Compartilhar sua VPC com outras contas

O compartilhamento de VPC permite que várias Contas da AWS criem os próprios recursos de aplicação, como instâncias do Amazon EC2, bancos de dados do Amazon Relational Database Service (RDS), clusters do Amazon Redshift e funções do AWS Lambda, em nuvens privadas virtuais (VPCs) compartilhadas e gerenciadas centralmente. Nesse modelo, a conta que possui a VPC (proprietária) compartilha uma ou mais sub-redes com outras contas (participantes) que pertencem à mesma organização no AWS Organizations. Quando uma sub-rede é compartilhada, os participantes podem visualizar, criar, modificar e excluir os recursos de seus aplicativos nas sub-redes compartilhadas com eles. Os participantes não poderão visualizar, modificar ou excluir recursos que pertencerem a outros participantes ou proprietários da VPC.

Também é possível compartilhar suas VPCs para aproveitar o roteamento implícito em uma VPC para aplicações que exijam um alto grau de interconectividade e que estão dentro dos mesmos limites de confiança. Isso reduz o número de VPCs que você cria e gerencia, enquanto ainda usa contas separadas para faturamento e controle de acesso. Os clientes podem simplificar as topologias de rede interconectando Amazon VPCs compartilhadas por meio de recursos de conectividade, como AWS PrivateLink, gateways de trânsito e emparelhamento de VPCs. Para obter mais informações sobre os benefícios de compartilhamento de VPCs, consulte VPC sharing: A new approach to multiple accounts and VPC management.

Tópicos

• Pré-requisitos para VPCs compartilhadas
• Compartilhar uma sub-rede
• Cancelar o compartilhamento de uma sub-rede compartilhada
• Identificar o proprietário de uma sub-rede compartilhada
• Gerenciar recursos de VPC
• Responsabilidades e permissões para proprietários e participantes
• Recursos da AWS e sub-redes de VPC
• Cotas de compartilhamento de VPC
• Exemplo de compartilhamento de sub-redes públicas e privadas

Pré-requisitos para VPCs compartilhadas

• As contas de proprietário e participante da VPC devem ser gerenciadas pelo AWS Organizations.

• Você deve habilitar o compartilhamento de recursos no console do AWS RAM na conta de gerenciamento da sua organização. Para obter mais informações, consulte Habilitar o compartilhamento de recursos no AWS Organizations no Guia do usuário do AWS RAM.

• Você deve criar um compartilhamento de recursos. Você pode especificar as sub-redes a serem compartilhadas ao criar o compartilhamento de recursos ou pode adicionar as sub-redes ao compartilhamento de recursos posteriormente usando o procedimento descrito na próxima seção. Para obter mais informações, consulte Criar um compartilhamento de recurso no Guia do usuário do AWS RAM.

Compartilhar uma sub-rede

Você pode compartilhar sub-redes não padrão com outras contas da sua organização como explicado a seguir.

Para compartilhar uma sub-rede usando o console

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Sub-redes.

3. Selecione sua sub-rede e escolha Actions (Ações), Share subnet (Compartilhar sub-rede).

4. Selecione seu compartilhamento de recurso e escolha Share subnet (Compartilhar sub-rede).

Para compartilhar uma sub-rede usando a AWS CLI

Use os comandos create-resource-share e associate-resource-share.

Mapear sub-redes entre zonas de disponibilidade

Para garantir a distribuição de recursos entre as zonas de disponibilidade de uma região, mapeamos as zonas de disponibilidade de forma independente para os nomes de cada conta. Por exemplo, a zona de disponibilidade us-east-1a de sua conta da AWS pode não ter o mesmo local que a us-east-1a de outra conta da AWS.

Para coordenar as zonas de disponibilidade entre contas para o compartilhamento de VPC, você deve usar um ID da zona de disponibilidade, que é um identificador exclusivo e consistente de uma zona de disponibilidade. Por exemplo, use1-az1 é o ID de uma das zonas de disponibilidade na região us-east-1. É possível visualizar os IDs de zona de disponibilidade para determinar o local dos recursos em uma conta em relação a outra conta. Você pode visualizar o ID da zona de disponibilidade de cada sub-rede no console da Amazon VPC.

O diagrama a seguir ilustra duas contas com diferentes mapeamentos de código de zona de disponibilidade para o ID de zona de disponibilidade.

Cancelar o compartilhamento de uma sub-rede compartilhada

O proprietário pode cancelar o compartilhamento de uma sub-rede com seus participantes em qualquer momento. Quando o proprietário cancela o compartilhamento de uma sub-rede compartilhada, as seguintes regras são aplicáveis:

• Os recursos existentes dos participantes continuarão em execução na sub-rede não compartilhada. Os serviços gerenciados da AWS (por exemplo, Elastic Load Balancing) que têm fluxos de trabalho automatizados/gerenciados (como auto scaling ou substituição de nós) podem exigir acesso contínuo à sub-rede compartilhada para alguns recursos.

