Amazon Virtual Private Cloud
사용 설명서

공유된 VPC에 대한 작업

VPC 공유를 사용하면 여러 AWS 계정에서 Amazon EC2 인스턴스, Amazon Relational Database Service(RDS) 데이터베이스, Amazon Redshift 클러스터, AWS Lambda 함수 등과 같은 애플리케이션 리소스를 공유되는 중앙 관리형 Amazon Virtual Private Cloud(VPC)에 생성할 수 있습니다. 이 모델에서 VPC(소유자)를 소유하는 계정은 AWS Organizations의 동일한 조직에 속한 다른 계정(참여자)과 한 개 또는 여러 개의 서브넷을 공유합니다. 서브넷을 공유한 후 참여자는 공유된 서브넷의 해당 애플리케이션 리소스를 보고, 생성하고, 수정하고, 삭제할 수 있습니다. 참여자는 다른 참여자 또는 VPC 소유자에 속한 리소스를 보거나 수정하거나 삭제할 수 없습니다.

공유 VPC 사전 조건

해당 조직의 마스터 계정에서 리소스 공유를 활성화해야 합니다. 리소스 공유 활성화에 대한 자세한 정보는 AWS RAM 사용 설명서AWS Organizations를 사용하여 공유 활성화를 참조하십시오.

서브넷 공유

기본이 아닌 서브넷을 조직의 다른 계정과 공유할 수 있습니다. 서브넷을 공유하려면 먼저 공유할 서브넷 및 서브넷을 공유하려는 AWS 계정, 조직 단위 또는 전체 조직과 리소스 공유를 생성해야 합니다. 리소스 공유 생성에 대한 자세한 정보는 AWS RAM 사용 설명서리소스 공유 생성을 참조하십시오.

콘솔을 사용하여 서브넷을 공유하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 서브넷을 선택합니다.

  3. 서브넷을 선택하고 작업, 서브넷 공유를 선택합니다.

  4. 리소스 공유를 선택하고 서브넷 공유를 선택합니다.

AWS CLI를 사용하여 서브넷을 공유하려면

create-resource-share 명령과 associate-resource-share 명령을 사용합니다.

가용 영역에 서브넷 매핑

리전의 가용 영역에 걸쳐 리소스가 배포될 수 있도록 AWS는 각 계정의 이름에 가용 영역을 독립적으로 매핑합니다. 예를 들어 AWS 계정의 us-east-1a 가용 영역은 다른 AWS 계정에 대한 us-east-1a 가용 영역과 위치가 동일하지 않을 수 있습니다.

VPC 공유를 위해 계정에 대해 가용 영역을 조정하려면 가용 영역에 대한 고유하고 일관된 식별자인 AZ ID를 사용해야 합니다. 예를 들어, use1-az1us-east-1 리전의 가용 영역 중 하나입니다. 가용 영역 ID를 사용하여 다른 계정의 리소스를 기준으로 한 계정의 리소스 위치를 확인할 수 있습니다. 자세한 정보는 AWS RAM 사용 설명서에서 리소스의 AZ ID를 참조하십시오.

공유된 서브넷의 공유 해제

소유자는 참여자와 공유한 서브넷을 언제든지 공유 해제할 수 있습니다. 소유자가 공유한 서브넷을 해제하면 다음 규칙이 적용됩니다.

  • 기존 참여자 리소스는 공유 해제된 서브넷에서 계속 실행됩니다.

  • 참여자는 공유 해제된 서브넷에 더 이상 새로운 리소스를 생성할 수 없습니다.

  • 참여자는 서브넷에 있는 리소스를 수정, 기술하고 삭제할 수 있습니다.

  • 참여자가 공유 해제된 서브넷의 리소스를 여전히 가지고 있을 경우 소유자는 공유 서브넷 또는 공유 서브넷 VPC를 삭제할 수 없습니다. 참여자가 공유 해제된 서브넷의 모든 리소스를 삭제한 후에만 소유자는 서브넷 또는 공유 서브넷 VPC를 삭제할 수 있습니다.

콘솔을 사용하여 서브넷을 공유 해제하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 서브넷을 선택합니다.

  3. 서브넷을 선택하고 작업, 서브넷 공유를 선택합니다.

  4. 작업, 공유 중지를 선택합니다.

AWS CLI를 사용하여 서브넷을 공유 해제하려면

disassociate-resource-share 명령을 사용합니다.

공유 서브넷의 소유자 식별

참여자는 공유된 서브넷을 Amazon VPC 콘솔이나 명령줄 도구를 사용하여 볼 수 있습니다.

