トランジットゲートウェイの共有に関する考慮事項 - Amazon VPC

トランジットゲートウェイの共有に関する考慮事項

AWS Resource Access Manager (RAM) を使用して、アカウント全体、または AWS Organizations 内の組織全体で VPC アタッチメントのtransit gatewayを共有することができます。transit gateway を共有する場合は、以下の点を考慮してください。共有リソースと RAM の詳細については、「AWS RAM ユーザーガイド」の「Working with shared AWS resources」(共有 AWS リソースの使用) を参照してください。

AWS Site-to-Site VPN アタッチメントは、transit gatewayを所有する同じ AWS アカウントで作成する必要があります。

Direct Connect ゲートウェイへのアタッチメントは Transit Gateway の関連付けを使用し、Direct Connect ゲートウェイと同じAWSアカウントと、別のアカウントのどちらにも存在することができます。

デフォルトでは、IAM ユーザーには AWS RAM リソースを作成または変更するためのアクセス許可はありません。IAM ユーザーがリソースを作成または変更してタスクを実行できるようにするには、特定のリソースと API アクションを使用するアクセス許可を付与する IAM ポリシーを作成する必要があります。そのため、そのようなアクセス許可が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。

リソース所有者のみ次のオペレーションを実行できます。

  • リソース共有を作成します。

  • リソース共有を更新します。

  • リソース共有を表示します。

  • アカウントによって共有されているリソースをすべてのリソース共有間で表示できます。

  • すべてのリソース共有で、リソースを共有しているプリンシパルを表示します。お客様の共有相手のプリンシパルを表示することで、お客様の共有リソースにアクセスできるプリンシパルを判別できます。

  • リソース共有を削除します。

  • transit gateway、transit gateway アタッチメント、および transit gateway ルートテーブル API をすべて実行します。

共有されているリソース上で次のオペレーションを実行することができます。

  • リソースの共有の招待を承認または拒否します。

  • リソース共有を表示します。

  • お客様がアクセスできる共有リソースを表示します。

  • リソースを共有しているすべてのプリンシパルのリストを表示します。共有されているリソースおよびリソース共有を確認することができます。

  • DescribeTransitGateways API を実行できます。

  • アタッチメントを作成して示している API を実行します (例: CreateTransitGatewayVpcAttachment および DescribeTransitGatewayVpcAttachments (VPC 内))。

  • リソース共有を終了します。

transit gatewayが共有されている場合、transit gatewayルートテーブルを作成、変更、削除することはできません。また、transit gatewayルートテーブルの伝播と関連付けもできません。

transit gateway を作成した場合、transit gateway は自分のアカウントにマップされているアベイラビリティーゾーンに作成され、他のアカウントからは独立しています。transit gatewayとアタッチメントエンティティが異なるアカウントにある場合、アベイラビリティーゾーン ID を使用してアベイラビリティーゾーンを一意に一貫して識別します。例えば、use1-az1 は、us-east-1 リージョンの AZ ID で、すべてのAWSアカウントで同じ場所にマッピングされます。

トランジットゲートウェイの共有解除

共有所有者が transit gateway の共有を解除する場合は、次のルールが適用されます。

  • transit gateway アタッチメントは、機能し続けます。

  • 共有されたアカウントで transit gateway を示すことはできません。

  • transit gateway の所有者、および共有所有者は transit gateway を削除することはできません。

transit gatewayの別の AWS アカウントとの共有が解除された、またはtransit gatewayが共有されている AWS アカウントが組織から削除された場合でも、transit gateway自体は影響を受けません。