Responsabilidades e permissões para proprietários e participantes

Recursos dos proprietários Recursos dos participantes Recursos da VPC Recursos da AWS e sub-redes de VPC

Esta seção inclui detalhes sobre as responsabilidades e permissões dos proprietários da sub-rede compartilhada (proprietário) e dos que estão usando a sub-rede compartilhada (participante).

Recursos dos proprietários

Os proprietários são responsáveis pelos recursos da VPC da qual são donos. Os proprietários da VPC são responsáveis por criar, gerenciar e excluir os recursos associados a uma VPC compartilhada. Isso inclui sub-redes, tabelas de rotas, ACLs de rede, conexões de emparelhamento, endpoints de gateway, endpoints de interface, endpoints do Amazon Route 53 Resolver, gateways da Internet, gateways NAT, gateways privados virtuais e anexos do transit gateway.

Recursos dos participantes

Os participantes são responsáveis pelos recursos da VPC dos quais são donos. Os participantes podem criar um conjunto limitado de recursos da VPC em uma VPC compartilhada. Por exemplo, os participantes podem criar interfaces de rede e grupos de segurança e habilitar logs de fluxo de VPC para as interfaces pertencentes a eles. Os recursos da VPC que um participante cria contam com base nas cotas da VPC na conta do participante, não na conta do proprietário. Para obter mais informações, consulte Compartilhamento da VPC.

Recursos da VPC

As seguintes responsabilidades e permissões se aplicam aos recursos da VPC ao trabalhar com sub-redes de VPC compartilhadas:

Logs de fluxo

Os participantes não podem criar, excluir ou descrever logs de fluxo em uma sub-rede de VPC compartilhada que não seja de sua propriedade.
Os participantes podem criar, excluir e descrever logs de fluxo em uma sub-rede de VPC compartilhada que é de sua propriedade.
Os proprietários de VPC não podem descrever ou excluir logs de fluxo criados por um participante.

Gateways da Internet e gateways da Internet somente de saída

Os participantes não podem criar, anexar ou excluir gateways da Internet e gateways da Internet somente de saída em uma sub-rede de VPC compartilhada. Os participantes podem descrever os gateways da Internet em uma sub-rede deVPC compartilhada. Os participantes não podem descrever gateways da Internet somente de saída em uma sub-rede de VPC compartilhada.

Gateways NAT

Os participantes não podem criar, excluir ou descrever gateways NAT em uma sub-rede de VPC compartilhada.

Listas de controle de acesso à rede (NACLs)

Os participantes não podem criar, excluir ou substituir NACLs em uma sub-rede de VPC compartilhada. Os participantes podem descrever NACLs criadas por proprietários de VPC em uma sub-rede de VPC compartilhada.

Interfaces de rede

Os participantes podem criar interfaces de rede em uma sub-rede de VPC compartilhada. Os participantes não podem trabalhar com interfaces de rede criadas por proprietários de VPC em uma sub-rede de VPC compartilhada de nenhuma outra forma, por exemplo, anexar, desanexar ou modificar as interfaces de rede. Os participantes podem modificar ou excluir as interfaces de rede que eles criaram em uma VPC compartilhada. Por exemplo, os participantes podem associar ou desassociar endereços IP com as interfaces de rede que eles criaram.
Os proprietários de VPC podem descrever as interfaces de rede de propriedade dos participantes em uma sub-rede de VPC compartilhada. Os proprietários de VPC não podem trabalhar com interfaces de rede de propriedade dos participantes de nenhuma outra forma, por exemplo, anexar, desanexar ou modificar as interfaces de rede de propriedade dos participantes em uma sub-rede de VPC compartilhada.

Tabelas de rotas

Os participantes não podem trabalhar com tabelas de rotas (por exemplo, criar, excluir ou associar tabelas de rotas) em uma sub-rede de VPC compartilhada. Os participantes podem descrever tabelas de rotas em uma sub-rede de VPC compartilhada.

Grupos de segurança

Os participantes podem trabalhar com (criar, excluir, descrever, modificar ou criar regras de entrada e de saída para) grupos de segurança pertencentes a eles em uma sub-rede de VPC compartilhada. Os participantes não podem trabalhar com grupos de segurança criados por proprietários de VPC de nenhuma forma.
Os participantes podem criar regras nos grupos de segurança de sua propriedade que façam referência a grupos de segurança que pertençam a outros participantes ou ao proprietário da VPC da seguinte maneira: account-number/security-group-id
Os participantes não podem executar instâncias usando grupos de segurança de propriedade do proprietário da VPC ou de outros participantes. Os participantes não podem executar instâncias usando o grupo de segurança padrão para a VPC porque ele pertence ao proprietário.
Os proprietários de VPC podem descrever os grupos de segurança criados pelos participantes em uma sub-rede de VPC compartilhada. Os proprietários de VPC pnão podem trabalhar com grupos de segurança criados por participantes de nenhuma outra forma. Por exemplo, proprietários de VPC não podem executar instâncias usando grupos de segurança criados por participantes.

Subredes

Os participantes não podem modificar sub-redes compartilhadas ou os atributos relacionados. Somente o proprietário da VPC pode fazer isso. Os participantes podem descrever sub-redes em uma sub-rede de VPC compartilhada.
Os proprietários de VPC podem compartilhar sub-redes apenas com outras contas ou unidades organizacionais que estão na mesma organização do AWS Organizations. Os proprietários de VPC não podem compartilhar sub-redes que estejam em uma VPC padrão.

Gateways de trânsito

Somente o proprietário de VPC pode anexar um gateway de trânsito a uma sub-rede de VPC compartilhada. Os participantes não podem.

VPCs

Os participantes não podem modificar VPCs ou os atributos relacionados. Somente o proprietário da VPC pode fazer isso. Os participantes podem descrever as VPCs, os atributos e os conjuntos de opções de DHCP.
As tags da VPC e as tags para os recursos dentro da VPC compartilhada não são compartilhadas com os participantes.

Os AWS services a seguir oferecem suporte para recursos em sub-redes de VPC compartilhadas. Para obter mais informações sobre como o serviço oferece suporte para as sub-redes de VPC compartilhadas, acesse os links para a documentação do serviço correspondente.

Amazon Aurora
AWS CodeBuild
AWS Database Migration Service
Amazon EC2
Amazon ElastiCache para Redis
Amazon Elastic Kubernetes Service
Elastic Load Balancing
Amazon EMR
AWS Glue
AWS Lambda
Amazon MQ executando o Apache MQ (não o Rabbit MQ)
Amazon MSK
AWS Network Manager
Amazon OpenSearch Service
AWS PrivateLink^†
Amazon Relational Database Service (RDS)
Amazon Redshift
Amazon Route 53
AWS Transit Gateway
Acesso Verificado pela AWS
Amazon VPC
- Emparelhamento
- Espelhamento de tráfego
Amazon VPC Lattice

^† Você pode se conectar a todos os serviços da AWS que oferecem suporte ao PrivateLink usando um endpoint de VPC em uma VPC compartilhada. Para obter uma lista de serviços que oferecem suporte ao PrivateLink, consulte Serviços da AWS que se integram ao AWS PrivateLink, no Guia do AWS PrivateLink.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Cobrança e medição para o proprietário e participantes

Estender uma VPC para outras zonas