Amazon VPC Transit Gateway を使用してトランジットゲートウェイを操作する (original) (raw)
Amazon VPCコンソールまたは を使用して、トランジットゲートウェイを使用できます AWS CLI。
トピック
- 共有トランジットゲートウェイ
- Transit Gateway
- VPC アタッチメント
- VPN アタッチメント
- Direct Connect ゲートウェイへのトランジットゲートウェイアタッチメント
- 添付のピアリング
- Connect アタッチメントおよび Connect ピア
- Transit Gateway ルートテーブル
- Transit Gateway ポリシーテーブル
- Transit Gateway でのマルチキャスト
AWS Resource Access Manager (RAM) を使用して、 のアカウント間または組織全体のVPCアタッチメントのトランジットゲートウェイを共有できます AWS Organizations。RAM を有効にし、 リソースを組織と共有する必要があります。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizationsでリソース共有を有効にする」を参照してください。
考慮事項
トランジットゲートウェイを共有する場合は、以下の点を考慮してください。
- AWS Site-to-Site VPN アタッチメントは、トランジットゲートウェイを所有するのと同じ AWS アカウントで作成する必要があります。
- Direct Connect ゲートウェイへのアタッチメントは、トランジットゲートウェイの関連付けを使用し、Direct Connect ゲートウェイと同じ AWS アカウントにあることも、Direct Connect ゲートウェイとは異なるアカウントにあることもできます。
デフォルトでは、ユーザーには AWS RAM リソースを作成または変更するアクセス許可がありません。ユーザーがリソースを作成または変更し、タスクを実行できるようにするには、特定のリソースとAPIアクションを使用するアクセス許可を付与するIAMポリシーを作成する必要があります。次に、これらのアクセス許可を必要とするIAMユーザーまたはグループにこれらのポリシーをアタッチします。
リソース所有者のみ次のオペレーションを実行できます。
- リソース共有を作成します。
- リソース共有を更新します。
- リソース共有を表示します。
- アカウントによって共有されているリソースをすべてのリソース共有間で表示できます。
- すべてのリソース共有で、リソースを共有しているプリンシパルを表示します。お客様の共有相手のプリンシパルを表示することで、お客様の共有リソースにアクセスできるプリンシパルを判別できます。
- リソース共有を削除します。
- すべてのトランジットゲートウェイ、トランジットゲートウェイアタッチメント、およびトランジットゲートウェイルートテーブル を実行しますAPIs。
共有されているリソース上で次のオペレーションを実行することができます。
- リソースの共有の招待を承認または拒否します。
- リソース共有を表示します。
- お客様がアクセスできる共有リソースを表示します。
- リソースを共有しているすべてのプリンシパルのリストを表示します。共有されているリソースおよびリソース共有を確認することができます。
- を実行できます
DescribeTransitGateways
API。 - で、
CreateTransitGatewayVpcAttachment
や などの添付ファイルAPIsを作成して記述DescribeTransitGatewayVpcAttachments
する を実行しますVPCs。 - リソース共有を終了します。
Transit Gateway が共有されている場合、Transit Gateway ルートテーブルまたは Transit Gateway ルートテーブルの伝達および関連付けを作成、変更、削除することはできません。
トランジットゲートウェイを作成した場合、トランジットゲートウェイは自分のアカウントにマップされているアベイラビリティーゾーンに作成され、他のアカウントからは独立しています。トランジットゲートウェイおよびアタッチメントエンティティが異なるアカウントにある場合、アベイラビリティーゾーン ID を使用してアベイラビリティーゾーンを一意に一貫して識別します。例えば、use1-az1 は us-east-1 リージョンの AZ ID であり、すべての AWS アカウントの同じ場所にマッピングされます。
トランジットゲートウェイの共有解除
共有所有者がトランジットゲートウェイの共有を解除する場合、次のルールが適用されます。
- トランジットゲートウェイアタッチメントは、機能し続けます。
- 共有アカウントでトランジットゲートウェイを示すことはできません。
- トランジットゲートウェイの所有者および共有所有者は、トランジットゲートウェイアタッチメントを削除できます。
トランジットゲートウェイが別の AWS アカウントと共有されていない場合、またはトランジットゲートウェイが共有されている AWS アカウントが組織から削除された場合、トランジットゲートウェイ自体は影響を受けません。
共有サブネット
VPC 所有者は、Transit Gateway を共有VPCサブネットにアタッチできます。参加者はできません。参加者のリソースからのトラフィックは、VPC所有者によって共有VPCサブネットに設定されたルートに応じて、アタッチメントを使用できます。
詳細については、「Amazon ユーザーガイド」の「 を他のアカウントVPCと共有する」を参照してください。 VPC