本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 連線至另一個帳戶中的 VPC
<a name="workflows-vpc-cross-account"></a>

您可以讓 HealthOmics 工作流程執行另一個 AWS 帳戶所管理 Amazon VPC 中資源的存取權，而無需將任一 VPC 暴露到網際網路。此存取模式可讓您使用 AWS與其他組織共用資料。使用此存取模式，可以在 VPC 之間共用資料，其安全性和效能高於網際網路。設定工作流程執行以使用 VPC 對等互連來存取這些資源。

**警告**  
當您允許帳戶或 VPC 之間的存取時，請檢查您的計劃是否符合管理這些帳戶之各個組織的安全要求。遵循本文件中的指示將影響資源的安全狀態。

在本教學課程中，使用 IPv4 透過對等互連將兩個帳戶連線在一起。您可以設定尚未連接到另一個帳戶中 VPC 的 HealthOmics 組態資源。您可以設定 DNS 解析，將工作流程執行連線到不提供靜態 IPs 的資源。若要調整這些說明以適應其他對等互連案例，請參閱 [VPC 對等互連指南](https://docs.aws.amazon.com/vpc/latest/peering/)。

## 先決條件
<a name="vpc-cross-account-prerequisites"></a>

若要授予 HealthOmics 工作流程對另一個帳戶中資源的執行存取權，您必須擁有：
+ HealthOmics 工作流程設定為使用 驗證，然後從 資源讀取。
+ 另一個帳戶中的資源，例如 Amazon RDS 叢集或授權伺服器，可透過 Amazon VPC 取得。
+ 工作流程帳戶和資源帳戶的登入資料。如果您無權使用資源的帳戶，請聯絡授權使用者以準備該帳戶。
+ 建立和更新要與 HealthOmics 工作流程執行建立關聯的 VPC （和支援 Amazon VPC 資源） 的許可。
+ 建立 HealthOmics 組態資源的許可。
+ 在工作流程帳戶中建立 VPC 互連連線的許可。
+ 在資源帳戶中接受 VPC 對等互連的許可。
+ 更新資源 VPC (並支援 Amazon VPC 資源) 組態的許可。
+ 啟動 HealthOmics 工作流程執行的許可。

## 在工作流程的帳戶中建立 Amazon VPC
<a name="vpc-cross-account-create-vpc"></a>

在 HealthOmics 工作流程的帳戶中建立 Amazon VPC、子網路、路由表和安全群組。

**如何使用主控台建立 VPC、子網路和其他 VPC 資源**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在儀表板上，選擇**建立 VPC**。

1. 對於 **IPv4 CIDR 區塊**，請提供私有 CIDR 區塊。CIDR 區塊不得與資源 VPC 中使用的區塊重疊。請勿挑選資源的 VPC 用來將 IPs指派給資源的區塊，或資源 VPC 中路由表中已定義的區塊。如需有關定義適當 CIDR 區塊的詳細資訊，請參閱 [VPC CIDR 區塊](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)。

1. 選擇**自訂可用區域**。

1. 選取至少一個 HealthOmics 在您的區域中運作的可用區域。

1. 針對**公有子網路數量**，選擇 **0**。

1. 對於 **VPC 端點**，請選擇 **None**（您可以稍後新增這些端點以進行成本最佳化）。

1. 選擇**建立 VPC**。

## 建立 VPC 對等互連請求
<a name="vpc-cross-account-create-peering"></a>

從工作流程的 VPC （申請者 VPC) 到資源的 VPC （接受者 VPC) 建立 VPC 互連連線請求。

**從工作流程的 VPC 請求 VPC 對等互連**

1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇 **Peering connections** (對等互連)。

1. 關閉 **Create peering connection** (建立對等互連)。

1. 針對 **VPC ID （請求者）**，選取工作流程的 VPC。

1. 對於**帳戶 ID**，輸入資源帳戶的 ID。

1. 針對 **VPC ID （接受者）**，輸入資源的 VPC ID。

1. 關閉 **Create peering connection** (建立對等互連)。

## 準備資源的帳戶
<a name="vpc-cross-account-prepare-resource"></a>

若要建立對等互連並準備資源的 VPC 以使用連線，請使用具有先決條件中所列許可的角色來登入資源的帳戶。登入步驟可能會根據帳戶的保護措施而有所不同。如需如何登入 AWS 帳戶的詳細資訊，請參閱 [AWS 登入使用者指南](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html)。在資源的帳戶中，執行下列程序。

