本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 T AWS ransit Gateway
<a name="working-with-transit-gateways"></a>

您可以通过 Amazon VPC 控制台或 AWS CLI使用中转网关。有关为传输网关启用和管理加密支持的信息，请参阅[T AWS ransit Gateway 的加密支持](tgw-encryption-support.md)。

**Topics**
+ [共享中转网关](#transit-gateway-share)
+ [中转网关](tgw-transit-gateways.md)
+ [VPC 连接](tgw-vpc-attachments.md)
+ [网络功能连接](tgw-nf-fw.md)
+ [VPN 挂载](tgw-vpn-attachments.md)
+ [VPN 集中器附件](tgw-vpn-concentrator-attachments.md)
+ [Client VPN 附件](tgw-client-vpn-attachments.md)
+ [将中转网关连接到 Direct Connect 网关](tgw-dcg-attachments.md)
+ [对等节点连接](tgw-peering.md)
+ [Connect 挂载和 Connect 对等节点](tgw-connect.md)
+ [中转网关路由表](tgw-route-tables.md)
+ [中转网关策略表](tgw-policy-tables.md)
+ [中转网关上的组播](tgw-multicast-overview.md)
+ [灵活的成本分配](metering-policy.md)

## 共享中转网关
<a name="transit-gateway-share"></a>

您可以使用 Res AWS ource Access Manager (RAM) 在中跨账户或整个组织共享 VPC 附件的传输网关 AWS Organizations。必须启用 RAM，并与组织共享资源。有关更多信息，请参阅《*AWS RAM 用户指南*》中的[允许与 AWS Organizations共享资源](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。

### 注意事项
<a name="transit-gateway-considerations"></a>

如果要共享中转网关，请考虑以下因素。
+  必须在拥有传输网关的同一个 AWS 账户中创建 AWS Site-to-Site VPN 附件。
+  Direct Connect 网关的连接使用传输网关关联，可以与 Direct Connect 网关位于同一个 AWS 账户中，也可以与 Direct Connect 网关位于不同的账户中。

默认情况下，用户无权创建或修改 AWS RAM 资源。要允许用户创建或修改资源和执行任务，您必须创建授予使用特定资源和 API 操作的权限的 IAM 策略。然后，将这些策略附加到需要这些权限的 IAM 用户或组。

仅资源拥有者能够执行以下操作：
+ 创建资源共享。
+ 更新资源共享。
+ 查看资源共享。
+ 查看您的账户在所有资源共享中共享的资源。
+ 在所有资源共享中查看您与其共享资源的委托人。通过查看您与其共享资源的委托人，您可以确定谁有权访问您共享的资源。
+ 删除资源共享。
+ 运行所有中转网关、Transit Gateway 连接和中转网关路由表 API。

您可以对与您共享的资源执行以下操作：
+ 接受或拒绝资源共享邀请。
+ 查看资源共享。
+ 查看您可以访问的共享资源。
+ 查看与您共享资源的所有委托人的列表。您可以查看他们与您共享的资源和资源共享。
+ 可以运行 `DescribeTransitGateways` API。
+ 运行 API 以在 VPC 中创建和描述连接，例如，`CreateTransitGatewayVpcAttachment` 和 `DescribeTransitGatewayVpcAttachments`。
+ 退出资源共享。

与您共享中转网关时，您无法创建、修改或删除其中转网关路由表或其中转网关路由表传播和关联。

在创建中转网关时，将在映射到您的账户并独立于其他账户的可用区中创建中转网关。如果中转网关和连接实体位于不同的账户中，请使用可用区 ID 唯一且一致地标识可用区。例如，use1-az1 是 us-east-1 区域的可用区 ID，它映射到每个账户中的相同位置。 AWS 

### 取消共享中转网关
<a name="transit-gateway-unshare"></a>

当共享拥有者取消共享中转网关时，以下规则适用：
+ Transit Gateway 连接保持正常工作。
+ 共享账户无法描述中转网关。
+ 中转网关拥有者和共享拥有者可以删除 Transit Gateway 连接。

当公交网关与另一个 AWS 账户取消共享时，或者如果与之共享公交网关的 AWS 账户已从组织中移除，则公交网关本身不会受到影响。

### 共享子网
<a name="transit-gateway-shared-subnets"></a>

仅 VPC 所有者可以将中转网关附加到共享 VPC 子网。参与者不能。来自参与者资源的流量可以使用附件，具体取决于 VPC 所有者在共享 VPC 子网上设置的路由。

有关更多信息，请参阅《Amazon VPC 用户指南》中的 [与其他账户共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)**。