擁有者和參與者的責任與權限 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

擁有者和參與者的責任與權限

本節包含擁有共用子網路 (擁有者) 的人員以及使用共用子網路 (參與者) 的人員之責任和許可的詳細資訊。

擁有者資源

擁有者必須對其擁有的 VPC 資源負責。VPC 擁有者負責建立、管理和刪除與共用 VPC 相關聯的資源。這些包括子網路、路由表、網路 ACLs、對等連線、閘道端點、介面端點、 Amazon Route 53 Resolver 端點、網際網路閘道、NAT 閘道、虛擬私有閘道和傳輸閘道附件。

參與者資源

參與者必須對其擁有的 VPC 資源負責。參與者可以在共用 VPC 中建立一組有限的 VPC 資源。例如,參與者可以建立網路介面和安全群組,並為他們擁有的網路介面啟用 VPC 流量日誌。參與者建立的 VPC 資源根據參與者帳戶中的 VPC 配額計算,而不是擁有者帳戶。如需詳細資訊,請參閱VPC 子網路共用

VPC 資源

使用共用 VPC 子網路時,下列責任和許可適用於 VPC 資源:

流程日誌
  • 參與者可以建立、刪除和描述他們在共用 VPC 子網路中擁有的網路介面的流程日誌。

  • 參與者無法建立、刪除或描述他們在共用 VPC 子網路中未擁有的網路介面的流程日誌。

  • 參與者無法建立、刪除或描述共用 VPC 子網路的流程日誌。

  • VPC 擁有者可以建立、刪除和描述他們在共用 VPC 子網路中不擁有的網路介面的流程日誌。

  • VPC 擁有者可以建立、刪除和描述共用 VPC 子網路的流程日誌。

  • VPC 擁有者無法描述或刪除參與者建立的流程日誌。

網際網路閘道和輸出限定網際網路閘道
  • 參與者無法在共用 VPC 子網路中建立、連接或刪除網際網路閘道和輸出限定網際網路閘道。參與者可以描述共用 VPC 子網路中的網際網路閘道。參與者無法描述共用 VPC 子網路中的輸出限定網際網路閘道。

NAT閘道
  • 參與者無法在共用的 NAT 子網路中建立、刪除或描述 VPC 閘道。

網路存取控制清單 (NACLs)
  • 參與者無法在共用的 NACLs 子網路中建立、刪除或取代 VPC。參與者可以描述 VPC 擁有者在共用 NACLs 子網路中建立的 VPC。

網路介面
  • 參與者可以在共用的 VPC 子網路中建立網路介面。參與者無法以任何其他方式使用 VPC 擁有者在共用 VPC 子網路中建立的網路介面,例如連接、分離或修改網路介面。參與者可以在他們建立的共用 VPC 中修改或刪除網路介面。例如,參與者可以將 IP 地址與他們建立的網路介面關聯或取消關聯。

  • VPC 擁有者可以描述共用 VPC 子網路中參與者擁有的網路介面。VPC 擁有者無法以任何其他方式使用參與者擁有的網路介面,例如連接、分離或修改共用 VPC 子網路中參與者擁有的網路介面。

路由表
  • 參與者無法在共用的 VPC 子網路中使用路由表 (例如,建立、刪除或關聯路由表)。參與者可以描述共用 VPC 子網路中的路由表。

安全群組
  • 參與者可以使用他們在共用 VPC 子網路中擁有的安全群組 (建立、刪除、描述、修改或建立輸入和輸出規則)。如果 VPC 擁有者與參與者共用安全群組,則參與者可以使用 VPC 擁有者建立的安全群組

  • 參與者可以在他們擁有的安全群組中建立規則,該群組參考屬於其他參與者或 VPC 擁有者的安全群組,如下所示:count-number/security-group-id

  • 參與者無法使用 VPC 的預設安全群組啟動執行個體,因為它屬於擁有者。

  • 參與者無法使用 VPC 擁有者或其他參與者擁有的非預設安全群組啟動執行個體,除非安全群組與其共用

  • VPC 擁有者可以描述共用 VPC 子網路中參與者建立的安全群組。VPC 擁有者無法以任何其他方式使用參與者建立的安全群組。例如,VPC 擁有者無法使用參與者建立的安全群組啟動執行個體。

子網
  • 參與者無法修改共用子網路或其相關屬性。只有 VPC 擁有者可以。參與者可以描述共用 VPC 子網路中的子網路。

  • VPC 擁有者只能與來自 Organizations 的同一組織中的其他帳戶或 AWS 組織單位共用子網路。VPC 擁有者無法共用預設 VPC 中的子網路。

傳輸閘道
  • 只有 VPC 擁有者可以將傳輸閘道連接至共用的 VPC 子網路。參與者無法。

VPCs
  • 參與者無法修改 VPCs 或其相關屬性。只有 VPC 擁有者可以。參與者可以描述 VPCs、其屬性和 DHCP 選項集。

  • 共用 VPC 內資源的 VPC 標籤和標籤不會與參與者共用。

  • 參與者可以將自己的安全群組與共用的 VPC 建立關聯。這可讓參與者將安全群組與共用 VPC 中擁有的彈性網路介面搭配使用。