다른 계정과 VPC 공유

VPC 공유를 이용하면 여러 AWS 계정에서 Amazon EC2 인스턴스, Amazon Relational Database Service(RDS) 데이터베이스, Amazon Redshift 클러스터, AWS Lambda 함수 등의 애플리케이션 리소스를 중앙 관리형 공유 Virtual Private Cloud(VPC)로 생성할 수 있습니다. 이 모델에서 VPC(소유자)를 소유하는 계정은 AWS Organizations의 동일한 조직에 속한 다른 계정(참여자)과 한 개 또는 여러 개의 서브넷을 공유합니다. 서브넷을 공유한 후 참여자는 공유된 서브넷의 해당 애플리케이션 리소스를 보고, 생성하고, 수정하고, 삭제할 수 있습니다. 참여자는 다른 참여자 또는 VPC 소유자에 속한 리소스를 보거나 수정하거나 삭제할 수 없습니다.

VPC를 공유하여 높은 상호 연결성을 필요로 하고 동일한 신뢰 경계 내에 있는 애플리케이션에 대해 VPC 내의 암시적 라우팅을 활용할 수 있습니다. 이렇게 하면 생성 및 관리하는 VPC 수가 줄어들고 청구 및 액세스 제어에 별도의 계정을 사용할 수 있습니다. AWS PrivateLink, Transit Gateway, VPC 피어링 같은 연결 기능으로 공유 Amazon VPC를 상호 연결하여 네트워크 토폴로지를 더욱 단순화할 수 있습니다. VPC 공유 혜택에 대한 자세한 내용은 VPC 공유: 여러 계정 및 VPC 관리에 대한 새로운 접근 방식을 참조하세요.

목차

• 공유 VPC 사전 조건
• 서브넷 공유
• 공유 서브넷 공유 해제
• 공유 서브넷의 소유자 식별
• VPC 리소스 관리
• 소유자 및 참가자에 대한 책임 및 권한
• AWS 리소스 및 공유 VPC 서브넷
• VPC 공유 할당량
• 퍼블릭 서브넷과 프라이빗 서브넷 공유 예

공유 VPC 사전 조건

조직의 관리 계정에서 리소스 공유를 활성화해야 합니다. 리소스 공유 활성화에 대한 자세한 내용은 AWS RAM 사용자 안내서의 AWS Organizations과의 공유 활성화를 참조하세요.

서브넷 공유

기본이 아닌 서브넷을 조직의 다른 계정과 공유할 수 있습니다. 서브넷을 공유하려면 먼저 공유할 서브넷 및 서브넷을 공유하려는 AWS 계정, 조직 단위 또는 전체 조직과 리소스 공유를 생성해야 합니다. 리소스 공유 생성에 대한 자세한 내용은 AWS RAM 사용 설명서의 리소스 공유 생성을 참조하세요.

콘솔을 사용하여 서브넷을 공유하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 서브넷을 선택합니다.

3. 서브넷을 선택하고 작업, 서브넷 공유를 선택합니다.

4. 리소스 공유를 선택하고 서브넷 공유를 선택합니다.

AWS CLI를 사용하여 서브넷을 공유하려면

create-resource-share 명령과 associate-resource-share 명령을 사용합니다.

여러 가용 영역에서 서브넷 매핑

리전의 가용 영역에 걸쳐 리소스가 배포될 수 있도록 각 계정의 이름에 가용 영역을 독립적으로 매핑합니다. 예를 들어 AWS 계정의 us-east-1a 가용 영역은 다른 AWS 계정에 대한 us-east-1a로 위치가 동일하지 않을 수 있습니다.

VPC 공유를 위해 계정에 대해 가용 영역을 조정하려면 가용 영역에 대한 고유하고 일관된 식별자인 AZ ID를 사용해야 합니다. 예를 들어, use1-az1은 us-east-1 리전의 가용 영역 중 하나에 대한 AZ ID입니다. AZ ID를 사용하여 다른 계정과 관련된 하나의 계정의 리소스 위치를 판단합니다. Amazon VPC 콘솔에서 각 서브넷에 대한 AZ ID를 확인할 수 있습니다.

