トランジットゲートウェイの共有に関する考慮事項 - Amazon VPC
トランジットゲートウェイの共有解除共有サブネット

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

トランジットゲートウェイの共有に関する考慮事項

AWSResource Access Manager (RAM) を使用して、アカウント全体、またはAWS Organizationsの組織全体で VPC アタッチメントの Transit Gateway を共有できます。RAM を有効にし、リソースを組織と共有する必要があります。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizations でリソース共有を有効にする」を参照してください。

トランジットゲートウェイを共有する場合は、以下の点を考慮してください。

  • AWS Site-to-Site VPN Site-to-Site VPN アタッチメントは、トランジットゲートウェイを所有する同じ AWS アカウントで作成する必要があります。

  • Direct Connect ゲートウェイへのアタッチメントは Transit Gateway の関連付けを使用し、Direct Connect ゲートウェイと同じAWSアカウントと、別のアカウントのどちらにも存在することができます。

デフォルトでは、ユーザーには AWS RAM リソースを作成または変更するためのアクセス許可はありません。ユーザーがリソースを作成または変更してタスクを実行できるようにするには、特定のリソースと API アクションを使用するアクセス許可を付与する IAM ポリシーを作成する必要があります。そのため、そのようなアクセス許可が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。

リソース所有者のみ次のオペレーションを実行できます。

  • リソース共有を作成します。

  • リソース共有を更新します。

  • リソース共有を表示します。

  • アカウントによって共有されているリソースをすべてのリソース共有間で表示できます。

  • すべてのリソース共有で、リソースを共有しているプリンシパルを表示します。お客様の共有相手のプリンシパルを表示することで、お客様の共有リソースにアクセスできるプリンシパルを判別できます。

  • リソース共有を削除します。

  • トランジットゲートウェイ、トランジットゲートウェイアタッチメント、およびトランジットゲートウェイルートテーブル API をすべて実行します。

共有されているリソース上で次のオペレーションを実行することができます。

  • リソースの共有の招待を承認または拒否します。

  • リソース共有を表示します。

  • お客様がアクセスできる共有リソースを表示します。

  • リソースを共有しているすべてのプリンシパルのリストを表示します。共有されているリソースおよびリソース共有を確認することができます。

  • DescribeTransitGateways API を実行できます。

  • アタッチメントを作成して示している API を実行します (例: CreateTransitGatewayVpcAttachment および DescribeTransitGatewayVpcAttachments (VPC 内))。

  • リソース共有を終了します。

Transit Gateway が共有されている場合、Transit Gateway ルートテーブルまたは Transit Gateway ルートテーブルの伝達および関連付けを作成、変更、削除することはできません。

トランジットゲートウェイを作成した場合、トランジットゲートウェイは自分のアカウントにマップされているアベイラビリティーゾーンに作成され、他のアカウントからは独立しています。トランジットゲートウェイおよびアタッチメントエンティティが異なるアカウントにある場合、アベイラビリティーゾーン ID を使用してアベイラビリティーゾーンを一意に一貫して識別します。例えば、use1-az1 は、us-east-1 リージョンの AZ ID で、すべてのAWSアカウントで同じ場所にマッピングされます。

トランジットゲートウェイの共有解除

共有所有者がトランジットゲートウェイの共有を解除する場合、次のルールが適用されます。

  • トランジットゲートウェイアタッチメントは、機能し続けます。

  • 共有アカウントでトランジットゲートウェイを示すことはできません。

  • トランジットゲートウェイの所有者および共有所有者は、トランジットゲートウェイアタッチメントを削除できます。

トランジットゲートウェイが別の AWS アカウントと共有されていない場合、またはトランジットゲートウェイが共有されている AWS アカウントが組織から削除された場合、トランジットゲートウェイ自体は影響を受けません。

共有サブネット

VPC 所有者は、共有 VPC サブネットにトランジットゲートウェイを接続できます。参加者はできません。参加者のリソースからのトラフィックは、VPC 所有者が共有 VPC サブネットに設定したルートに応じて、アタッチメントを使用できます。

詳細については、「Amazon VPC ユーザーガイド」の「VPC を他のアカウントと共有する」を参照してください。