• Os participantes não poderão mais criar novos recursos na sub-rede não compartilhada.

• Os participantes poderão modificar, descrever e excluir seus recursos que estiverem na sub-rede.

• Se os participantes ainda tiverem recursos na sub-rede não compartilhada, o proprietário não poderá excluir a sub-rede compartilhada ou a VPC da sub-rede compartilhada. O proprietário só poderá excluir a sub-rede ou a VPC da sub-rede compartilhada depois que os participantes excluírem todos os recursos da sub-rede não compartilhada.

Para cancelar o compartilhamento de uma sub-rede usando o console

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Sub-redes.

3. Selecione sua sub-rede e escolha Actions (Ações), Share subnet (Compartilhar sub-rede).

4. Escolha Actions (Ações), Stop sharing (Interromper compartilhamento).

Para cancelar o compartilhamento de uma sub-rede usando a AWS CLI

Use o comando disassociate-resource-share.

Identificar o proprietário de uma sub-rede compartilhada

Os participantes podem visualizar as sub-redes compartilhadas com eles usando o console da Amazon VPC ou a ferramenta da linha de comando.

Como identificar o proprietário de uma sub-rede usando o console

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Sub-redes. A coluna Owner (Proprietário) exibe o proprietário da sub-rede.

Para identificar o proprietário de uma sub-rede usando a AWS CLI

Use os comandos describe-subnets e describe-vpcs, que incluem o ID do proprietário em seus resultados.

Gerenciar recursos de VPC

Proprietários e participantes são responsáveis pelos recursos da VPC de sua propriedade.

Recursos dos proprietários

Os proprietários da VPC são responsáveis por criar, gerenciar e excluir os recursos associados a uma VPC compartilhada. Isso inclui sub-redes, tabelas de rotas, ACLs de rede, conexões de emparelhamento, endpoints de gateway, endpoints de interface, endpoints do Amazon Route 53 Resolver, gateways da Internet, gateways NAT, gateways privados virtuais e anexos do transit gateway.

Recursos dos participantes

Os participantes podem criar um conjunto limitado de recursos da VPC em uma VPC compartilhada. Por exemplo, os participantes podem criar interfaces de rede e grupos de segurança e habilitar logs de fluxo de VPC para as interfaces pertencentes a eles. Os recursos da VPC que um participante cria contam com base nas cotas da VPC na conta do participante, não na conta do proprietário. Para ter mais informações, consulte Compartilhamento da VPC.

Faturamento e medição para o proprietário e participantes

• Em uma VPC compartilhada, cada participante paga pelos recursos de aplicações, incluindo instâncias do Amazon EC2, bancos de dados do Amazon Relational Database Service, clusters do Amazon Redshift e funções do AWS Lambda. Os participantes também devem pagar pela transferência de dados realizada entre zonas de disponibilidade e pela transferência de dados via conexões de emparelhamento de VPC, entre gateways da Internet e entre gateways AWS Direct Connect.

• Os proprietários da VPC são cobrados por hora (onde aplicável), pelo processamento de dados e pela transferência de dados em todos os gateways NAT, gateways privados virtuais, gateways de trânsito, AWS PrivateLink e VPC endpoints. Além disso, os endereços IPv4 públicos usados em VPCs compartilhadas são cobrados dos proprietários de VPCs. Para obter mais informações sobre preços de endereços IPv4 públicos, consulte a guia Endereço IPv4 público na Página de preços da Amazon VPC.

• As transferências de dados dentro da mesma zona de disponibilidade (identificadas por seu ID de AZ exclusivo) são gratuitas, independentemente de quem é o proprietário dos recursos em comunicação.

Responsabilidades e permissões para proprietários e participantes

As seguintes responsabilidades e permissões se aplicam aos recursos da VPC ao trabalhar com sub-redes de VPC compartilhadas:

Logs de fluxo

• Os participantes não podem criar, excluir ou descrever logs de fluxo em uma sub-rede de VPC compartilhada que não seja de sua propriedade.

• Os participantes podem criar, excluir e descrever logs de fluxo em uma sub-rede de VPC compartilhada que é de sua propriedade.

• Os proprietários de VPC não podem descrever ou excluir logs de fluxo criados por um participante.

Gateways da Internet e gateways da Internet somente de saída

• Os participantes não podem criar, anexar ou excluir gateways da Internet e gateways da Internet somente de saída em uma sub-rede de VPC compartilhada. Os participantes podem descrever os gateways da Internet em uma sub-rede deVPC compartilhada. Os participantes não podem descrever gateways da Internet somente de saída em uma sub-rede de VPC compartilhada.

Gateways NAT

• Os participantes não podem criar, excluir ou descrever gateways NAT em uma sub-rede de VPC compartilhada.

Listas de controle de acesso à rede (NACLs)

• Os participantes não podem criar, excluir ou substituir NACLs em uma sub-rede de VPC compartilhada. Os participantes podem descrever NACLs criadas por proprietários de VPC em uma sub-rede de VPC compartilhada.

