# Compartilhar as sub-redes da sua VPC com outras contas
<a name="vpc-sharing"></a>

O compartilhamento de sub-redes da VPC permite que várias Contas da AWS criem os próprios recursos de aplicação, como instâncias do Amazon EC2, bancos de dados do Amazon Relational Database Service (RDS), clusters do Amazon Redshift e funções do AWS Lambda, em nuvens privadas virtuais (VPCs) compartilhadas e gerenciadas centralmente. Nesse modelo, a conta que possui a VPC (proprietária) compartilha uma ou mais sub-redes com outras contas (participantes) que pertencem à mesma organização no AWS Organizations. Quando uma sub-rede é compartilhada, os participantes podem visualizar, criar, modificar e excluir os recursos de seus aplicativos nas sub-redes compartilhadas com eles. Os participantes não poderão visualizar, modificar ou excluir recursos que pertencerem a outros participantes ou proprietários da VPC.

Você também pode compartilhar as sub-redes da VPC para aproveitar o roteamento implícito em uma VPC para aplicações que exijam um alto grau de interconectividade e que estejam dentro dos mesmos limites de confiança. Isso reduz o número de VPCs que você cria e gerencia, enquanto ainda usa contas separadas para faturamento e controle de acesso. Os clientes podem simplificar as topologias de rede interconectando sub-redes compartilhadas da Amazon VPC usando recursos de conectividade, como o AWS PrivateLink, gateways de trânsito e emparelhamento de VPCs. Para obter mais informações sobre os benefícios do compartilhamento de sub-redes da VPC, consulte [VPC sharing: A new approach to multiple accounts and VPC management](https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-a-new-approach-to-multiple-accounts-and-vpc-management/).

Há cotas relacionadas a compartilhamentos de sub-redes da VPC. Para obter mais informações, consulte [compartilhamento sub-rede VPC](amazon-vpc-limits.md#vpc-share-limits).

**Topics**
+ [Pré-requisitos para sub-rede compartilhada](vpc-share-prerequisites.md)
+ [Trabalhando com sub-redes compartilhadas](vpc-sharing-share-subnet-working-with.md)
+ [Cobrança e medição para o proprietário e participantes](vpc-share-billing.md)
+ [Responsabilidades e permissões para proprietários e participantes](vpc-share-limitations.md)
+ [Recursos da AWS e sub-redes de VPC](vpc-sharing-service-behavior.md)

# Pré-requisitos para sub-rede compartilhada
<a name="vpc-share-prerequisites"></a>

Esta seção contém os pré-requisitos para trabalhar com sub-redes compartilhadas:
+ As contas de proprietário e participante da VPC devem ser gerenciadas pelo AWS Organizations.
+ Você deve habilitar o compartilhamento de recursos no console do AWS RAM na conta de gerenciamento da sua organização. Para obter mais informações, consulte [Habilitar o compartilhamento de recursos no AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) no *Guia do usuário do AWS RAM*.
+ Você deve criar um compartilhamento de recursos. Você pode especificar as sub-redes a serem compartilhadas ao criar o compartilhamento de recursos ou pode adicionar as sub-redes ao compartilhamento de recursos posteriormente usando o procedimento descrito na próxima seção. Para obter mais informações, consulte [Create a resource share](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create) no *Guia do usuário do AWS RAM*.

# Trabalhando com sub-redes compartilhadas
<a name="vpc-sharing-share-subnet-working-with"></a>

Esta seção descreve como trabalhar com sub-redes compartilhadas no console da AWS e na AWS CLI.

**Topics**
+ [Compartilhar uma sub-rede](#vpc-sharing-share-subnet)
+ [Cancelar o compartilhamento de uma sub-rede compartilhada](#vpc-sharing-stop-share-subnet)
+ [Identificar o proprietário de uma sub-rede compartilhada](#vpc-sharing-view-owner)

## Compartilhar uma sub-rede
<a name="vpc-sharing-share-subnet"></a>

Você pode compartilhar sub-redes não padrão com outras contas da sua organização como explicado a seguir. Além disso, você pode compartilhar grupos de segurança entre organizações da AWS. Para obter mais informações, consulte [Compartilhar grupos de segurança com o AWS Organizations](security-group-sharing.md).

