使用共享的 AWS Outposts 资源 - AWS Outposts
可共享的 Outpost 资源共享 Outpost 资源的先决条件相关服务跨可用区共享共享 Outpost 资源取消共享已共享的 Outpost 资源识别共享的 Outpost 资源共享的 Outpost 资源权限计费和计量限制

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用共享的 AWS Outposts 资源

通过 Outpost 共享,Outpost 所有者可与同一 AWS 组织下的其他 AWS 账户共享他们的 Outpost 和 Outpost 资源,包括 Outpost 站点和子网。作为 Outpost 所有者,您可以集中创建和管理 Outpost 资源,并在 AWS 组织内的多个 AWS 账户之间共享资源。这样,其他用户可以使用 Outpost 站点,配置 VPC 并且在共享的 Outpost 上启动和运行实例。

在此模型中,拥有 Outpost 资源的 AWS 账户(所有者)与同一组织中的其他 AWS 账户(使用者)共享资源。使用者可以在共享的 Outpost 上创建资源,操作方式与他们在自己的账户中所创建的 Outpost 上创建资源一样。所有者负责管理 Outpost 以及他们在其上创建的资源。拥有者可以随时更改或撤销共享访问权限。所有者还可以查看、修改和删除使用者在共享的 Outpost 上创建的资源,但使用容量预留的实例除外。拥有者无法修改使用者启动到已共享的容量预留中的实例。

使用者负责管理他们在与其共享的 Outpost 上创建的资源,包括使用容量预留的任何资源。使用者无法查看或修改由其他使用者或 Outpost 拥有者拥有的资源。他们也无法修改别人共享给他们的 Outpost。

Outpost 所有者可以与以下人员共享 Outpost 资源:

  • AWS Organizations 中其组织内部的特定 AWS 帐户。

  • AWS Organizations 中其组织内部的组织单元。

  • AWS Organizations 中的整个组织。

可共享的 Outpost 资源

Outpost 所有者可以与使用者共享本部分中列出的 Outpost 资源。

这些资源可供 Outpost 机架使用。对于服务器资源,请参阅适用于 Outpost 服务器的 AWS Outposts 用户指南中的使用共享的 AWS Outposts 资源

  • 分配的专属主机 — 有权访问此资源的使用者可以:

    • 在专属主机上启动和运行 EC2 实例。

  • 容量预留 — 有权访问此资源的使用者可以:

    • 确定其他人共享给他们的容量预留。

    • 启动和管理使用容量预留的实例。

  • 客户拥有的 IP 地址 (CoIP) 池 — 有权访问此资源的使用者可以:

    • 分配客户拥有的 IP 地址并将其与实例关联。

  • 本地网关路由表 — 有权访问此资源的使用者可以:

    • 创建和管理与本地网关的 VPC 关联。

    • 查看本地网关路由表和虚拟接口的配置。

  • Outpost — 有权访问此资源的使用者可以:

    • 在 Outpost 上创建和管理子网。

    • 在 Outpost 上创建和管理 EBS 卷。

    • 使用 AWS Outposts API 查看 Outpost 的相关信息。

  • S3 on Outposts — 有权访问此资源的使用者可以:

    • 在 Outpost 上创建和管理 S3 存储桶、接入点和端点。

  • 站点 — 有权访问此资源的使用者可以:

    • 在站点上创建、管理和控制 Outpost。

  • 子网 — 有权访问此资源的使用者可以:

    • 查看子网的相关信息。

    • 在子网中启动和运行 EC2 实例。

    使用 Amazon VPC 控制台共享 Outpost 子网。有关更多信息,请参阅 Amazon VPC 用户指南中的共享子网

共享 Outpost 资源的先决条件

  • 要与您的组织或 AWS Organizations 内的组织单元共享 Outpost 资源,您必须允许与 AWS Organizations 共享。有关更多信息,请参阅《AWS RAM 用户指南》中的允许与 AWS Organizations 共享。

  • 要共享 Outpost 资源,您必须在您的 AWS 账户拥有该资源。您无法共享已与您共享的 Outpost 资源。

  • 要共享 Outpost 资源,您必须与所在组织内的账户共享该资源。

Outpost 资源共享与 AWS Resource Access Manager (AWS RAM) 集成。AWS RAM 是一项服务,允许您与任何 AWS 账户或通过 AWS Organizations 共享 AWS 资源。利用 AWS RAM,您可通过创建资源共享来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可以是单个 AWS 账户、组织单位或 AWS Organizations 中的整个组织。

有关 AWS RAM 的更多信息,请参阅 AWS RAM 用户指南

跨可用区共享

为确保资源分配到区域的各可用区,我们将可用区独立映射到每个账户的名称。这可能会导致账户之间的可用区命名差异。例如,您的 us-east-1a 账户的可用区 AWS 可能与另一 us-east-1a 账户的 AWS 不在同一位置。

要确定相对于账户的 Outpost 资源位置,您必须使用可用区 ID (AZ ID)。AZ ID 是跨所有 AWS 账户的可用区的唯一且一致的标识符。例如,use1-az1us-east-1 区域的 AZ ID,它在每个 AWS 账户中的位置均相同。

查看账户中的可用区的 AZ ID

  1. 通过以下网址打开 AWS RAM 控制台:https://console.aws.amazon.com/ram

  2. 当前区域的 AZ ID 显示在屏幕右侧的 Your AZ ID (您的 AZ ID) 面板中。

注意

本地网关路由表与其 Outpost 位于同一个可用区,因此您无需为路由表指定可用区 ID。

共享 Outpost 资源

所有者与使用者共享 Outpost 后,使用者可以在这个 Outpost 上创建资源,如同他们在自己的账户中所创建的 Outpost 上创建资源一样。有权访问共享的本地网关路由表的使用者可以创建和管理 VPC 关联。有关更多信息,请参阅 可共享的 Outpost 资源

