Condividere il VPC con altri account - Amazon Virtual Private Cloud
Prerequisiti dei VPC condivisiCondivisione di una sottoreteAnnullamento della condivisione di una sottorete condivisaIdentificazione del proprietario di una sottorete condivisaGestione delle risorse VPCResponsabilità e autorizzazioni per proprietari e partecipantiRisorse AWS e sottoreti VPC condiviseQuote di condivisione dei VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condividere il VPC con altri account

La condivisione di VPC consente a più Account AWS di creare le proprie risorse dell'applicazione, ad esempio istanze Amazon EC2, database Amazon Relational Database Service (RDS), cluster Amazon Redshift e funzioni AWS Lambda in cloud privati virtuali (VPC) condivisi, gestiti centralmente. In questo modello l'account che possiede il VPC (proprietario) condivide una o più sottoreti con altri account (partecipanti) che appartengono alla stessa organizzazione di AWS Organizations. Una volta condivisa una sottorete, i partecipanti possono visualizzare, creare, modificare ed eliminare le proprie risorse delle applicazioni nelle sottoreti condivise. Non possono invece visualizzare, modificare o eliminare le risorse che appartengono ad altri partecipanti o al proprietario del VPC.

Puoi condividere i VPC per sfruttare il routing implicito all'interno di un VPC per le applicazioni che richiedono un elevato grado di interconnessione e che si trovano all'interno degli stessi limiti di affidabilità. Questo consente di ridurre il numero di VPC creati e gestiti, utilizzando al contempo account separati per la fatturazione e il controllo degli accessi. Puoi ulteriormente semplificare le topologie di rete collegando gli Amazon VPC condivisi utilizzando funzionalità di connettività, come AWS PrivateLink, gateway di transito e peering di VPC. Per ulteriori informazioni sui vantaggi della condivisione VPC, consulta Condivisione di VPC: un nuovo approccio a più account e gestione dei VPC.

Indice

Prerequisiti dei VPC condivisi

Devi abilitare la condivisione delle risorse dall'account di gestione della tua organizzazione. Per informazioni sull'abilitazione della condivisione delle risorse, consulta Abilitazione della condivisione con AWS Organizations nella Guida per l'utente di AWS RAM.

Condivisione di una sottorete

Puoi condividere le sottoreti non predefinite con altri account all'interno dell'organizzazione. A tal fine, devi innanzitutto creare una condivisione di risorse con le sottoreti da condividere e gli account AWS, le unità organizzative o un'intera organizzazione con la quale desideri effettuare la condivisione. Per ulteriori informazioni sulla creazione di una condivisione di risorse, consulta Creazione di una condivisione di risorse nella Guida per l'utente di AWS RAM.

Per condividere una sottorete utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Subnets (Sottoreti).

  3. Selezionare la sottorete e scegliere Actions (Operazioni), Share subnet (Condividi sottorete).

  4. Selezionare la condivisione di risorse e scegliere Share subnet (Condividi sottorete).

Per condividere una sottorete utilizzando l AWS CLI

Usa i associate-resource-sharecomandi create-resource-shareand.

Mappatura di sottoreti tra zone di disponibilità

Per garantire che le risorse vengano distribuite tra le zone di disponibilità di una regione, mappiamo in modo indipendente le zone di disponibilità ai nomi per ciascun account. Ad esempio, la zona di disponibilità us-east-1a per l'account AWS potrebbe avere un'ubicazione diversa rispetto a us-east-1a per un altro account AWS.

Per coordinare le zone di disponibilità tra gli account per la condivisione VPC, è necessario utilizzare un AZ ID, un identificatore unico e invariato per una zona di disponibilità. Ad esempio, use1-az1 è l'AZ ID per una delle zone di disponibilità della regione us-east-1. Utilizzare gli ID AZ per stabilire la posizione delle risorse in un account rispetto a un altro account. È possibile visualizzare l'ID AZ per ogni sottorete nella console Amazon VPC.

Il diagramma seguente illustra due account con diverse mappature del codice di zona di disponibilità per l'AZ ID.

Due account con diverse mappature del codice di zona di disponibilità per l'AZ ID.

Annullamento della condivisione di una sottorete condivisa

Il proprietario può annullare in qualsiasi momento la condivisione di una sottorete condivisa con i partecipanti. Dopo avere annullato la condivisione di una sottorete condivisa, si applicano le regole seguenti:

  • Le risorse dei partecipanti esistenti continuano a essere eseguite nella sottorete. I servizi gestiti AWS (ad esempio Elastic Load Balancing) che hanno flussi di lavoro automatizzati/gestiti (come il dimensionamento automatico o la sostituzione dei nodi) possono chiedere l'accesso continuo alla sottorete condivisa per alcune risorse.