**Para compartilhar uma sub-rede usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Sub-redes**.

1. Selecione sua sub-rede e escolha **Actions (Ações)**, **Share subnet (Compartilhar sub-rede)**. 

1. Selecione seu compartilhamento de recurso e escolha **Share subnet (Compartilhar sub-rede)**. 

**Para compartilhar uma sub-rede usando a AWS CLI**  
Use os comandos [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) e [associate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html).

### Mapear sub-redes entre zonas de disponibilidade
<a name="vpc-share-subnets-map-availability-zone"></a>

Para garantir a distribuição de recursos entre as zonas de disponibilidade de uma região, mapeamos as zonas de disponibilidade de forma independente para os nomes de cada conta. Por exemplo, a zona de disponibilidade `us-east-1a` de sua conta da AWS pode não ter o mesmo local que a `us-east-1a` de outra conta da AWS.

Para coordenar as zonas de disponibilidade entre contas para o compartilhamento de VPC, você deve usar um *ID da zona de disponibilidade*, que é um identificador exclusivo e consistente de uma zona de disponibilidade. Por exemplo, `use1-az1` é o ID de uma das zonas de disponibilidade na região `us-east-1`. É possível visualizar os IDs de zona de disponibilidade para determinar o local dos recursos em uma conta em relação a outra conta. Você pode visualizar o ID da zona de disponibilidade de cada sub-rede no console da Amazon VPC.

O diagrama a seguir ilustra duas contas com diferentes mapeamentos de código de zona de disponibilidade para o ID de zona de disponibilidade.

![\[Duas contas com diferentes mapeamentos de código de zona de disponibilidade para o ID de zona de disponibilidade.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/availability-zone-mapping.png)


## Cancelar o compartilhamento de uma sub-rede compartilhada
<a name="vpc-sharing-stop-share-subnet"></a>

O proprietário pode cancelar o compartilhamento de uma sub-rede com seus participantes em qualquer momento. Quando o proprietário cancela o compartilhamento de uma sub-rede compartilhada, as seguintes regras são aplicáveis:
+ Os recursos existentes dos participantes continuarão em execução na sub-rede não compartilhada. Os serviços gerenciados da AWS (por exemplo, Elastic Load Balancing) que têm fluxos de trabalho automatizados/gerenciados (como auto scaling ou substituição de nós) podem exigir acesso contínuo à sub-rede compartilhada para alguns recursos.
+ Os participantes não poderão mais criar novos recursos na sub-rede não compartilhada.
+ Os participantes poderão modificar, descrever e excluir seus recursos que estiverem na sub-rede.
+ Se os participantes ainda tiverem recursos na sub-rede não compartilhada, o proprietário não poderá excluir a sub-rede compartilhada ou a VPC da sub-rede compartilhada. O proprietário só poderá excluir a sub-rede ou a VPC da sub-rede compartilhada depois que os participantes excluírem todos os recursos da sub-rede não compartilhada.

**Para cancelar o compartilhamento de uma sub-rede usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Sub-redes**.

1. Selecione sua sub-rede e escolha **Actions (Ações)**, **Share subnet (Compartilhar sub-rede)**. 

1. Escolha **Actions (Ações)**, **Stop sharing (Interromper compartilhamento)**. 

**Para cancelar o compartilhamento de uma sub-rede usando a AWS CLI**  
Use o comando [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).

## Identificar o proprietário de uma sub-rede compartilhada
<a name="vpc-sharing-view-owner"></a>

Os participantes podem visualizar as sub-redes compartilhadas com eles usando o console da Amazon VPC ou a ferramenta da linha de comando.

**Como identificar o proprietário de uma sub-rede usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Sub-redes**. A coluna **Owner (Proprietário)** exibe o proprietário da sub-rede.

