidak dapat meluncurkan instans menggunakan grup keamanan yang dimiliki oleh pemilik VPC atau peserta lain. Peserta tidak dapat meluncurkan instance menggunakan grup keamanan default untuk VPC karena milik pemilik.

  • Pemilik VPC dapat mendeskripsikan grup keamanan yang dibuat oleh peserta dalam subnet VPC bersama. Pemilik VPC tidak dapat bekerja dengan grup keamanan yang dibuat oleh peserta dengan cara lain. Misalnya, pemilik VPC tidak dapat meluncurkan instance menggunakan grup keamanan yang dibuat oleh peserta.

Subnet
  • Peserta tidak dapat memodifikasi subnet bersama atau atribut terkait mereka. Hanya pemilik VPC yang bisa. Peserta dapat mendeskripsikan subnet dalam subnet VPC bersama.

  • Pemilik VPC dapat berbagi subnet hanya dengan akun lain atau unit organisasi yang berada di organisasi yang sama dari Organizations. AWS Pemilik VPC tidak dapat berbagi subnet yang ada di VPC default.

Transit gateway
  • Hanya pemilik VPC yang dapat melampirkan gateway transit ke subnet VPC bersama. Peserta tidak bisa.

VPC
  • Peserta tidak dapat memodifikasi VPC atau atribut terkait mereka. Hanya pemilik VPC yang bisa. Peserta dapat menggambarkan VPC, attibutes mereka, dan set opsi DHCP.

  • Tag dan tag VPC untuk sumber daya dalam VPC bersama tidak dibagikan dengan peserta.

AWSsumber daya dan subnet VPC bersama

Sumber daya Layanan AWS dukungan berikut dalam subnet VPC bersama. Untuk informasi lebih lanjut tentang bagaimana layanan mendukung subnet VPC bersama, ikuti tautan ke dokumentasi layanan yang sesuai.

Anda dapat terhubung ke semua AWS layanan yang mendukung PrivateLink menggunakan titik akhir VPC di VPC bersama. Untuk daftar layanan yang mendukung PrivateLink, lihat AWSlayanan yang terintegrasi dengan AWS PrivateLink dalam AWS PrivateLinkPanduan.

Kuota berbagi VPC

Ada kuota yang terkait dengan berbagi VPC. Lihat informasi yang lebih lengkap di Pembagian VPC.