Interfaces de rede

• Os participantes podem criar interfaces de rede em uma sub-rede de VPC compartilhada. Os participantes não podem trabalhar com interfaces de rede criadas por proprietários de VPC em uma sub-rede de VPC compartilhada de nenhuma outra forma, por exemplo, anexar, desanexar ou modificar as interfaces de rede. Os participantes podem modificar ou excluir as interfaces de rede que eles criaram em uma VPC compartilhada. Por exemplo, os participantes podem associar ou desassociar endereços IP com as interfaces de rede que eles criaram.

• Os proprietários de VPC podem descrever as interfaces de rede de propriedade dos participantes em uma sub-rede de VPC compartilhada. Os proprietários de VPC não podem trabalhar com interfaces de rede de propriedade dos participantes de nenhuma outra forma, por exemplo, anexar, desanexar ou modificar as interfaces de rede de propriedade dos participantes em uma sub-rede de VPC compartilhada.

Tabelas de rotas

• Os participantes não podem trabalhar com tabelas de rotas (por exemplo, criar, excluir ou associar tabelas de rotas) em uma sub-rede de VPC compartilhada. Os participantes podem descrever tabelas de rotas em uma sub-rede de VPC compartilhada.

Grupos de segurança

• Os participantes podem trabalhar com (criar, excluir, descrever, modificar ou criar regras de entrada e de saída para) grupos de segurança pertencentes a eles em uma sub-rede de VPC compartilhada. Os participantes não podem trabalhar com grupos de segurança criados por proprietários de VPC de nenhuma forma.

• Os participantes podem criar regras nos grupos de segurança de sua propriedade que façam referência a grupos de segurança que pertençam a outros participantes ou ao proprietário da VPC da seguinte maneira: account-number/security-group-id

• Os participantes não podem executar instâncias usando grupos de segurança de propriedade do proprietário da VPC ou de outros participantes. Os participantes não podem executar instâncias usando o grupo de segurança padrão para a VPC porque ele pertence ao proprietário.

• Os proprietários de VPC podem descrever os grupos de segurança criados pelos participantes em uma sub-rede de VPC compartilhada. Os proprietários de VPC pnão podem trabalhar com grupos de segurança criados por participantes de nenhuma outra forma. Por exemplo, proprietários de VPC não podem executar instâncias usando grupos de segurança criados por participantes.

Subredes

• Os participantes não podem modificar sub-redes compartilhadas ou os atributos relacionados. Somente o proprietário da VPC pode fazer isso. Os participantes podem descrever sub-redes em uma sub-rede de VPC compartilhada.

• Os proprietários de VPC podem compartilhar sub-redes apenas com outras contas ou unidades organizacionais que estão na mesma organização do AWS Organizations. Os proprietários de VPC não podem compartilhar sub-redes que estejam em uma VPC padrão.

Gateways de trânsito

• Somente o proprietário de VPC pode anexar um gateway de trânsito a uma sub-rede de VPC compartilhada. Os participantes não podem.

VPCs

• Os participantes não podem modificar VPCs ou os atributos relacionados. Somente o proprietário da VPC pode fazer isso. Os participantes podem descrever as VPCs, os atributos e os conjuntos de opções de DHCP.

• As tags da VPC e as tags para os recursos dentro da VPC compartilhada não são compartilhadas com os participantes.

Recursos da AWS e sub-redes de VPC

Os Serviços da AWS a seguir oferecem suporte para recursos em sub-redes de VPC compartilhadas. Para obter mais informações sobre como o serviço oferece suporte para as sub-redes de VPC compartilhadas, acesse os links para a documentação do serviço correspondente.

• Amazon Aurora

• AWS CodeBuild

• AWS Database Migration Service

• Amazon EC2

• Amazon Elastic Kubernetes Service

• Elastic Load Balancing

  • Application Load Balancers

  • Gateway Load Balancers

  • Network Load Balancers

• Amazon EMR

• AWS Glue

• AWS Lambda

• AWS Network Manager

  • AWS Cloud WAN

  • Analisador de Acesso à Rede

  • Reachability Analyzer

• AWS PrivateLink^†

• Amazon Relational Database Service (RDS)

• Amazon Redshift

• Amazon Route 53

• AWS Transit Gateway

• Acesso Verificado pela AWS

• Amazon VPC

  • Emparelhamento

  • Espelhamento de tráfego

• Amazon VPC Lattice

^† Você pode se conectar a todos os serviços da AWS que oferecem suporte ao PrivateLink usando um endpoint de VPC em uma VPC compartilhada. Para obter uma lista de serviços que oferecem suporte ao PrivateLink, consulte Serviços da AWS que se integram ao AWS PrivateLink, no Guia do AWS PrivateLink.

Cotas de compartilhamento de VPC

Há cotas relacionadas a compartilhamentos de VPCs. Para ter mais informações, consulte Compartilhamento da VPC.