**Para identificar o proprietário de uma sub-rede usando a AWS CLI**  
Use os comandos [describe-subnets](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-subnets.html) e [describe-vpcs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpcs.html), que incluem o ID do proprietário em seus resultados.

# Cobrança e medição para o proprietário e participantes
<a name="vpc-share-billing"></a>

Esta seção contém detalhes de cobrança e medição para aqueles que possuem a sub-rede compartilhada e para aqueles que trabalham com a sub-rede compartilhada:
+ Em uma VPC compartilhada, cada participante paga pelos recursos de aplicações, incluindo instâncias do Amazon EC2, bancos de dados do Amazon Relational Database Service, clusters do Amazon Redshift e funções do AWS Lambda. Os participantes também devem pagar pela transferência de dados realizada entre zonas de disponibilidade e pela transferência de dados via conexões de emparelhamento de VPC, entre gateways da Internet e entre gateways AWS Direct Connect.
+ Os proprietários da VPC são cobrados por hora (onde aplicável), pelo processamento de dados e pela transferência de dados em todos os gateways NAT, gateways privados virtuais, gateways de trânsito, AWS PrivateLink e VPC endpoints. Além disso, os endereços IPv4 públicos usados em VPCs compartilhadas são cobrados dos proprietários de VPCs. Para obter mais informações sobre preços de endereços IPv4 públicos, consulte a guia **Endereço IPv4 público** na [Página de preços da Amazon VPC](https://aws.amazon.com/vpc/pricing/).
+ As transferências de dados dentro da mesma zona de disponibilidade (identificadas por seu ID de AZ exclusivo) são gratuitas, independentemente de quem é o proprietário dos recursos em comunicação.

# Responsabilidades e permissões para proprietários e participantes
<a name="vpc-share-limitations"></a>

Esta seção inclui detalhes sobre as responsabilidades e permissões dos proprietários da sub-rede compartilhada (proprietário) e dos que estão usando a sub-rede compartilhada (participante).

## Recursos dos proprietários
<a name="vpc-owner-permissions"></a>

Os proprietários são responsáveis pelos recursos da VPC da qual são donos. Os proprietários da VPC são responsáveis por criar, gerenciar e excluir os recursos associados a uma VPC compartilhada. Isso inclui sub-redes, tabelas de rotas, ACLs de rede, conexões de emparelhamento, endpoints de gateway, endpoints de interface, endpoints do Resolvedor Rota 53, gateways da Internet, gateways NAT, gateways privados virtuais e anexos do gateway de trânsito. 

## Recursos dos participantes
<a name="vpc-participant-permissions"></a>

Os participantes são responsáveis pelos recursos da VPC dos quais são donos. Os participantes podem criar um conjunto limitado de recursos da VPC em uma VPC compartilhada. Por exemplo, os participantes podem criar interfaces de rede e grupos de segurança e habilitar logs de fluxo de VPC para as interfaces pertencentes a eles. Os recursos da VPC que um participante cria contam com base nas cotas da VPC na conta do participante, não na conta do proprietário. Para obter mais informações, consulte [compartilhamento sub-rede VPC](amazon-vpc-limits.md#vpc-share-limits).

## Recursos da VPC
<a name="vpc-resource-permissions"></a>

As seguintes responsabilidades e permissões se aplicam aos recursos da VPC ao trabalhar com sub-redes de VPC compartilhadas:

**Logs de fluxo**
+ Os participantes podem criar, excluir e descrever logs de fluxo de interfaces de rede de sua propriedade em uma sub-rede compartilhada da VPC.
+ Os participantes não podem criar, excluir e descrever logs de fluxo de interfaces de rede que não sejam de sua propriedade em uma sub-rede compartilhada da VPC.
+ Os participantes não podem criar, excluir ou descrever logs de fluxo em uma sub-rede compartilhada da VPC.
+ Os proprietários da VPC podem criar, excluir e descrever logs de fluxo de interfaces de rede que não sejam de sua propriedade em uma sub-rede compartilhada da VPC.
+ Os proprietários da VPC podem criar, excluir e descrever logs de uma sub-rede compartilhada da VPC.
+ Os proprietários de VPC não podem descrever ou excluir logs de fluxo criados por um participante. 