  • I partecipanti non possono più creare nuove risorse nella sottorete la cui condivisione è stata annullata.

  • Possono modificare, descrivere ed eliminare le proprie risorse che si trovano nella sottorete.

  • Se i partecipanti hanno ancora risorse nella sottorete di cui è stata annullata la condivisione, il proprietario non può eliminare la sottorete condivisa o il relativo VPC. Il proprietario può eliminare la sottorete o il VPC della sottorete condivisa solo dopo che i partecipanti hanno eliminato tutte le risorse nella sottorete di cui è stata annullata la condivisione.

Per annullare la condivisione di una sottorete utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Subnets (Sottoreti).

  3. Selezionare la sottorete e scegliere Actions (Operazioni), Share subnet (Condividi sottorete).

  4. Scegliere Actions (Operazioni), Stop sharing (Interrompi condivisione).

Per annullare la condivisione di una sottorete utilizzando l AWS CLI

Utilizza il comando disassociate-resource-share.

Identificazione del proprietario di una sottorete condivisa

I partecipanti possono visualizzare le sottoreti che sono state condivise con loro utilizzando lo strumento a riga di comando o la console Amazon VPC.

Per identificare il proprietario di una sottorete tramite la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Subnets (Sottoreti). Nella colonna Owner (Proprietario) è visualizzato il proprietario della sottorete.

Per identificare il proprietario di una sottorete utilizzando l AWS CLI

Utilizzare i comandi describe-subnets e describe-vpcs, nel cui output è incluso l'ID del proprietario.

Gestione delle risorse VPC

Proprietari e partecipanti sono responsabili delle risorse VPC di loro proprietà.

Risorse del proprietario

I proprietari di VPC sono responsabili della creazione, della gestione e dell'eliminazione delle risorse associate a un VPC condiviso. Tali risorse includono: sottoreti, tabelle di routing, ACL di rete, connessioni peering, endpoint gateway, endpoint di interfaccia, endpoint Amazon Route 53 Resolver, gateway Internet, gateway NAT, gateway virtuali privati e collegamenti del gateway di transito.

Risorse dei partecipanti

I partecipanti possono creare un set limitato di risorse VPC in un VPC condiviso. Ad esempio, i partecipanti possono creare interfacce e gruppi di sicurezza di rete e abilitare flussi di log VPC per le interfacce di rete di cui sono proprietari. Le risorse VPC create da un partecipante vengono conteggiate con le quote VPC dell'account del partecipante, non dell'account del proprietario. Per ulteriori informazioni, consulta Condivisione VPC.

Fatturazione e misurazione per il proprietario e i partecipanti

  • In un VPC condiviso, ogni partecipante paga per le proprie risorse applicative, tra cui le istanze Amazon EC2, i database di Amazon Relational Database Service, i cluster Amazon Redshift e le funzioni AWS Lambda. I partecipanti pagano anche i costi di trasferimento dei dati associati al trasferimento dei dati tra zone di disponibilità e al trasferimento dei dati tramite connessioni peering VPC, attraverso gateway Internet e tra gateway. AWS Direct Connect

  • Ai proprietari VPC vengono addebitati costi orari (laddove applicabile), costi di elaborazione e trasferimento dei dati su gateway NAT, gateway virtuali privati, gateway di transito, endpoint VPC e AWS PrivateLink. Inoltre, gli indirizzi IPv4 pubblici utilizzati nei VPC condivisi vengono fatturati ai proprietari di VPC. Per ulteriori informazioni sui prezzi degli indirizzi IPv4 pubblici, consulta la scheda Indirizzo IPv4 pubblico nella pagina dei prezzi di Amazon VPC.

  • Un trasferimento dati nella stessa zona di disponibilità (indicata in modo univoco da un ID AZ) è gratuito, indipendentemente dalla proprietà dell'account delle risorse di comunicazione.

Responsabilità e autorizzazioni per proprietari e partecipanti

Le seguenti responsabilità e autorizzazioni si applicano alle risorse VPC quando si lavora con sottoreti VPC condivise:

Log di flusso

  • I partecipanti non possono creare, eliminare o descrivere i log di flusso in una sottorete VPC condivisa di cui non sono i proprietari.

  • I partecipanti possono creare, eliminare o descrivere i log di flusso in una sottorete VPC condivisa di cui sono i proprietari.

  • I proprietari di VPC non possono descrivere o eliminare i log di flusso creati da un partecipante.

