아키텍처 3.1: AWS RAM을 갖춘 Transit Gateway

AWS Resource Access Manager(AWS RAM)를 통해 소유하고 있는 지정된 AWS 리소스를 다른 AWS 계정과 공유할 수 있습니다. 이 서비스는 서로 다른 유형의 AWS 리소스를 여러 계정에서 공유할 수 있는 일관된 환경을 제공하는 중앙 관리형 서비스입니다. 계정이 AWS Organizations의 다른 조직에 있더라도 AWS RAM로 계정 간에 전송 게이트웨이를 공유할 수 있습니다.

Transit Gateway 소유자만 AWS RAM에서 다음 작업을 수행할 수 있습니다

• 리소스 공유를 생성할 수 있습니다.

• 리소스 공유를 업데이트할 수 있습니다.

• 리소스 공유를 볼 수 있습니다.

• 귀하의 계정이 공유한 리소스를 모든 리소스 공유에 걸쳐 볼 수 있습니다.

• 귀하와 리소스를 공유 중인 보안 주체를 모든 리소스 공유에 걸쳐 볼 수 있습니다. 이는 공유 리소스에 액세스할 수 있는 사람을 결정하는 데 도움이 됩니다.

• 리소스 공유를 삭제할 수 있습니다.

• 모든 Transit Gateway, Transit Gateway Attachment 및 Transit Gateway 라우팅 테이블 API를 실행합니다.

AWS RAM에서는 사용자 계정은 공유자이고 타사 계정은 수락자입니다. 수락자는 전송 게이트웨이 라우팅 테이블 또는 해당 전파 및 연결을 생성, 수정 또는 삭제할 수 없습니다. 이 구성은 공유 전송 게이트웨이의 소유자로서 해당 구성에 대한 많은 양의 제어와 높은 수준의 가시성을 제공합니다. 따라서 타사 서비스 제공업체는 전송 게이트웨이 구성을 최소한으로 제어할 수 있기 때문에 이 옵션을 수락하지 않을 수 있습니다.

다음 아키텍처 다이어그램은 AWS RAM를 사용하여 타사 서비스 공급업체와 전송 게이트웨이를 공유하는 방법을 보여줍니다. 보안을 위해 계정에 새 전송 게이트웨이를 생성합니다. 새 전송 게이트웨이를 타사의 VPC에 연결합니다. 피어링 연결을 사용하여 새 전송 게이트웨이를 VPC에 연결된 계정의 기존 전송 게이트웨이에 연결합니다. 검사 VPC의 탄력적 네트워크 인터페이스에 연결하려면 새 전송 게이트웨이에서 어플라이언스 모드를 활성화합니다. 검사 VPC에 대한 자세한 내용은 네트워크 검사 중앙 집중화 섹션을 참조하세요.