トランジットゲートウェイの共有に関する考慮事項
AWSResource Access Manager (RAM) を使用して、アカウント全体、またはAWS Organizationsの組織全体で VPC アタッチメントの Transit Gateway を共有できます。トランジットゲートウェイを共有する場合は、以下の点を考慮してください。
AWS Site-to-Site VPN Site-to-Site VPN アタッチメントは、トランジットゲートウェイを所有する同じ AWS アカウントで作成する必要があります。
直接接続ゲートウェイへのアタッチメントは Transit Gateway の関連付けを使用し、直接接続ゲートウェイと同じAWSアカウントと、別のアカウントのどちらにも存在することができます。
デフォルトでは、IAM ユーザーには AWS RAM リソースを作成または変更するためのアクセス許可はありません。IAM ユーザーがリソースを作成または変更してタスクを実行できるようにするには、特定のリソースと API アクションを使用するアクセス許可を付与する IAM ポリシーを作成する必要があります。そのため、そのようなアクセス許可が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。
リソース所有者のみ次のオペレーションを実行できます。
-
リソース共有を作成します。
-
リソース共有を更新します。
-
リソース共有を表示します。
-
アカウントによって共有されているリソースをすべてのリソース共有間で表示できます。
-
すべてのリソース共有で、リソースを共有しているプリンシパルを表示します。お客様の共有相手のプリンシパルを表示することで、お客様の共有リソースにアクセスできるプリンシパルを判別できます。
-
リソース共有を削除します。
-
トランジットゲートウェイ、トランジットゲートウェイアタッチメント、およびトランジットゲートウェイルートテーブル API をすべて実行します。
共有されているリソース上で次のオペレーションを実行することができます。
-
リソースの共有の招待を承認または拒否します。
-
リソース共有を表示します。
-
お客様がアクセスできる共有リソースを表示します。
-
リソースを共有しているすべてのプリンシパルのリストを表示します。共有されているリソースおよびリソース共有を確認することができます。
-
DescribeTransitGateways
API を実行できます。 -
アタッチメントを作成して示している API を実行します (例:
CreateTransitGatewayVpcAttachment
およびDescribeTransitGatewayVpcAttachments
(VPC 内))。 -
リソース共有を終了します。
トランジットゲートウェイが共有されている場合、トランジットゲートウェイルートテーブルを作成、変更、削除することはできません。また、トランジットゲートウェイルートテーブルの伝播と関連付けもできません。共有トランジットゲートウェイを承諾するアカウントは、トランジットゲートウェイルートテーブルやトランジットゲートウェイルートテーブルの伝播および関連付けを作成、変更、または削除できません。
トランジットゲートウェイを作成した場合、トランジットゲートウェイは自分のアカウントにマップされているアベイラビリティーゾーンに作成され、他のアカウントからは独立しています。トランジットゲートウェイおよびアタッチメントエンティティが異なるアカウントにある場合、アベイラビリティーゾーン ID を使用してアベイラビリティーゾーンを一意に一貫して識別します。例えば、use1-az1 は、us-east-1 リージョンの AZ ID で、すべてのAWSアカウントで同じ場所にマッピングされます。
トランジットゲートウェイの共有解除
共有所有者がトランジットゲートウェイの共有を解除する場合、次のルールが適用されます。
-
トランジットゲートウェイアタッチメントは、機能し続けます。
-
共有アカウントでトランジットゲートウェイを示すことはできません。
-
トランジットゲートウェイの所有者および共有所有者は、トランジットゲートウェイアタッチメントを削除できます。