與其他帳戶共享 VPC

VPC 共享可讓多個 AWS 帳戶 將其應用程式資源 (例如 Amazon EC2 執行個體和 Amazon Relational Database Service (RDS) 資料庫、Amazon Redshift 叢集和 AWS Lambda 函式) 建立到共享、集中管理的 Virtual Private Cloud (VPC)。在此模型中，擁有 VPC (擁有者) 的帳戶會和屬於 中相同組織的其他帳戶 (參與者) 共用一個或多個子網路AWS Organizations 共用子網路後，參與者可以檢視、建立、修改及刪除與其共用之子網路中的應用程式資源。參與者無法檢視、修改或刪除屬於其他參與者或 VPC 擁有者的資源。

您可以共享您的 VPC，讓需要高度裝置互連性，並且位於相同信任邊界內的應用程式可以利用 VPC 中的隱含路由。這樣會減少建立和管理的 VPC 數量，同時使用個別的帳戶進行帳單和存取控制。您可透過使用 AWS PrivateLink、傳輸閘道和 VPC 對等互連功能與共享的 Amazon VPC 互連，進一步簡化網路拓撲。如需 VPC 共享利益的詳細資訊，請參閱 VPC 共享：多重帳戶和 VPC 管理的新途徑。

內容

• 共用 VPC 必要條件
• 共用子網路
• 取消共用的子網路
• 識別共用子網路的擁有者
• 管理 VPC 資源
• 擁有者和參與者的責任與權限
• AWS 資源和共用 VPC 子網路
• VPC 共享配額
• 共享公有子網路和私有子網路的範例

共用 VPC 必要條件

您必須從您組織的管理帳戶啟用資源共享。如需啟用資源共享的資訊，請參閱《AWS RAM 使用者指南》中的啟用與 AWS Organizations 共享。

共用子網路

您可以與組織中的其他帳戶共用非預設的資料夾。若要共用子網路，您必須先建立要共用之子網路和 AWS 帳戶、組織單位，或您想要共用子網路之整個組織的資源共享。如需建立資源共享的資訊，請參閱《AWS RAM 使用者指南》中的建立資源共享。

使用主控台共用子網路

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Subnets (子網路)。

3. 選取您的子網路，然後選擇操作、Share subnet (共用子網路。

4. 選取您的資源共享，然後選擇 Share subnet (共用子網路)。

使用 AWS CLI 共用子網路

使用create-resource-share和associate-resource-share指令。

跨可用區域對應子網路

為確保資源分配至區域中的所有可用區域，可用區域會獨立對應至各個帳戶的名稱。例如，您 AWS 帳戶的可用區域 us-east-1a 與其他 AWS 帳戶的 us-east-1a 可能不在同一位置。

若要跨帳戶協調可用區域以實現 VPC 共用，您必須使用 AZ ID，這是可用區域唯一且一致的識別符。例如，use1-az1 是 us-east-1 區域其中一個可用區域的 AZ ID。利用 AZ ID 來判斷某個帳戶資源在另一個帳戶中的相對位置。您可以在 Amazon VPC 主控台中檢視各子網路的 AZ ID。

以下圖表說明具有不同可用區域代碼映射至 AZ ID 的兩個帳戶。

取消共用的子網路

其擁有者隨時都可以取消共享和其他參與者共用的子網路。當擁者取消共享子網路後，便會套用以下規則：

• 現有的參與者資源繼續在取消共用的子網中執行。具有自動/受管工作流程 (例如自動調整規模或節點替換) 的 AWS 受管服務 (例如 Elastic Load Balancing) 可能需要連續存取某些資源的共用子網。

• 參與者再也不能在已取消共用的子網路中建立新資源。

• 參與者可以修改、描述及刪除其在子網路中的資源。

• 如果參與者在已取消共用的子網路中仍擁有資源，該擁有者便無法刪除共用的子網路或共用的子網路 VPC。在參與者刪除已取消共用的子網路中的所有資源後，參與者只能刪除共用的子網路或共用的子網路 VPC。

使用主控台取消共用子網路

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Subnets (子網路)。

3. 選取您的子網路，然後選擇操作、Share subnet (共用子網路。

4. 選擇操作、Stop sharing (停止共用)。

使用 AWS CLI 取消共用子網路

使用 disassociate-resource-share 命令。

識別共用子網路的擁有者

參與者可以使用 Amazon VPC 主控台或命令列工具來檢視已和他們共享的子網路。

使用主控台識別子網路擁有者

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Subnets (子網路)。Owner (擁有者) 資料行會顯示子網路擁有者。

使用 AWS CLI 識別子網路擁有者

使用 describe-subnets 和 describe-vpcs 命令，其包含輸出中的擁有者 ID。

管理 VPC 資源

擁有者和參與者對其擁有的 VPC 資源負責。

擁有者資源

VPC 擁有者負責建立、管理和刪除與共享 VPC 關聯的資源。這些包括子網路、路由表、網路 ACL、對等連線、閘道端點、介面端點、Amazon Route 53 Resolver 端點、網際網路閘道、NAT 閘道、虛擬私有閘道及傳輸閘道連接。

參與者資源

參與者可以在共享 VPC 中建立有限的 VPC 資源集。例如，參與者可以建立網路介面和安全群組，並且為自己擁有的網路介面啟用 VPC 流量日誌。參與者根據參與者帳戶 (而非擁有者帳戶) 中的 VPC 配額建立的 VPC 資源計數。如需詳細資訊，請參閱 VPC 共享。

