使用共享子网
本节旨在介绍如何在 AWS 控制台和 AWS CLI 中使用共享子网。
共享子网
您可以与组织内的其他账户共享非默认子网,如下所示。此外,您还可以跨 AWS Organizations 共享安全组。有关更多信息,请参阅 与 AWS Organizations 共享安全组。
使用控制台共享子网
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Subnets (子网)。
-
选择您的子网,然后选择操作、共享子网。
-
选择您的资源共享,然后选择共享子网。
使用 AWS CLI 共享子网
使用 create-resource-share 和 associate-resource-share 命令。
跨可用区映射子网
为确保资源分配到区域的各可用区,我们将可用区独立映射到每个账户的名称。例如,您的 us-east-1a
账户的可用区 AWS 可能与另一 us-east-1a
账户的 AWS 不在同一位置。
要跨账户协调可用区以便进行 VPC 共享,您必须使用 AZ ID(可用区的唯一、一致的标识符)。例如,use1-az1
为 us-east-1
区域中的其中一个可用区的 AZ ID。使用 AZ ID 确定一个账户中的资源相对于另一个账户的位置。您可以在 Amazon VPC 控制台中查看每个子网的 AZ ID。
下图阐明了两个账户,它们具有不同的可用区代码到 AZ ID 的映射。
将共享的子网取消共享
拥有者随时可以将与参与者共享的子网取消共享。在拥有者将共享的子网取消共享后,将应用以下规则:
-
现有参与者资源将继续在已取消共享的子网中运行。具有自动化/托管工作流(如auto 扩展或节点替换)的 AWS 托管服务(例如,Elastic Load Balancing)可能需要持续访问某些资源的共享子网。
-
参与者在已取消共享的子网中无法再创建新资源。
-
参与者可以修改、描述和删除其位于子网中的资源。
-
如果参与者在已取消共享的子网中仍具有资源,则拥有者无法删除共享子网或共享子网 VPC。仅当参与者删除已取消共享的子网中的所有资源之后,拥有者才能删除子网或共享子网 VPC。
使用控制台取消共享子网
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Subnets (子网)。
-
选择您的子网,然后选择操作、共享子网。
-
依次选择操作、停止共享。
使用 AWS CLI 取消共享子网
使用 disassociate-resource-share 命令。
确定共享子网的拥有者
参与者可以通过使用 Amazon VPC 控制台或命令行工具来查看已与其共享的子网。
使用控制台确定子网拥有者
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Subnets (子网)。拥有者列显示子网拥有者。
使用 AWS CLI 确定子网拥有者
使用 describe-subnets 和 describe-vpcs 命令,这两条命令的输出中将包括拥有者的 ID。