AWS Transit Gateway の使用 - Amazon VPC
共有された Transit Gateway

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Transit Gateway の使用

Amazon VPC コンソールまたは AWS CLI CLI を使用して、Transit Gateway を操作できます。トランジットゲートウェイの暗号化サポートの有効化と管理については、「」を参照してくださいAWS Transit Gateway の暗号化サポート

トピック

共有された Transit Gateway

AWS Resource Access Manager (RAM) を使用して、VPC アタッチメントのトランジットゲートウェイをアカウント間または の組織全体で共有できます AWS Organizations。RAM を有効にし、リソースを組織と共有する必要があります。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizationsでリソース共有を有効にする」を参照してください。

考慮事項

トランジットゲートウェイを共有する場合は、以下の点を考慮してください。

  • AWS Site-to-Site VPN アタッチメントは、トランジットゲートウェイを所有するのと同じ AWS アカウントで作成する必要があります。

  • Direct Connect ゲートウェイへのアタッチメントは、トランジットゲートウェイの関連付けを使用し、Direct Connect ゲートウェイと同じ AWS アカウントにあることも、Direct Connect ゲートウェイとは異なるアカウントにあることもできます。

デフォルトでは、ユーザーには AWS RAM リソースを作成または変更するアクセス許可はありません。ユーザーがリソースを作成または変更してタスクを実行できるようにするには、特定のリソースと API アクションを使用するアクセス許可を付与する IAM ポリシーを作成する必要があります。そのため、そのようなアクセス許可が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。

リソース所有者のみ次のオペレーションを実行できます。

  • リソース共有を作成します。

  • リソース共有を更新します。

  • リソース共有を表示します。

  • アカウントによって共有されているリソースをすべてのリソース共有間で表示できます。

  • すべてのリソース共有で、リソースを共有しているプリンシパルを表示します。お客様の共有相手のプリンシパルを表示することで、お客様の共有リソースにアクセスできるプリンシパルを判別できます。

  • リソース共有を削除します。

  • トランジットゲートウェイ、トランジットゲートウェイアタッチメント、およびトランジットゲートウェイルートテーブル API をすべて実行します。

共有されているリソース上で次のオペレーションを実行することができます。

  • リソースの共有の招待を承認または拒否します。

  • リソース共有を表示します。

  • お客様がアクセスできる共有リソースを表示します。

  • リソースを共有しているすべてのプリンシパルのリストを表示します。共有されているリソースおよびリソース共有を確認することができます。

  • DescribeTransitGateways API を実行できます。

  • アタッチメントを作成して示している API を実行します (例: CreateTransitGatewayVpcAttachment および DescribeTransitGatewayVpcAttachments (VPC 内))。

  • リソース共有を終了します。

Transit Gateway が共有されている場合、Transit Gateway ルートテーブルまたは Transit Gateway ルートテーブルの伝達および関連付けを作成、変更、削除することはできません。

トランジットゲートウェイを作成した場合、トランジットゲートウェイは自分のアカウントにマップされているアベイラビリティーゾーンに作成され、他のアカウントからは独立しています。トランジットゲートウェイおよびアタッチメントエンティティが異なるアカウントにある場合、アベイラビリティーゾーン ID を使用してアベイラビリティーゾーンを一意に一貫して識別します。たとえば、use1-az1 は us-east-1 リージョンの AZ ID であり、すべての AWS アカウントの同じ場所にマッピングされます。

トランジットゲートウェイの共有解除

共有所有者がトランジットゲートウェイの共有を解除する場合、次のルールが適用されます。

  • トランジットゲートウェイアタッチメントは、機能し続けます。

  • 共有アカウントでトランジットゲートウェイを示すことはできません。

  • トランジットゲートウェイの所有者および共有所有者は、トランジットゲートウェイアタッチメントを削除できます。

トランジットゲートウェイが別の AWS アカウントと共有解除された場合、またはトランジットゲートウェイが共有されている AWS アカウントが組織から削除された場合、トランジットゲートウェイ自体は影響を受けません。

共有サブネット

VPC 所有者は、共有 VPC サブネットにトランジットゲートウェイを接続できます。参加者はできません。参加者のリソースからのトラフィックは、VPC 所有者が共有 VPC サブネットに設定したルートに応じて、アタッチメントを使用できます。

詳細については、「Amazon VPC ユーザーガイド」の「VPC を他のアカウントと共有する」を参照してください。