使用共享子网 - Amazon Virtual Private Cloud

使用共享子网

本节旨在介绍如何在 AWS 控制台和 AWS CLI 中使用共享子网。

共享子网

您可以与组织内的其他账户共享非默认子网,如下所示。此外,您还可以跨 AWS Organizations 共享安全组。有关更多信息,请参阅 与 AWS Organizations 共享安全组

使用控制台共享子网
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Subnets (子网)

  3. 选择您的子网,然后选择操作共享子网

  4. 选择您的资源共享,然后选择共享子网

使用 AWS CLI 共享子网

使用 create-resource-shareassociate-resource-share 命令。

跨可用区映射子网

为确保资源分配到区域的各可用区,我们将可用区独立映射到每个账户的名称。例如,您的 us-east-1a 账户的可用区 AWS 可能与另一 us-east-1a 账户的 AWS 不在同一位置。

要跨账户协调可用区以便进行 VPC 共享,您必须使用 AZ ID(可用区的唯一、一致的标识符)。例如,use1-az1us-east-1 区域中的其中一个可用区的 AZ ID。使用 AZ ID 确定一个账户中的资源相对于另一个账户的位置。您可以在 Amazon VPC 控制台中查看每个子网的 AZ ID。

下图阐明了两个账户,它们具有不同的可用区代码到 AZ ID 的映射。

两个账户,它们具有不同的可用区代码到 AZ ID 的映射。

将共享的子网取消共享

拥有者随时可以将与参与者共享的子网取消共享。在拥有者将共享的子网取消共享后,将应用以下规则:

  • 现有参与者资源将继续在已取消共享的子网中运行。具有自动化/托管工作流(如auto 扩展或节点替换)的 AWS 托管服务(例如,Elastic Load Balancing)可能需要持续访问某些资源的共享子网。

  • 参与者在已取消共享的子网中无法再创建新资源。

  • 参与者可以修改、描述和删除其位于子网中的资源。

  • 如果参与者在已取消共享的子网中仍具有资源,则拥有者无法删除共享子网或共享子网 VPC。仅当参与者删除已取消共享的子网中的所有资源之后,拥有者才能删除子网或共享子网 VPC。

使用控制台取消共享子网
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Subnets (子网)

  3. 选择您的子网,然后选择操作共享子网

  4. 依次选择操作停止共享

使用 AWS CLI 取消共享子网

使用 disassociate-resource-share 命令。

确定共享子网的拥有者

参与者可以通过使用 Amazon VPC 控制台或命令行工具来查看已与其共享的子网。

使用控制台确定子网拥有者
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Subnets (子网)拥有者列显示子网拥有者。

使用 AWS CLI 确定子网拥有者

使用 describe-subnetsdescribe-vpcs 命令,这两条命令的输出中将包括拥有者的 ID。