トランジットゲートウェイの共有に関する考慮事項
AWS Resource Access Manager (RAM) を使用して、アカウント全体、または AWS Organizations 内の組織全体で VPC アタッチメントのtransit gatewayを共有することができます。transit gateway を共有する場合は、以下の点を考慮してください。共有リソースと RAM の詳細については、「AWS RAM ユーザーガイド」の「Working with shared AWS resources」(共有 AWS リソースの使用) を参照してください。
AWS Site-to-Site VPN アタッチメントは、transit gatewayを所有する同じ AWS アカウントで作成する必要があります。
Direct Connect ゲートウェイへのアタッチメントは Transit Gateway の関連付けを使用し、Direct Connect ゲートウェイと同じAWSアカウントと、別のアカウントのどちらにも存在することができます。
デフォルトでは、IAM ユーザーには AWS RAM リソースを作成または変更するためのアクセス許可はありません。IAM ユーザーがリソースを作成または変更してタスクを実行できるようにするには、特定のリソースと API アクションを使用するアクセス許可を付与する IAM ポリシーを作成する必要があります。そのため、そのようなアクセス許可が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。
リソース所有者のみ次のオペレーションを実行できます。
-
リソース共有を作成します。
-
リソース共有を更新します。
-
リソース共有を表示します。
-
アカウントによって共有されているリソースをすべてのリソース共有間で表示できます。
-
すべてのリソース共有で、リソースを共有しているプリンシパルを表示します。お客様の共有相手のプリンシパルを表示することで、お客様の共有リソースにアクセスできるプリンシパルを判別できます。
-
リソース共有を削除します。
-
transit gateway、transit gateway アタッチメント、および transit gateway ルートテーブル API をすべて実行します。
共有されているリソース上で次のオペレーションを実行することができます。
-
リソースの共有の招待を承認または拒否します。
-
リソース共有を表示します。
-
お客様がアクセスできる共有リソースを表示します。
-
リソースを共有しているすべてのプリンシパルのリストを表示します。共有されているリソースおよびリソース共有を確認することができます。
-
DescribeTransitGateways
API を実行できます。 -
アタッチメントを作成して示している API を実行します (例:
CreateTransitGatewayVpcAttachment
およびDescribeTransitGatewayVpcAttachments
(VPC 内))。 -
リソース共有を終了します。
transit gatewayが共有されている場合、transit gatewayルートテーブルを作成、変更、削除することはできません。また、transit gatewayルートテーブルの伝播と関連付けもできません。
transit gateway を作成した場合、transit gateway は自分のアカウントにマップされているアベイラビリティーゾーンに作成され、他のアカウントからは独立しています。transit gatewayとアタッチメントエンティティが異なるアカウントにある場合、アベイラビリティーゾーン ID を使用してアベイラビリティーゾーンを一意に一貫して識別します。例えば、use1-az1 は、us-east-1 リージョンの AZ ID で、すべてのAWSアカウントで同じ場所にマッピングされます。
トランジットゲートウェイの共有解除
共有所有者が transit gateway の共有を解除する場合は、次のルールが適用されます。
-
transit gateway アタッチメントは、機能し続けます。
-
共有されたアカウントで transit gateway を示すことはできません。
-
transit gateway の所有者、および共有所有者は transit gateway を削除することはできません。
transit gatewayの別の AWS アカウントとの共有が解除された、またはtransit gatewayが共有されている AWS アカウントが組織から削除された場合でも、transit gateway自体は影響を受けません。