소유자 및 참가자에 대한 책임 및 권한 - Amazon Virtual Private Cloud
소유자 리소스참여자 리소스VPC 리소스

소유자 및 참가자에 대한 책임 및 권한

이 섹션에는 공유 서브넷을 소유한 사용자(소유자)와 공유 서브넷을 사용하는 사용자(참가자)의 책임과 권한에 대한 세부 정보가 들어 있습니다.

소유자 리소스

소유자는 자신이 소유한 VPC 리소스에 대한 책임이 있습니다. VPC 소유자는 공유 VPC와 연결된 리소스를 생성, 관리 및 삭제할 책임이 있습니다. 이러한 책임에는 서브넷, 라우팅 테이블, 네트워크 ACL, 피어링 연결, 게이트웨이 엔드포인트, 인터페이스 엔드포인트, Amazon Route 53 Resolver 엔드포인트, 인터넷 게이트웨이, NAT 게이트웨이, 가상 프라이빗 게이트웨이 및 전송 게이트웨이 연결이 포함됩니다.

참여자 리소스

참여자는 자신이 소유한 VPC 리소스에 대한 책임이 있습니다. 참여자는 공유된 VPC에서 제한된 VPC 리소스 세트를 생성할 수 있습니다. 예를 들어 참여자는 네트워크 인터페이스 및 보안 그룹을 생성하고 자신이 소유한 네트워크 인터페이스에 대한 흐름 로그를 활성화할 수 있습니다. 참여자가 생성하는 VPC 리소스는 소유자 계정이 아닌 참여자 계정의 VPC 할당량에 포함됩니다. 자세한 내용은 VPC 서브넷 공유 단원을 참조하십시오.

VPC 리소스

공유 VPC 서브넷으로 작업할 때 VPC 리소스에는 다음과 같은 책임 및 권한이 적용됩니다.

흐름 로그

  • 참가자는 공유 VPC 서브넷에서 자신이 소유하는 네트워크 인터페이스에 대한 흐름 로그를 생성하고, 삭제하고, 설명할 수 있습니다.

  • 참가자는 공유 VPC 서브넷에서 자신이 소유하지 않는 네트워크 인터페이스에 대한 흐름 로그를 생성하고, 삭제하고, 설명할 수 없습니다.

  • 참가자는 공유 VPC 서브넷에 대한 흐름 로그를 생성하고, 삭제하고, 설명할 수 없습니다.

  • VPC 소유자는 공유 VPC 서브넷에서 자신이 소유하지 않는 네트워크 인터페이스에 대한 흐름 로그를 생성하고, 삭제하고, 설명할 수 있습니다.

  • VPC 소유자는 공유 VPC 서브넷에 대한 흐름 로그를 생성하고, 삭제하고, 설명할 수 있습니다.

  • VPC 소유자는 참가자가 생성한 흐름 로그를 설명하거나 삭제할 수 없습니다.

인터넷 게이트웨이 및 외부 전용 인터넷 게이트웨이

  • 참가자는 공유 VPC 서브넷에서 인터넷 게이트웨이 및 외부 전용 인터넷 게이트웨이를 생성, 연결 또는 삭제할 수 없습니다. 참가자는 공유 VPC 서브넷의 인터넷 게이트웨이를 설명할 수 있습니다. 참가자는 공유 VPC 서브넷의 송신 전용 인터넷 게이트웨이를 설명할 수 없습니다.

NAT 게이트웨이

  • 참가자는 공유 VPC 서브넷에서 NAT 게이트웨이를 생성, 삭제 또는 설명할 수 없습니다.

네트워크 액세스 제어 목록(NACL)

  • 참가자는 공유 VPC 서브넷에서 NACL을 생성, 삭제 또는 교체할 수 없습니다. 참가자는 공유 VPC 서브넷에서 VPC 소유자가 생성한 NACL을 설명할 수 있습니다.

네트워크 인터페이스

  • 참가자는 공유 VPC 서브넷에서 네트워크 인터페이스를 만들 수 있습니다. 참가자는 공유 VPC 서브넷에서 VPC 소유자가 생성한 네트워크 인터페이스에 대해 다른 방식(예: 네트워크 인터페이스 연결, 연결 해제 또는 수정)으로 작업할 수 없습니다. 참가자는 공유 VPC에서 자신이 생성한 네트워크 인터페이스를 수정 또는 삭제할 수 있습니다. 예를 들어 참가자는 자신이 생성한 네트워크 인터페이스에 IP 주소를 연결하거나 연결 해제할 수 있습니다.

  • VPC 소유자는 공유 VPC 서브넷의 참가자가 소유한 네트워크 인터페이스를 설명할 수 있습니다. VPC 소유자는 참가자가 소유한 네트워크 인터페이스를 다른 방식(예: 공유 VPC 서브넷의 참가자가 소유한 네트워크 인터페이스의 연결, 연결 해제 또는 수정)으로 작업할 수 없습니다.

라우팅 테이블

  • 참가자는 공유 VPC 서브넷에서 라우팅 테이블에 대한 작업(예: 라우팅 테이블 생성, 삭제 또는 연결)을 수행할 수 없습니다. 참가자는 공유 VPC 서브넷의 라우팅 테이블을 설명할 수 있습니다.

보안 그룹

  • 참가자는 공유 VPC 서브넷에서 자신이 소유하는 보안 그룹을 작업할 수 있습니다(수신 및 송신 규칙 생성, 삭제, 설명 또는 수정). 참가자는 VPC 소유자가 생성한 보안 그룹을 다른 방식으로 작업할 수 없습니다.

  • 참가자는 자신이 소유한 보안 그룹에 다른 참가자나 VPC 소유자에게 속하는 보안 그룹을 참조하는 규칙을 만들 수 있습니다(예: account-number/security-group-id)

  • 참가자는 VPC 소유자나 다른 참가자나 소유한 보안 그룹을 사용하여 인스턴스를 시작할 수 없습니다. 참가자는 VPC의 기본 보안 그룹을 사용하여 인스턴스를 시작할 수 없습니다. 이는 소유자에게 속해 있기 때문입니다.

  • 참가자는 공유 VPC 서브넷에서 참가자가 생성한 보안 그룹을 설명할 수 있습니다. VPC 소유자는 참가자가 생성한 보안 그룹을 다른 방식으로 작업할 수 없습니다. 예를 들어, VPC 소유자는 참가자가 생성한 보안 그룹을 사용하여 인스턴스를 시작할 수 없습니다.

서브넷

  • 참가자는 공유 서브넷 또는 관련 속성을 수정할 수 없습니다. VPC 소유자만 수정할 수 있습니다. 참가자는 공유 VPC 서브넷에서 서브넷을 설명할 수 있습니다.

  • VPC 소유자는 AWS Organizations에서 동일한 조직에 속한 다른 계정 또는 다른 조직 단위와만 서브넷을 공유할 수 있습니다. VPC 소유자는 기본 VPC에 있는 서브넷을 공유할 수 없습니다.

전송 게이트웨이

  • 서브넷 소유자만 공유 VPC 서브넷에 전송 게이트웨이를 연결할 수 있습니다. 참여자는 선택할 수 없습니다.

VPC

  • 참가자는 VPC 또는 그 해당 속성을 수정할 수 없습니다. VPC 소유자만 수정할 수 있습니다. 참가자는 VPC, 해당 속성 및 DHCP 옵션 세트를 설명할 수 있습니다.

  • VPC 태그와 공유 VPC 내 리소스에 대한 태그는 참여자와 공유되지 않습니다.