다음 다이어그램은 가용 영역 코드를 AZ ID에 매핑하는 서로 다른 두 개의 계정을 보여 줍니다.

공유 서브넷 공유 해제

소유자는 참여자와 공유한 서브넷을 언제든지 공유 해제할 수 있습니다. 소유자가 공유한 서브넷을 해제하면 다음 규칙이 적용됩니다.

• 기존 참여자 리소스는 공유 해제된 서브넷에서 계속 실행됩니다. 자동/관리형 워크플로(예: Auto Scaling 또는 노드 교체)가 있는 AWS 관리형 서비스 (예: Elastic Load Balancing의 경우 일부 리소스의 공유 서브넷에 지속적으로 액세스해야 할 수 있습니다.

• 참여자는 공유 해제된 서브넷에 더 이상 새로운 리소스를 생성할 수 없습니다.

• 참여자는 서브넷에 있는 리소스를 수정, 기술하고 삭제할 수 있습니다.

• 참여자가 공유 해제된 서브넷의 리소스를 여전히 가지고 있을 경우 소유자는 공유 서브넷 또는 공유 서브넷 VPC를 삭제할 수 없습니다. 참여자가 공유 해제된 서브넷의 모든 리소스를 삭제한 후에만 소유자는 서브넷 또는 공유 서브넷 VPC를 삭제할 수 있습니다.

콘솔을 사용하여 서브넷을 공유 해제하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 서브넷을 선택합니다.

3. 서브넷을 선택하고 작업, 서브넷 공유를 선택합니다.

4. 작업, 공유 중지를 선택합니다.

AWS CLI를 사용하여 서브넷을 공유 해제하려면

disassociate-resource-share 명령을 사용합니다.

공유 서브넷의 소유자 식별

참여자는 공유된 서브넷을 Amazon VPC 콘솔이나 명령줄 도구를 사용하여 볼 수 있습니다.

콘솔을 사용하여 서브넷 소유자를 식별하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 서브넷을 선택합니다. 소유자 열에 서브넷 소유자가 표시됩니다.

AWS CLI를 사용하여 서브넷 소유자를 식별하려면

describe-subnets 명령과 describe-vpcs 명령을 사용합니다. 출력에 소유자의 ID가 포함됩니다.

VPC 리소스 관리

소유자와 참여자는 자신이 소유한 VPC 리소스에 책임이 있습니다.

소유자 리소스

VPC 소유자는 공유 VPC와 연결된 리소스를 생성, 관리 및 삭제할 책임이 있습니다. 이러한 책임에는 서브넷, 라우팅 테이블, 네트워크 ACL, 피어링 연결, 게이트웨이 엔드포인트, 인터페이스 엔드포인트, Amazon Route 53 Resolver 엔드포인트, 인터넷 게이트웨이, NAT 게이트웨이, 가상 프라이빗 게이트웨이 및 전송 게이트웨이 연결이 포함됩니다.

참여자 리소스

참여자는 공유된 VPC에서 제한된 VPC 리소스 세트를 생성할 수 있습니다. 예를 들어 참여자는 네트워크 인터페이스 및 보안 그룹을 생성하고 자신이 소유한 네트워크 인터페이스에 대한 흐름 로그를 활성화할 수 있습니다. 참여자가 생성하는 VPC 리소스는 소유자 계정이 아닌 참여자 계정의 VPC 할당량에 포함됩니다. 자세한 내용은 VPC 공유 단원을 참조하십시오.

소유자 및 참여자에 대한 청구 및 측정

• 공유 VPC에서 각 참여자는 Amazon EC2 인스턴스, Amazon Relational Database Service 데이터베이스, Amazon Redshift 클러스터 및 AWS Lambda 함수를 비롯한 애플리케이션 리소스에 대한 비용을 지불합니다. 또한 참가자는 가용 영역 간 데이터 전송은 물론 VPC 피어링 연결을 통한 데이터 전송, 인터넷 게이트웨이 간 데이터 전송 및 AWS Direct Connect 게이트웨이 간 데이터 전송과 연결된 데이터 전송 요금을 지불합니다.