**Gateways da Internet e gateways da Internet somente de saída**
+ Os participantes não podem criar, anexar ou excluir gateways da Internet e gateways da Internet somente de saída em uma sub-rede de VPC compartilhada. Os participantes podem descrever os gateways da Internet em uma sub-rede deVPC compartilhada. Os participantes não podem descrever gateways da Internet somente de saída em uma sub-rede de VPC compartilhada.

**Gateways NAT**
+ Os participantes não podem criar, excluir ou descrever gateways NAT em uma sub-rede de VPC compartilhada. 

**Listas de controle de acesso à rede (NACLs)**
+  Os participantes não podem criar, excluir ou substituir NACLs em uma sub-rede de VPC compartilhada. Os participantes podem descrever NACLs criadas por proprietários de VPC em uma sub-rede de VPC compartilhada. 

**Interfaces de rede**
+ Os participantes podem criar interfaces de rede em uma sub-rede de VPC compartilhada. Os participantes não podem trabalhar com interfaces de rede criadas por proprietários de VPC em uma sub-rede de VPC compartilhada de nenhuma outra forma, por exemplo, anexar, desanexar ou modificar as interfaces de rede. Os participantes podem modificar ou excluir as interfaces de rede que eles criaram em uma VPC compartilhada. Por exemplo, os participantes podem associar ou desassociar endereços IP com as interfaces de rede que eles criaram. 
+ Os proprietários de VPC podem descrever as interfaces de rede de propriedade dos participantes em uma sub-rede de VPC compartilhada. Os proprietários de VPC não podem trabalhar com interfaces de rede de propriedade dos participantes de nenhuma outra forma, por exemplo, anexar, desanexar ou modificar as interfaces de rede de propriedade dos participantes em uma sub-rede de VPC compartilhada. 

**Tabelas de rotas**
+ Os participantes não podem trabalhar com tabelas de rotas (por exemplo, criar, excluir ou associar tabelas de rotas) em uma sub-rede de VPC compartilhada. Os participantes podem descrever tabelas de rotas em uma sub-rede de VPC compartilhada. 

**Grupos de segurança**
+ Os participantes podem trabalhar com (criar, excluir, descrever, modificar ou criar regras de entrada e de saída para) grupos de segurança pertencentes a eles em uma sub-rede de VPC compartilhada. Os participantes poderão trabalhar com grupos de segurança criados pelos proprietários da VPC se o [proprietário da VPC compartilhar o grupo de segurança com o participante](security-group-sharing.md).
+ Os participantes podem criar regras nos grupos de segurança de sua propriedade que façam referência a grupos de segurança que pertençam a outros participantes ou ao proprietário da VPC da seguinte maneira: account-number/security-group-id 
+ Os participantes não podem executar instâncias usando o grupo de segurança padrão para a VPC porque ele pertence ao proprietário. 
+ Os participantes não podem iniciar instâncias usando grupos de segurança não padrão pertencentes ao proprietário da VPC ou a outros participantes a menos que o grupo de segurança seja [compartilhado com eles](security-group-sharing.md). 
+ Os proprietários de VPC podem descrever os grupos de segurança criados pelos participantes em uma sub-rede de VPC compartilhada. Os proprietários de VPC pnão podem trabalhar com grupos de segurança criados por participantes de nenhuma outra forma. Por exemplo, proprietários de VPC não podem executar instâncias usando grupos de segurança criados por participantes.

**Sub-redes**
+  Os participantes não podem modificar sub-redes compartilhadas ou os atributos relacionados. Somente o proprietário da VPC pode fazer isso. Os participantes podem descrever sub-redes em uma sub-rede de VPC compartilhada. 
+  Os proprietários de VPC podem compartilhar sub-redes apenas com outras contas ou unidades organizacionais que estão na mesma organização do AWS Organizations. Os proprietários de VPC não podem compartilhar sub-redes que estejam em uma VPC padrão. 

