Responsabilità e autorizzazioni per proprietari e partecipanti

Risorse del proprietario Risorse dei partecipanti Risorse VPC AWS risorse e sottoreti VPC condivise

Questa sezione include dettagli sulle responsabilità e le autorizzazioni di coloro che possiedono la sottorete condivisa (proprietario) e di coloro che utilizzano la sottorete condivisa (partecipante).

Risorse del proprietario

I proprietari sono responsabili delle risorse VPC di loro proprietà. I proprietari di VPC sono responsabili della creazione, della gestione e dell'eliminazione delle risorse associate a un VPC condiviso. Tali risorse includono: sottoreti, tabelle di routing, ACL di rete, connessioni peering, endpoint gateway, endpoint di interfaccia, endpoint Amazon Route 53 Resolver , gateway Internet, gateway NAT, gateway virtuali privati e collegamenti del gateway di transito.

Risorse dei partecipanti

I partecipanti sono responsabili delle risorse VPC di loro proprietà. I partecipanti possono creare un set limitato di risorse VPC in un VPC condiviso. Ad esempio, i partecipanti possono creare interfacce e gruppi di sicurezza di rete e abilitare flussi di log VPC per le interfacce di rete di cui sono proprietari. Le risorse VPC create da un partecipante vengono conteggiate con le quote VPC dell'account del partecipante, non dell'account del proprietario. Per ulteriori informazioni, consulta Condivisione VPC.

Risorse VPC

Le seguenti responsabilità e autorizzazioni si applicano alle risorse VPC quando si lavora con sottoreti VPC condivise:

Log di flusso

I partecipanti non possono creare, eliminare o descrivere i log di flusso in una sottorete VPC condivisa di cui non sono i proprietari.
I partecipanti possono creare, eliminare o descrivere i log di flusso in una sottorete VPC condivisa di cui sono i proprietari.
I proprietari di VPC non possono descrivere o eliminare i log di flusso creati da un partecipante.

Gateway Internet e gateway Internet solo in uscita

I partecipanti non possono creare, collegare o eliminare gateway Internet e gateway Internet di sola uscita in una sottorete VPC condivisa. I partecipanti possono descrivere i gateway Internet in una sottorete VPC condivisa. I partecipanti non possono descrivere i gateway Internet di sola uscita in una sottorete VPC condivisa.

Gateway NAT

I partecipanti non possono creare, eliminare o descrivere i gateway NAT in una sottorete VPC condivisa.

Liste di controllo degli accessi di rete (NACL)

I partecipanti non possono creare, eliminare o descrivere le NACL in una sottorete VPC condivisa. I partecipanti possono descrivere le NACL create dai proprietari di VPC in una sottorete VPC condivisa.

Interfacce di rete

I partecipanti possono creare interfacce di rete in una sottorete VPC condivisa. I partecipanti non possono utilizzare in altro modo le interfacce di rete create dai proprietari di VPC in una sottorete VPC condivisa, ad esempio collegando, scollegando o modificando le interfacce. I partecipanti possono modificare o eliminare le risorse in un VPC condiviso che hanno creato. Ad esempio, i partecipanti possono associare o dissociare gli indirizzi IP alle interfacce di rete create.
I proprietari di VPC possono descrivere le interfacce di rete di proprietà dei partecipanti in una sottorete VPC condivisa. I proprietari di VPC non possono lavorare con le interfacce di rete di proprietà dei partecipanti in nessun altro modo, ad esempio collegando, scollegando o modificando le interfacce di rete di proprietà dei partecipanti in una sottorete VPC condivisa.

Tabelle di instradamento

I partecipanti non possono utilizzare (creare, eliminare o associare) le tabelle di routing in una sottorete VPC condivisa. I partecipanti possono descrivere le tabelle di routing in una sottorete VPC condivisa.

Gruppi di sicurezza

I partecipanti possono lavorare con (creare, eliminare, descrivere, modificare o creare regole di ingresso e uscita per) i gruppi di sicurezza di loro proprietà in una sottorete VPC condivisa. I partecipanti non possono lavorare in alcun modo con i gruppi di sicurezza creati dai proprietari di VPC.
I partecipanti possono creare regole nei gruppi di sicurezza di loro proprietà che fanno riferimento ai gruppi di sicurezza che appartengono ad altri partecipanti o al proprietario del VPC come segue: account-number/ security-group-id
I partecipanti non possono avviare le istanze utilizzando i gruppi di sicurezza di proprietà di altri partecipanti o del proprietario del VPC. I partecipanti non possono avviare le istanze utilizzando il gruppo di sicurezza predefinito per il VPC, in quanto questo appartiene al proprietario.
I partecipanti possono descrivere i gruppi di sicurezza creati dai partecipanti in una sottorete VPC condivisa. I proprietari di VPC non possono lavorare con i gruppi di sicurezza creati dai partecipanti in nessun altro modo. Ad esempio, i proprietari di VPC non possono avviare istanze utilizzando i gruppi di sicurezza creati dai partecipanti.

Sottoreti

I partecipanti non possono modificare le sottoreti condivise o i relativi attributi. Solo il proprietario del VPC può farlo. I partecipanti possono descrivere le sottoreti in una sottorete VPC condivisa.
I proprietari di VPC possono condividere le sottoreti solo con altri account o unità organizzative appartenenti alla stessa organizzazione di Organizations. AWS I proprietari dei VPC non possono condividere le sottoreti che si trovano in un VPC predefinito.

Gateway di transito

Solo il proprietario del VPC può collegare un gateway di transito a una sottorete condivisa del VPC. I partecipanti non possono.

VPC

I partecipanti non possono modificare i VPC o i relativi attributi. Solo il proprietario del VPC può farlo. I partecipanti possono descrivere i VPC, i loro attributi e i set di opzioni DHCP.
I tag VPC e i tag per le risorse all'interno del VPC condiviso non vengono condivisi con i partecipanti.

Le seguenti risorse di AWS services supporto nelle sottoreti VPC condivise. Per ulteriori informazioni su come il servizio supporta le sottoreti VPC condivise, segui i collegamenti alla documentazione del servizio corrispondente.

Amazon Aurora
AWS CodeBuild
AWS Database Migration Service
Amazon EC2
Amazon ElastiCache per Redis
Amazon Elastic Kubernetes Service
Sistema di bilanciamento del carico elastico
Amazon EMR
AWS Glue
AWS Lambda
Amazon MQ con Apache MQ (non Rabbit MQ)
MSK Amazon
AWS Network Manager
OpenSearch Servizio Amazon
AWS PrivateLink^†
Amazon Relational Database Service (RDS)
Amazon Redshift
Amazon Route 53
AWS Transit Gateway
Accesso verificato da AWS
Amazon VPC
- Peering
- Mirroring del traffico
Amazon VPC Lattice

^† È possibile connettersi a tutti i AWS servizi che supportano PrivateLink l'utilizzo di un endpoint VPC in un VPC condiviso. Per un elenco dei servizi che supportano PrivateLink, consulta AWS i servizi che si integrano con AWS PrivateLink nella Guida.AWS PrivateLink

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Fatturazione e misurazione per proprietario e partecipanti

Come estendere un VPC ad altre zone