• VPC 소유자는 NAT 게이트웨이, 가상 프라이빗 게이트웨이, 전송 게이트웨이, AWS PrivateLink 및 VPC 엔드포인트에서의 데이터 처리 및 데이터 전송 요금을 시간당 요금(해당하는 경우)으로 지불합니다. 아울러 공유 VPC에서 사용되는 퍼블릭 IPv4 주소는 VPC 소유자에게 요금이 청구됩니다. 퍼블릭 IPv4 주소 요금에 대한 자세한 내용은 Amazon VPC 요금 페이지의 퍼블릭 IPv4 주소 탭을 참조하세요.

• 동일한 가용 영역(AZ-ID를 사용하여 고유하게 식별됨) 내에서의 데이터 전송은 통신 리소스의 계정 소유권과 상관없이 무료입니다.

소유자 및 참가자에 대한 책임 및 권한

공유 VPC 서브넷으로 작업할 때 VPC 리소스에는 다음과 같은 책임 및 권한이 적용됩니다.

흐름 로그

• 참가자는 자신이 소유하지 않은 공유 VPC 서브넷에서 흐름 로그를 생성, 삭제하거나 이를 설명할 수 없습니다.

• 참가자는 자신이 소유한 공유 VPC 서브넷에서 흐름 로그를 생성, 삭제하거나 이를 설명할 수 있습니다.

• VPC 소유자는 참가자가 생성한 흐름 로그를 설명하거나 삭제할 수 없습니다.

인터넷 게이트웨이 및 외부 전용 인터넷 게이트웨이

• 참가자는 공유 VPC 서브넷에서 인터넷 게이트웨이 및 외부 전용 인터넷 게이트웨이를 생성, 연결 또는 삭제할 수 없습니다. 참가자는 공유 VPC 서브넷의 인터넷 게이트웨이를 설명할 수 있습니다. 참가자는 공유 VPC 서브넷의 송신 전용 인터넷 게이트웨이를 설명할 수 없습니다.

NAT 게이트웨이

• 참가자는 공유 VPC 서브넷에서 NAT 게이트웨이를 생성, 삭제 또는 설명할 수 없습니다.

네트워크 액세스 제어 목록(NACL)

• 참가자는 공유 VPC 서브넷에서 NACL을 생성, 삭제 또는 교체할 수 없습니다. 참가자는 공유 VPC 서브넷에서 VPC 소유자가 생성한 NACL을 설명할 수 있습니다.

네트워크 인터페이스

• 참가자는 공유 VPC 서브넷에서 네트워크 인터페이스를 만들 수 있습니다. 참가자는 공유 VPC 서브넷에서 VPC 소유자가 생성한 네트워크 인터페이스에 대해 다른 방식(예: 네트워크 인터페이스 연결, 연결 해제 또는 수정)으로 작업할 수 없습니다. 참가자는 공유 VPC에서 자신이 생성한 네트워크 인터페이스를 수정 또는 삭제할 수 있습니다. 예를 들어 참가자는 자신이 생성한 네트워크 인터페이스에 IP 주소를 연결하거나 연결 해제할 수 있습니다.

• VPC 소유자는 공유 VPC 서브넷의 참가자가 소유한 네트워크 인터페이스를 설명할 수 있습니다. VPC 소유자는 참가자가 소유한 네트워크 인터페이스를 다른 방식(예: 공유 VPC 서브넷의 참가자가 소유한 네트워크 인터페이스의 연결, 연결 해제 또는 수정)으로 작업할 수 없습니다.

라우팅 테이블

• 참가자는 공유 VPC 서브넷에서 라우팅 테이블에 대한 작업(예: 라우팅 테이블 생성, 삭제 또는 연결)을 수행할 수 없습니다. 참가자는 공유 VPC 서브넷의 라우팅 테이블을 설명할 수 있습니다.

