所有者和参与者的责任和权限
本节旨在详细介绍拥有共享子网之人(拥有者)与使用共享子网之人(参与者)的责任和权限。
拥有者资源
拥有者对其拥有的 VPC 资源负责。VPC 拥有者负责创建、管理和删除与共享 VPC 相关的资源。其中包括子网、路由表、网络 ACL、对等连接、网关端点、接口端点、Amazon Route 53 Resolver 端点、互联网网关、NAT 网关、虚拟私有网关和 Transit Gateway 挂载)。
参与者资源
参与者对其拥有的 VPC 资源负责。参与者可以在共享 VPC 中创建一组有限的 VPC 资源。例如,参与者可以创建网络接口和安全组,此外还可为其拥有的网络接口启用 VPC 流日志。参与者创建的 VPC 资源将计入参与者账户中的 VPC 限额,而不是所有者账户的限额。有关更多信息,请参阅 VPC 子网共享。
VPC 资源
使用共享 VPC 子网时,以下责任和权限适用于 VPC 资源:
流日志
-
参与者可以在共享 VPC 子网中为他们拥有的网络接口创建、删除和描述流日志。
-
参与者不能在共享 VPC 子网中为他们不拥有的网络接口创建、删除或描述流日志。
-
参与者不能为共享 VPC 子网创建、删除或描述流日志。
-
VPC 所有者能在共享 VPC 子网中为他们不拥有的网络接口创建、删除和描述流日志。
-
VPC 所有者能为共享 VPC 子网创建、删除和描述流日志。
-
VPC 所有者无法描述或删除参与者创建的流日志。
互联网网关和仅出口互联网网关
参与者无法在共享 VPC 子网中创建、附加或删除互联网网关和仅出口互联网网关。参与者可以在共享 VPC 子网中描述互联网网关。参与者无法在共享 VPC 子网中描述仅出口互联网网关。
NAT 网关
参与者无法在共享 VPC 子网中创建、删除或描述 NAT 网关。
网络访问控制列表(NACL)
参与者无法在共享 VPC 子网中创建、删除或替换 NACL。参与者可以在共享 VPC 子网中描述 VPC 所有者创建的 NACL。
网络接口
参与者可以在共享 VPC 子网中创建网络接口。参与者无法以任何其他方式(例如附加、分离或修改网络接口)在共享 VPC 子网中使用 VPC 所有者创建的网络接口。参与者可以在他们创建的共享 VPC 中修改或删除网络接口。例如,参与者可以将 IP 地址与他们创建的网络接口关联或解除关联。
VPC 所有者可以在共享 VPC 子网中描述参与者拥有的网络接口。VPC 所有者无法以任何其他方式(例如附加、分离或修改网络接口)在共享 VPC 子网中使用参与者拥有的网络接口。
路由表
参与者无法在共享 VPC 子网中使用路由表(例如,创建、删除或关联路由表)。参与者可以在共享 VPC 子网中描述路由表。
安全组
参与者可以在共享 VPC 子网中使用其拥有的安全组(创建、删除、描述、修改或创建传入和传出规则)。参与者无法以任何方式使用 VPC 所有者创建的安全组。
参与者可以在其拥有的安全组中创建规则,并引用属于其他参与者或 VPC 所有者的安全组,如下所示:account-number/security-group-id
参与者无法使用其他 VPC 所有者或参与者拥有的安全组启动实例。参与者无法使用 VPC 的默认安全组启动实例,因为此安全组属于所有者。
VPC 所有者可以在共享 VPC 子网中描述参与者创建的安全组。VPC 所有者无法以任何其他方式使用参与者创建的安全组。例如,VPC 所有者无法使用参与者创建的安全组启动实例。
子网
参与者无法修改共享子网或这些子网的相关属性。只有 VPC 所有者可以。参与者可以在共享 VPC 子网中描述子网。
VPC 所有者只能通过 AWS Organizations 与同一组织的其他账户或组织单位共享子网。VPC 所有者无法共享位于默认 VPC 中的子网。
中转网关
只有 VPC 所有者可以将中转网关附加到共享 VPC 子网。参与者不能。
VPC
参与者无法修改 VPC 或 VPC 的相关属性。只有 VPC 所有者可以。参与者可以描述 VPC、VPC 属性和 DHCP 选项集。
VPC 标签和共享 VPC 内资源的标签不会与参与者共享。