서브넷 소유자를 식별하려면(콘솔)

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 서브넷을 선택합니다. 소유자 열에 서브넷 소유자가 표시됩니다.

AWS CLI를 사용하여 서브넷 소유자를 식별하려면

describe-subnets 명령과 describe-vpcs 명령을 사용합니다. 출력에 소유자의 ID가 포함됩니다.

공유 서브넷 권한

소유자 권한

VPC 소유자는 서브넷, 경로 테이블, 네트워크 ACL, 피어링 연결, VPC 엔드포인트, PrivateLink 엔드포인트, 인터넷 게이트웨이, NAT 게이트웨이, 가상 프라이빗 게이트웨이 및 전송 게이트웨이 연결을 포함하여, VPC 수준의 모든 리소스를 생성, 관리 및 삭제할 책임이 있습니다.

VPC 소유자는 참여자가 생성한 보안 그룹을 비롯하여, 참여자 리소스를 수정하거나 삭제할 수 없습니다. VPC 소유자는 문제 해결 및 감사를 위해 모든 네트워크 인터페이스 및 참여자 리소스에 연결된 보안 그룹에 대한 세부 정보를 볼 수 있습니다. VPC 소유자는 트래픽 모니터링 또는 문제 해결을 위해 VPC, 서브넷 또는 ENI 수준에서 흐름 로그 구독을 생성할 수 있습니다.

참여자 권한

공유 VPC의 참여자는 Amazon EC2 인스턴스, Amazon RDS 데이터베이스, 로드 밸런서를 비롯하여 해당 리소스에 대한 생성, 관리 및 삭제를 책임집니다. 참여자는 다른 참여자 계정에 속한 리소스를 보거나 수정할 수 없습니다. 참여자는 라우팅 테이블 및 공유된 서브넷에 연결된 네트워크 ACL의 세부 정보를 볼 수 있습니다. 하지만 라우팅 테이블, 네트워크 ACL, 서브넷 등을 포함하여 VPC 수준 리소스를 수정할 수 없습니다. 참여자는 보안 그룹 ID를 사용하여 다른 참여자 또는 소유자에게 속한 보안 그룹을 참조할 수 있습니다. 참여자는 자신이 소유한 인터페이스에 대해서만 흐름 로그 구독을 생성할 수 있습니다.

소유자 및 참여자에 대한 청구 및 측정

공유 VPC에서 각 참여자는 Amazon EC2 인스턴스, Amazon Relational Database Service 데이터베이스, Amazon Redshift 클러스터, AWS Lambda 함수를 비롯하여 해당 애플리케이션 리소스에 대한 요금을 지불합니다. 또한 참여자는 가용 영역 간 데이터 전송, VPC 피어링 연결을 통한 데이터 전송, AWS Direct Connect 게이트웨이를 통한 데이터 전송과 연결된 데이터 전송 요금을 지불합니다. VPC 소유자는 NAT 게이트웨이, 가상 프라이빗 게이트웨이, 전송 게이트웨이, PrivateLink 및 VPC 엔드포인트에서의 데이터 처리 및 데이터 전송 요금을 시간당 요금(해당하는 경우)으로 지불합니다. 동일한 가용 영역(AZ-ID를 사용하여 고유하게 식별됨) 내에서의 데이터 전송은 통신 리소스의 계정 소유권과 상관없이 무료입니다.

공유 서브넷에 대해 지원되지 않는 서비스

참여자는 공유 서브넷을 다음 서비스와 공유할 수 없습니다.

  • Amazon Aurora Serverless

  • AWS CloudHSM

  • AWS Glue

  • Amazon EMR

  • Network Load Balancer

제한

다음 제한은 VPC 공유를 통한 작업에 적용됩니다.

  • 소유자는 AWS Organizations의 동일한 조직에 있는 다른 조직 단위 또는 계정하고만 서브넷을 공유할 수 있습니다.

  • 소유자는 기본 VPC에 있는 서브넷을 공유할 수 없습니다.

  • 참여자는 다른 참여자 또는 소유자가 소유한 보안 그룹을 사용하여 리소스를 시작할 수 없습니다.

  • 참여자는 VPC의 기본 보안 그룹을 사용하여 리소스를 시작할 수 없습니다. 그러한 그룹은 소유자에게 속해 있기 때문입니다.

  • 서비스 제한은 개별 계정별로 적용됩니다. 서비스 제한에 대한 자세한 정보는 Amazon Web Services 일반 참조에서 AWS 서비스 제한을 참조하십시오.

  • VPC 태그는 참가자와 공유되지 않습니다.