보안 그룹

• 참가자는 공유 VPC 서브넷에서 자신이 소유하는 보안 그룹을 작업할 수 있습니다(수신 및 송신 규칙 생성, 삭제, 설명 또는 수정). 참가자는 VPC 소유자가 생성한 보안 그룹을 다른 방식으로 작업할 수 없습니다.

• 참가자는 자신이 소유한 보안 그룹에 다른 참가자나 VPC 소유자에게 속하는 보안 그룹을 참조하는 규칙을 만들 수 있습니다(예: account-number/security-group-id)

• 참가자는 VPC 소유자나 다른 참가자나 소유한 보안 그룹을 사용하여 인스턴스를 시작할 수 없습니다. 참가자는 VPC의 기본 보안 그룹을 사용하여 인스턴스를 시작할 수 없습니다. 이는 소유자에게 속해 있기 때문입니다.

• 참가자는 공유 VPC 서브넷에서 참가자가 생성한 보안 그룹을 설명할 수 있습니다. VPC 소유자는 참가자가 생성한 보안 그룹을 다른 방식으로 작업할 수 없습니다. 예를 들어, VPC 소유자는 참가자가 생성한 보안 그룹을 사용하여 인스턴스를 시작할 수 없습니다.

서브넷

• 참가자는 공유 서브넷 또는 관련 속성을 수정할 수 없습니다. VPC 소유자만 수정할 수 있습니다. 참가자는 공유 VPC 서브넷에서 서브넷을 설명할 수 있습니다.

• VPC 소유자는 AWS Organizations에서 동일한 조직에 속한 다른 계정 또는 다른 조직 단위와만 서브넷을 공유할 수 있습니다. VPC 소유자는 기본 VPC에 있는 서브넷을 공유할 수 없습니다.

Transit Gateway

• 서브넷 소유자만 공유 VPC 서브넷에 전송 게이트웨이를 연결할 수 있습니다. 참여자는 선택할 수 없습니다.

VPC

• 참가자는 VPC 또는 그 해당 속성을 수정할 수 없습니다. VPC 소유자만 수정할 수 있습니다. 참가자는 VPC, 해당 속성 및 DHCP 옵션 세트를 설명할 수 있습니다.

• VPC 태그와 공유 VPC 내 리소스에 대한 태그는 참여자와 공유되지 않습니다.

AWS 리소스 및 공유 VPC 서브넷

다음 AWS 서비스는 공유 VPC 서브넷의 리소스를 지원합니다. 서비스가 공유 VPC 서브넷을 지원하는 방법에 대한 자세한 내용은 해당 서비스 문서에 대한 링크를 따르세요.

• Amazon Aurora

• AWS CodeBuild

• AWS Database Migration Service

• Amazon EC2

• Amazon Elastic Kubernetes Service

• Elastic Load Balancing

  • Application Load Balancers

  • Gateway Load Balancers

  • Network Load Balancers

• Amazon EMR

• AWS Glue

• AWS Lambda

• AWS Network Manager

  • AWS 클라우드 WAN

  • Network Access Analyzer

  • Reachability Analyzer

• AWS PrivateLink^†

• Amazon Relational Database Service(RDS)

• Amazon Redshift

• Amazon Route 53

• AWS Transit Gateway

• AWS Verified Access

• Amazon VPC

  • 피어링

  • 트래픽 미러링

• Amazon VPC Lattice

^† 공유 VPC에서 VPC 엔드포인트를 사용하여 PrivateLink를 지원하는 모든 AWS 서비스에 연결할 수 있습니다. PrivateLink를 지원하는 서비스 목록은 AWS PrivateLink 가이드에서 AWS PrivateLink와 통합되는 AWS 서비스를 참조하세요.

VPC 공유 할당량

VPC 공유와 관련된 할당량이 있습니다. 자세한 내용은 VPC 공유 단원을 참조하십시오.