**Gateways de trânsito**
+ Somente o proprietário de VPC pode anexar um gateway de trânsito a uma sub-rede de VPC compartilhada. Os participantes não podem. 

**VPCs**
+  Os participantes não podem modificar VPCs ou os atributos relacionados. Somente o proprietário da VPC pode fazer isso. Os participantes podem descrever as VPCs, os atributos e os conjuntos de opções de DHCP. 
+  As tags da VPC e as tags para os recursos dentro da VPC compartilhada não são compartilhadas com os participantes. 
+ Os participantes podem associar seus próprios grupos de segurança a uma VPC compartilhada. Isso permite que o participante use o grupo de segurança com as interfaces de rede elásticas que ele possui na VPC compartilhada.

# Recursos da AWS e sub-redes de VPC
<a name="vpc-sharing-service-behavior"></a>

Os Serviços da AWS a seguir oferecem suporte para recursos em sub-redes de VPC compartilhadas. Para obter mais informações, acesse os links destinados à documentação do serviço correspondente.
+ [Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html#USER_VPC.Shared_subnets)
+ [AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.VPC.html#CHAP_ReplicationInstance.VPC.Configurations.ScenarioVPCShared)
+ [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-vpc.html#ec2-shared-VPC-subnets)
+ [Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cluster-regions-zones.html)
+ Amazon ElastiCache (Redis OSS)
+ [Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/mount-fs-diff-account-same-vpc.html)
+ [Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/eks/latest/userguide/network-reqs.html#network-requirements-shared)
+ Elastic Load Balancing
  + [Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-register-targets.html#register-targets-shared-subnets)
  + [ Gateway Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/getting-started.html#prerequisites)
  + [Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html#register-targets-shared-subnets)
+ [Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-clusters-in-a-vpc.html#emr-vpc-shared-subnet)
+ [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/shared-vpc.html)
+ AWS Lambda
+ Amazon MQ executando o Apache MQ (não o Rabbit MQ)
+ Amazon MSK
+ AWS Network Manager
  + [AWS Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-vpc-attachment.html#cloudwan-vpc-attachments-shared-subnets)
  + [Analisador de Acesso à Rede](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations)
  + [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations)
+ Amazon OpenSearch Service
+ [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#interface-endpoint-shared-subnets)†
+ [Amazon Relational Database Service (RDS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html#USER_VPC.Shared_subnets)
+ [Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/rs-shared-subnet-vpc.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html)
+ [Estúdio Unificado Amazon SageMaker](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/create-domain-sagemaker-unified-studio-quick.html)
+ [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/working-with-transit-gateways.html#transit-gateway-shared-subnets)
+ [Acesso Verificado pela AWS](https://docs.aws.amazon.com/verified-access/latest/ug/verified-access-endpoints.html#shared-vpc)
+ Amazon VPC
  + [Emparelhamento](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-basics.html#vpc-peering-limitations)
  + [Espelhamento de tráfego](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-network-limitations.html)
+ [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/create-target-group.html#target-group-shared-subnets)

† Você pode se conectar a todos os serviços da AWS que oferecem suporte ao PrivateLink usando um endpoint de VPC em uma VPC compartilhada. Para obter uma lista de serviços que oferecem suporte ao PrivateLink, consulte [Serviços da AWS que se integram ao AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html), no *Guia do AWS PrivateLink*.

A presente lista tem como objetivo incluir todos os serviços que são compatíveis com a inicialização de recursos em sub-redes compartilhadas da VPC. Apesar de todos os nossos melhores esforços, é possível que existam serviços compatíveis com a inicialização de recursos em sub-redes compartilhadas da VPC que não estejam incluídos nesta lista. Incentivamos o envio de comentários sobre a documentação caso você tenha dúvidas.