Responsabilità e autorizzazioni per proprietari e partecipanti

Risorse del proprietario Risorse dei partecipanti Risorse VPC

Questa sezione include dettagli sulle responsabilità e le autorizzazioni per coloro che possiedono la sottorete condivisa (proprietario) e per coloro che la utilizzano (partecipante).

Risorse del proprietario

I proprietari sono responsabili delle risorse VPC di loro proprietà. I proprietari di VPC sono responsabili della creazione, della gestione e dell'eliminazione delle risorse associate a un VPC condiviso. Tali risorse includono: sottoreti, tabelle di routing, ACL di rete, connessioni peering, endpoint gateway, endpoint di interfaccia, endpoint Amazon Route 53 Resolver, gateway Internet, gateway NAT, gateway virtuali privati e collegamenti del gateway di transito.

Risorse dei partecipanti

I partecipanti sono responsabili delle risorse VPC di loro proprietà. I partecipanti possono creare un set limitato di risorse VPC in un VPC condiviso. Ad esempio, i partecipanti possono creare interfacce e gruppi di sicurezza di rete e abilitare flussi di log VPC per le interfacce di rete di cui sono proprietari. Le risorse VPC create da un partecipante vengono conteggiate con le quote VPC dell'account del partecipante, non dell'account del proprietario. Per ulteriori informazioni, consultare Condivisione della sottorete VPC.

Risorse VPC

Le seguenti responsabilità e autorizzazioni si applicano alle risorse VPC quando si lavora con sottoreti VPC condivise:

Log di flusso

I partecipanti possono creare, eliminare o descrivere i log di flusso per le interfacce di rete di loro proprietà in una sottorete VPC condivisa.
I partecipanti non possono creare, eliminare o descrivere i log di flusso per le interfacce di rete non di loro proprietà in una sottorete VPC condivisa.
I partecipanti non possono creare, eliminare o descrivere i log di flusso per una sottorete VPC condivisa.
I proprietari dei VPC possono creare, eliminare o descrivere i log di flusso per le interfacce di rete non di loro proprietà in una sottorete VPC condivisa.
I proprietari dei VPC possono creare, eliminare o descrivere i log di flusso per una sottorete VPC condivisa.
I proprietari di VPC non possono descrivere o eliminare i log di flusso creati da un partecipante.

Gateway Internet e gateway Internet solo in uscita

I partecipanti non possono creare, collegare o eliminare gateway Internet e gateway Internet di sola uscita in una sottorete VPC condivisa. I partecipanti possono descrivere i gateway Internet e i gateway Internet in una sottorete VPC condivisa. I partecipanti non possono descrivere i gateway Internet di sola uscita in una sottorete VPC condivisa.

Gateway NAT

I partecipanti non possono creare, eliminare o descrivere i gateway NAT in una sottorete VPC condivisa.

Liste di controllo degli accessi di rete (NACL)

I partecipanti non possono creare, eliminare o descrivere le NACL in una sottorete VPC condivisa. I partecipanti possono descrivere le NACL create dai proprietari di VPC in una sottorete VPC condivisa.

Interfacce di rete

I partecipanti possono creare interfacce di rete in una sottorete VPC condivisa. I partecipanti non possono utilizzare in altro modo le interfacce di rete create dai proprietari di VPC in una sottorete VPC condivisa, ad esempio collegando, scollegando o modificando le interfacce. I partecipanti possono modificare o eliminare le risorse in un VPC condiviso che hanno creato. Ad esempio, i partecipanti possono associare o dissociare gli indirizzi IP alle interfacce di rete create.
I proprietari di VPC possono descrivere le interfacce di rete di proprietà dei partecipanti in una sottorete VPC condivisa. I proprietari del VPC non possono utilizzare in altro modo le interfacce di rete di proprietà dei partecipanti, ad esempio collegando, scollegando o modificando le interfacce di rete di proprietà dei partecipanti in una sottorete VPC condivisa.

Tabelle di instradamento

I partecipanti non possono utilizzare (creare, eliminare o associare) le tabelle di routing in una sottorete VPC condivisa. I partecipanti possono descrivere le tabelle di routing in una sottorete VPC condivisa.

Gruppi di sicurezza

I partecipanti possono lavorare con (creare, eliminare, descrivere, modificare o creare regole di ingresso e uscita per) i gruppi di sicurezza in una sottorete VPC condivisa di loro proprietà. I partecipanti possono lavorare con i gruppi di sicurezza creati dai proprietari del VPC se il proprietario del VPC condivide il gruppo di sicurezza con il partecipante.
I partecipanti possono creare regole nei gruppi di sicurezza di loro proprietà che si riferiscono a gruppi di sicurezza appartenenti ad altri partecipanti o al proprietario del VPC nel modo seguente: numero account/ID gruppo di sicurezza
I partecipanti non possono avviare le istanze utilizzando il gruppo di sicurezza predefinito per il VPC, in quanto questo appartiene al proprietario.
I partecipanti non possono avviare le istanze utilizzando i gruppi di sicurezza non predefiniti di proprietà di altri partecipanti o del proprietario del VPC, a meno che il gruppo di sicurezza non sia stato condiviso con loro.
I partecipanti possono descrivere i gruppi di sicurezza creati dai partecipanti in una sottorete VPC condivisa. I proprietari del VPC non possono utilizzare in altro modo i gruppi di sicurezza creati dai partecipanti. Ad esempio, i proprietari di VPC non possono avviare istanze utilizzando i gruppi di sicurezza creati dai partecipanti.

Sottoreti

I partecipanti non possono modificare le sottoreti condivise o i relativi attributi. Solo il proprietario del VPC può farlo. I partecipanti possono descrivere le sottoreti in una sottorete VPC condivisa.
I proprietari dei VPC possono condividere le sottoreti solo con altri account o unità organizzative che si trovano nella stessa organizzazione da AWS Organizations. I proprietari dei VPC non possono condividere le sottoreti che si trovano in un VPC predefinito.

Gateway di transito

Solo il proprietario del VPC può collegare un gateway di transito a una sottorete condivisa del VPC. I partecipanti non possono.

VPC

I partecipanti non possono modificare i VPC o i relativi attributi. Solo il proprietario del VPC può farlo. I partecipanti possono descrivere i VPC, i loro attributi e i set di opzioni DHCP.
I tag VPC e i tag per le risorse all'interno del VPC condiviso non vengono condivisi con i partecipanti.
I partecipanti possono associare i propri gruppi di sicurezza a un VPC condiviso. Ciò consente al partecipante di utilizzare il gruppo di sicurezza con interfacce di rete elastiche di sua proprietà nel VPC condiviso.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Fatturazione e misurazione per il proprietario e i partecipanti

Risorse AWS e sottoreti VPC condivise