所有者および参加者の責任と権限 - Amazon Virtual Private Cloud
所有者のリソース参加者のリソースVPC リソース

所有者および参加者の責任と権限

このセクションでは、共有サブネットを所有するユーザー (所有者) と共有サブネットを使用するユーザー (参加者) の責任とアクセス許可について詳しく説明します。

所有者のリソース

所有者は、自分が所有する VPC リソースに対して責任を負います。VPC 所有者は、共有 VPC に関連付けられたリソースの作成、管理、削除に責任を負います。これらには、サブネット、ルートテーブル、ネットワーク ACL、ピアリング接続、ゲートウェイエンドポイント、インターフェイスエンドポイント、Amazon Route 53 Resolver エンドポイント、インターネットゲートウェイ、NAT ゲートウェイ、仮想プライベートゲートウェイ、Transit Gateway アタッチメントが含まれます。

参加者のリソース

参加者は、自分が所有する VPC リソースに対して責任を負います。参加者は、共有 VPC 内に VPC リソースの限定されたセットを作成できます。例えば、参加者はネットワークインターフェイスおよびセキュリティグループを作成し、自分が所有するネットワークインターフェイスの VPC フローログを有効にできます。参加者が作成した VPC リソースは、所有者アカウントではなく参加者アカウントの VPC クォータにカウントされます。詳細については、「VPC サブネット共有」を参照してください。

VPC リソース

共有 VPC サブネットを使用する場合、VPC リソースには次の責任と権限が適用されます。

フローログ

  • 参加者は、共有 VPC サブネット内で所有するネットワークインターフェイスのフローログを作成、削除、および記述できます。

  • 参加者は、共有 VPC サブネット内で所有していないネットワークインターフェイスのフローログを作成、削除、または記述することはできません。

  • 参加者は、共有 VPC サブネットのフローログを作成、削除、または記述することはできません。

  • VPC 所有者は、共有 VPC サブネット内で所有していないネットワークインターフェイスのフローログを作成、削除、および記述できます。

  • VPC 所有者は、共有 VPC サブネットのフローログを作成、削除、および記述できます。

  • VPC 所有者は、参加者が作成したフローログを記述したり削除したりすることはできません。

インターネットゲートウェイと Egress-Only インターネットゲートウェイ

  • 参加者は、共有 VPC サブネットでインターネットゲートウェイと Egress-Only インターネットゲートウェイを作成、接続、削除することはできません。参加者は、共有 VPC サブネット内のインターネットゲートウェイを記述することができます。参加者は、共有 VPC サブネット内の Egress-Only インターネットゲートウェイを記述することができます。

NAT ゲートウェイ

  • 参加者は、共有 VPC サブネット内の NAT ゲートウェイを作成、削除、または記述することはできません。

ネットワークアクセスコントロールリスト (NACL)

  • 参加者は、共有 VPC サブネット内の NACL を作成、削除、または置き換えることはできません。参加者は、VPC 所有者が共有 VPC サブネットで作成した NACL について記述できます。

ネットワークインターフェイス

  • 参加者は共有 VPC サブネットでネットワークインターフェイスを作成できます。参加者は、共有 VPC サブネット内の VPC 所有者が作成したネットワークインターフェイスを、ネットワークインターフェイスの接続、切断、変更など、他の方法で操作することはできません。参加者は、自分が作成した共有 VPC のネットワークインスタンスを変更または削除できます。例えば、参加者は、作成したネットワークインターフェイスの IP アドレスへの関連付けや関連付け解除を実行できます。

  • VPC 所有者は、共有 VPC サブネット内の参加者が所有するネットワークインターフェイスを記述することができます。VPC 所有者は、共有 VPC サブネット内の参加者が所有するネットワークインターフェイスのアタッチ、デタッチ、変更など、参加者が所有するネットワークインターフェイスを他の方法で操作することはできません。

ルートテーブル

  • 参加者は、共有 VPC サブネット内でルートテーブルを操作 (ルートテーブルの作成、削除、関連付けなど) することはできません。参加者は共有 VPC サブネットでルートテーブルを記述できます。

セキュリティグループ

  • 参加者は、共有 VPC サブネット内に所有するセキュリティグループの受信ルールと送信ルールを作成、削除、記述、変更、作成できます。VPC 所有者がセキュリティグループを参加者と共有している場合、参加者は VPC 所有者によって作成されたセキュリティグループを操作できます。

  • 参加者は、自分が所有するセキュリティグループ内に、他の参加者または VPC 所有者に属するセキュリティグループを参照するルールを作成できます: account-number/security-group-id

  • VPC のデフォルトセキュリティグループは所有者に属しているため、参加者はデフォルトのセキュリティグループを使用してインスタンスを起動することはできません。

  • 参加者は、セキュリティグループが共有されていない限り、VPC 所有者または他の参加者が所有するデフォルト以外のセキュリティグループを使用してインスタンスを起動することはできません。

  • VPC 所有者は、共有 VPC サブネットの参加者が作成したセキュリティグループについて記述できます。VPC 所有者は、参加者が作成したセキュリティグループを他の方法で操作することはできません。たとえば、VPC 所有者は、参加者が作成したセキュリティグループを使用してインスタンスを起動することはできません。

サブネット

  • 参加者は共有サブネットの属性、またはそれに関連する属性を変更することはできません。VPC 所有者のみができます。参加者は共有 VPC サブネット内のサブネットを記述できます。

  • VPC 所有者は、AWS Organizations の同じ組織内にある他のアカウントまたは組織単位とのみサブネットを共有できます。VPC 所有者は、デフォルトの VPC 内にあるサブネットを共有できません。

Transit Gateway

  • VPC 所有者のみが、共有 VPC サブネットにトランジットゲートウェイを接続できます。参加者はできません。

VPC

  • 参加者は VPC の属性、またはそれに関連する属性を変更することはできません。VPC 所有者のみができます。参加者は VPC、その属性、および DHCP オプションセットについて記述できます。

  • VPC タグ、および共有 VPC 内のリソースのタグは、参加者と共有されません。

  • 参加者は、自分のセキュリティグループを共有 VPC に関連付けることができます。これにより、参加者は、共有 VPC 内で所有している Elastic Network Interface でセキュリティグループを使用できます。