適用於擁有者及參與者的計費和計量

• 在共用 VPC 中，每個參與者都會為其應用程式資源付費，包括 Amazon EC2 執行個體、Amazon Relational Database Service 資料庫、Amazon Redshift 叢集和 AWS Lambda 函式。參與者還需支付與可用區間資料傳輸相關的資料傳輸費用，以及透過 VPC 對等連線、網際網路閘道和跨閘道進行資料傳輸的費用。AWS Direct Connect

• VPC 擁有者跨 NAT 閘道、虛擬私有閘道、傳輸閘道、AWS PrivateLink 和 VPC 端點依時數支付費用 (如適用)、資料處理和資料傳輸費。此外，共用 VPC 中使用的公用 IPv4 位址會向 VPC 擁有者收費。如需有關公用 IPv4 地址定價的詳細資訊，請參閱 Amazon VPC 定價頁面上的公用 IPv4 位址索引標籤。

• 相同可用區域內的資料傳輸 (以 AZ-ID 唯一識別) 是免費的，無論哪個帳戶擁有通訊資源。

擁有者和參與者的責任與權限

使用共用 VPC 子網路時，下列責任和權限套用至 VPC 資源：

流程日誌

• 參與者無法在自己不擁有的共用 VPC 子網路中建立、刪除或描述流程日誌。

• 參與者可以在自己擁有的共用 VPC 子網路中建立、刪除或描述流程日誌。

• VPC 擁有者無法描述或刪除參與者建立的流程記錄。

網際網路閘道和輸出限定網際網路閘道

• 參與者無法在共用 VPC 子網路中建立、連接或刪除網際網路閘道和輸出限定網際網路閘道。參與者可以在共用 VPC 子網路中描述網際網路閘道和輸出限定網際網路閘道。

NAT 閘道

• 參與者無法在共用 VPC 子網路中建立、刪除或描述 NAT 閘道。

網路存取控制清單 (NACL)

• 參與者無法在共用 VPC 子網路中建立、刪除或取代 NACL。參與者可以描述共用 VPC 子網路中由 VPC 擁有者建立的 NACL。

網路介面

• 參與者可以在共用 VPC 子網路中建立網路介面。參與者無法以任何其他方式 (例如連接、分離或修改網路介面) 使用由 VPC 擁有者在共用 VPC 子網路中建立的網路介面。參與者只能修改或刪除他們在共用 VPC 中建立的網路介面。例如，參與者可以將 IP 地址與他們建立的網路介面關聯或取消關聯。

• VPC 擁有者可以描述共用 VPC 子網路中參與者所擁有的網路介面。VPC 擁有者無法以任何其他方式使用參與者擁有的網路介面，例如連接、分離或修改共用 VPC 子網路中參與者所擁有的網路介面。

路由表

• 參與者無法使用共用 VPC 子網路中的路由表 (例如，建立、刪除或關聯路由表)。參與者可描述共用 VPC 子網路中的路由表。

安全群組

• 參與者可以在共用 VPC 子網路中為安全群組建立、刪除、描述、修改或建立輸入和輸出規則。參與者無法以任何其他方式使用由 VPC 擁有者建立的安全群組。

• 參與者可以在他們擁有的安全性群組中建立規則，該群組參照屬於其他參與者或 VPC 擁有者的安全性群組，如下所示：帳戶號碼/security-group-id

• 參與者無法使用安全群組來啟動執行個體，因為安全群組屬於 VPC 擁有者或其他參與者。參與者無法使用 VPC 預設安全群組來啟動執行個體，因為預設安全群組屬於擁有者。

• VPC 擁有者可以描述共用 VPC 子網路中參與者建立的安全群組。VPC 擁有者無法以任何其他方式使用參與者建立的安全性群組。例如，VPC 擁有者無法使用參與者建立的安全群組來啟動執行個體。

子網

• 參與者無法修改共用子網路或其相關屬性。只有 VPC 擁有者可以執行此類作動。參與者可描述共用 VPC 子網路中的子網路。

• VPC 擁有者只能與其他帳戶，或位於 AWS Organizations 的相同組織中的組織單位共享子網路。VPC 擁有者不能共用預設 VPC 中的子網路。

傳輸閘道

• 只有 VPC 擁有者可以將傳輸閘道連接至共用 VPC 子網路。參與者無法。

VPC

• 參與者無法修改 VPC 或其相關屬性。只有 VPC 擁有者可以執行此類作動。參與者可以描述 VPC 及其屬性和 DHCP 選項集。

• VPC 標籤以及共用 VPC 內資源的標籤不會與參與者共用。

AWS 資源和共用 VPC 子網路

下列 AWS 服務 支援共用 VPC 子網路中的資源。如需有關服務如何支援共用 VPC 子網路的詳細資訊，請依照連結查看對應服務的說明文件。

• Amazon Aurora

• AWS CodeBuild

• AWS Database Migration Service

• Amazon EC2

• Amazon Elastic Kubernetes Service

• Elastic Load Balancing

  • Application Load Balancer

  • Gateway Load Balancer

  • Network Load Balancer

• Amazon EMR

• AWS Glue

• AWS Lambda

• AWS Network Manager

  • AWS Cloud WAN

  • 網路存取分析器

  • Reachability Analyzer

• AWS PrivateLink^†

• Amazon Relational Database Service (RDS)

• Amazon Redshift

• Amazon Route 53

• AWS Transit Gateway

• AWS Verified Access

• Amazon VPC

  • 對等互連

  • 流量鏡射

• Amazon VPC Lattice

^† 您可以在共用 VPC 中 PrivateLink 使用 VPC 端點連線到支援的所有AWS服務。如需支援的服務清單 PrivateLink，請參閱AWS PrivateLink指南AWS PrivateLink中與之整合的AWS服務。

VPC 共享配額

VPC 共享有相關的配額。如需更多詳細資訊，請參閱 VPC 共享。