要共享 Outpost 资源,必须将它添加到资源共享。资源共享是一项 AWS RAM 资源,可让您跨 AWS 账户共享资源。资源共享指定要共享的资源以及与之共享资源的使用者。在使用 AWS Outposts 控制台共享 Outpost 资源时,必须将它添加到现有资源共享。要将 Outpost 资源添加到新的资源共享,必须首先使用 AWS RAM 控制台创建资源共享。

如果您属于 AWS Organizations 组织内的某个组织,并启用了组织内共享,则您可以授予组织中的使用者从 AWS RAM 控制台访问共享 Outpost 资源的权限。否则,使用者将会收到加入资源共享的邀请,并在接受邀请后为其授予共享的 Outpost 资源的访问权限。

您可以使用 AWS Outposts 控制台、AWS RAM 控制台或 AWS CLI 共享您拥有的 Outpost 资源。

使用 AWS Outposts 控制台共享您拥有的 Outpost

  1. 打开 AWS Outposts 控制台 (https://console.aws.amazon.com/outposts/)。

  2. 在导航窗格中,选择 Outposts

  3. 选择 Outpost,然后选择操作查看详细信息

  4. Outpost 摘要页面上,选择资源共享

  5. 选择 Create resource share(创建资源共享)

您将被重定向到 AWS RAM 控制台,然后按照以下步骤完成 Outpost 共享。要共享您拥有的本地网关路由表,也可以按以下步骤操作。

使用 AWS RAM 控制台共享您拥有的 Outpost 或本地网关路由表

请参阅 AWS RAM 用户指南中的创建资源共享

使用 AWS CLI 共享您拥有的 Outpost 或本地网关路由表

使用 create-resource-share 命令。

取消共享已共享的 Outpost 资源

取消共享的 Outpost 后,使用者将无法再在 AWS Outposts 控制台中查看此 Outpost。他们无法在 Outpost 上创建新子网,或在 Outpost 上创建新的 EBS 卷,也无法通过 AWS Outposts 控制台或 AWS CLI 查看 Outpost 的详细信息和实例类型。由使用者创建的现有子网、卷或实例不会被删除。使用者在 Outpost 上创建的任何现有子网仍然可用于启动新实例。

取消共享已共享的本地网关路由表后,使用者无法再为其创建新的 VPC 关联。使用者创建的任何现有 VPC 关联仍然与该路由表关联。这些 VPC 中的资源可以继续将流量路由到本地网关。

要取消共享您拥有的共享的 Outpost 资源,必须从资源共享中将其删除。您可以使用 AWS RAM 控制台或 AWS CLI 以执行该操作。

使用 AWS RAM 控制台取消共享您拥有的共享的 Outpost 资源

请参阅 AWS RAM 用户指南中的更新资源共享

使用 AWS CLI 取消共享您拥有的共享的 Outpost 资源

使用 disassociate-resource-share 命令。

识别共享的 Outpost 资源

拥有者和使用者可以使用 AWS Outposts 控制台和 AWS CLI 标识共享的 Outpost。他们可以使用 AWS CLI 来识别共享的本地网关路由表。

使用 AWS Outposts 控制台标识共享的 Outpost

  1. 打开 AWS Outposts 控制台 (https://console.aws.amazon.com/outposts/)。

  2. 在导航窗格中,选择 Outposts

  3. 选择 Outpost,然后选择操作查看详细信息

  4. Outpost 摘要页面上,查看所有者 ID 以识别 Outpost 所有者的 AWS 账户 ID。

使用 AWS CLI 标识共享的 Outpost 资源

使用 list-outpostsdescribe-local-gateway-route-tables 命令。这些命令返回您拥有的 Outpost 资源以及与您共享的 Outpost 资源。OwnerId 显示 Outpost 资源所有者的 AWS 帐户 ID。

共享的 Outpost 资源权限

拥有者的权限

所有者负责管理 Outpost 以及他们在其上创建的资源。拥有者可以随时更改或撤销共享访问权限。他们可以使用 AWS Organizations 查看、修改和删除使用者在共享的 Outpost 上创建的资源。

使用者的权限

使用者可以在共享的 Outpost 上创建资源,操作方式与他们在自己的账户中所创建的 Outpost 上创建资源一样。使用者负责管理他们在与其共享的 Outpost 上发布的资源。使用者无法查看或修改其他使用者或 Outpost 拥有者所拥有的资源,也无法修改与其共享的 Outpost。

计费和计量

所有者需要为他们共享的 Outpost 和 Outpost 资源支付费用。还需要为与来自 AWS 区域的 Outpost 服务链接 VPN 流量相关的任何数据传输支付费用。

共享本地网关路由表不会产生额外费用。对于共享的子网,VPC 所有者需要为 VPC 级别的资源(例如 AWS Direct Connect 和 VPN 连接、NAT 网关以及私有链路连接)支付费用。

使用者需要为他们在共享的 Outpost 上创建的应用程序资源(例如负载均衡器和 Amazon RDS 数据库)支付费用。还需要为来自 AWS 区域的收费数据传输支付费用。

限制

以下限制适用于 AWS Outposts 共享的使用:

  • 使用 AWS Outposts 共享时适用共享子网的限制。有关 VPC 共享限制的更多信息,请参阅 Amazon Virtual Private Cloud 用户指南中的限制

  • 服务配额按各个账户应用。