Gateway Internet e gateway Internet solo in uscita

  • I partecipanti non possono creare, collegare o eliminare gateway Internet e gateway Internet di sola uscita in una sottorete VPC condivisa. I partecipanti possono descrivere i gateway Internet e i gateway Internet di sola uscita in una sottorete VPC condivisa.

Gateway NAT

  • I partecipanti non possono creare, eliminare o descrivere i gateway NAT in una sottorete VPC condivisa.

Liste di controllo degli accessi di rete (NACL)

  • I partecipanti non possono creare, eliminare o descrivere le NACL in una sottorete VPC condivisa. I partecipanti possono descrivere le NACL create dai proprietari di VPC in una sottorete VPC condivisa.

Interfacce di rete

  • I partecipanti possono creare interfacce di rete in una sottorete VPC condivisa. I partecipanti non possono utilizzare in altro modo le interfacce di rete create dai proprietari di VPC in una sottorete VPC condivisa, ad esempio collegando, scollegando o modificando le interfacce. I partecipanti possono modificare o eliminare le risorse in un VPC condiviso che hanno creato. Ad esempio, i partecipanti possono associare o dissociare gli indirizzi IP alle interfacce di rete create.

  • I proprietari di VPC possono descrivere le interfacce di rete di proprietà dei partecipanti in una sottorete VPC condivisa. I proprietari di VPC non possono lavorare con le interfacce di rete di proprietà dei partecipanti in nessun altro modo, ad esempio collegando, scollegando o modificando le interfacce di rete di proprietà dei partecipanti in una sottorete VPC condivisa.

Tabelle di instradamento

  • I partecipanti non possono utilizzare (creare, eliminare o associare) le tabelle di routing in una sottorete VPC condivisa. I partecipanti possono descrivere le tabelle di routing in una sottorete VPC condivisa.

Gruppi di sicurezza

  • I partecipanti possono creare, eliminare, descrivere, modificare o creare regole di ingresso e uscita per i gruppi di sicurezza in una sottorete VPC condivisa. I partecipanti non possono utilizzare in altro modo i gruppi di sicurezza creati dai proprietari di VPC.

  • I partecipanti possono creare regole nei gruppi di sicurezza di loro proprietà che fanno riferimento ai gruppi di sicurezza che appartengono ad altri partecipanti o al proprietario del VPC come segue: account-number/ security-group-id

  • I partecipanti non possono avviare le istanze utilizzando i gruppi di sicurezza di proprietà di altri partecipanti o del proprietario del VPC. I partecipanti non possono avviare le istanze utilizzando il gruppo di sicurezza predefinito per il VPC, in quanto questo appartiene al proprietario.

  • I partecipanti possono descrivere i gruppi di sicurezza creati dai partecipanti in una sottorete VPC condivisa. I proprietari di VPC non possono lavorare con i gruppi di sicurezza creati dai partecipanti in nessun altro modo. Ad esempio, i proprietari di VPC non possono avviare istanze utilizzando i gruppi di sicurezza creati dai partecipanti.

Sottoreti

  • I partecipanti non possono modificare le sottoreti condivise o i relativi attributi. Solo il proprietario del VPC può farlo. I partecipanti possono descrivere le sottoreti in una sottorete VPC condivisa.

  • I proprietari dei VPC possono condividere le sottoreti solo con altri account o unità organizzative che si trovano nella stessa organizzazione da AWS Organizations. I proprietari dei VPC non possono condividere le sottoreti che si trovano in un VPC predefinito.

Gateway di transito

  • Solo il proprietario del VPC può collegare un gateway di transito a una sottorete condivisa del VPC. I partecipanti non possono.

VPC

  • I partecipanti non possono modificare i VPC o i relativi attributi. Solo il proprietario del VPC può farlo. I partecipanti possono descrivere i VPC, i loro attributi e i set di opzioni DHCP.

  • I tag VPC e i tag per le risorse all'interno del VPC condiviso non vengono condivisi con i partecipanti.

Risorse AWS e sottoreti VPC condivise

I seguenti Servizi AWS supportano le risorse nelle sottoreti VPC condivise. Per ulteriori informazioni su come il servizio supporta le sottoreti VPC condivise, segui i collegamenti alla documentazione del servizio corrispondente.

È possibile connettersi a tutti i AWS servizi che supportano PrivateLink l'utilizzo di un endpoint VPC in un VPC condiviso. Per un elenco dei servizi che supportano PrivateLink, consulta AWSi servizi che si integrano con AWS PrivateLink nella Guida. AWS PrivateLink

Quote di condivisione dei VPC

Esistono quote relative alla condivisione di VPC. Per ulteriori informazioni, consulta Condivisione VPC.