**若要接受 VPC 對等互連請求**

1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇 **Peering connections** (對等互連)。

1. 選取待定 VPC 對等互連 (狀態為待接受)。

1. 選擇**動作**。

1. 從下拉式清單中，選擇**接受請求**。

1. 出現確認提示時，請選擇**接受請求**。

1. 選擇**立即修改我的路由表**，將路由新增至 VPC 的主路由表，以便透過對等互連傳送和接收流量。

檢查資源 VPC 的路由表。根據資源 VPC 的設定方式，Amazon VPC 產生的路由可能無法建立連線。檢查新路由與 VPC 現有組態之間的衝突。如需疑難排解的詳細資訊，請參閱《*Amazon* [VPC 對等互連指南》中的對 VPC 對等互連進行疑難排解](https://docs.aws.amazon.com/vpc/latest/peering/troubleshoot-vpc-peering-connections.html)。

**更新資源 VPC 的路由表**

1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇 **Route tables** (路由表)。

1. 選取與資源相關聯之子網路的路由表名稱旁的核取方塊。

1. 選擇**動作**。

1. 選擇 **Edit routes** (編輯路由)。

1. 選擇 **Add route** (新增路由)。

1. 針對**目的地**，輸入工作流程 VPC 的 CIDR 區塊。

1. 對於**目標**，選取 VPC 對等互連。

1. 選擇**儲存變更**。

如需有關更新路由表時可能遇到之考量的詳細資訊，請參閱[更新 VPC 對等互連的路由表](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-routing.html)。

**若要更新資源的安全群組**

1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇**安全群組**。

1. 選取資源的安全群組。

1. 選擇**動作**。

1. 從下拉式清單中，選擇**編輯傳入規則**。

1. 選擇**新增規則**。

1. 針對**類型**，選取資源使用的通訊協定 （例如 HTTPS、MySQL/Aurora 或自訂 TCP)。

1. 在**連接埠範圍**中，輸入資源接聽的連接埠。

1. 針對**來源**，輸入工作流程的 VPC CIDR 區塊 （例如 10.0.0.0/16)。

1. 選擇**儲存規則**。

1. 選擇**編輯傳出規則**。

1. 檢查是否限制傳出流量。預設 VPC 設定允許所有傳出流量。如果傳出流量受限，請繼續下一個步驟。

1. 選擇**新增規則**。

1. 針對**類型**，選取 **All traffic**或所需的特定通訊協定。

1. 針對**目的地**，輸入工作流程的 VPC CIDR 區塊 （例如 10.0.0.0/16)。

1. 選擇**儲存規則**。

**若要啟用對等互連的 DNS 解析**

1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇 **Peering connections** (對等互連)。

1. 選取您的對等互連。

1. 選擇**動作**。

1. 選擇**編輯 DNS 設定**。

1. 在**接受者 DNS 解析**下，選取**允許請求者 VPC 將接受者 VPC 主機的 DNS 解析為私有 IP**。

1. 選擇**儲存變更**。

## 更新工作流程帳戶中的 VPC 組態
<a name="vpc-cross-account-update-workflow"></a>

登入工作流程的帳戶，然後更新 VPC 組態。

**若要新增 VPC 對等互連的路由**

1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇 **Route tables** (路由表)。

1. 選取您要與 HealthOmics 組態建立關聯之子網路的路由表名稱旁的核取方塊。

1. 選擇**動作**。

1. 選擇 **Edit routes** (編輯路由)。

1. 選擇 **Add route** (新增路由)。

1. 對於**目的地**，輸入資源 VPC 的 CIDR 區塊。

1. 對於**目標**，選取 VPC 對等互連。

1. 選擇**儲存變更**。

如需有關更新路由表時可能遇到之考量的詳細資訊，請參閱[更新 VPC 對等互連的路由表](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-routing.html)。

**更新 HealthOmics 工作流程執行的安全群組**

1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇**安全群組**。

1. 選取您要用於 HealthOmics 組態的安全群組。

1. 選擇**動作**。

1. 選擇**編輯傳出規則**。

1. 選擇**新增規則**。

1. 針對**類型**，選取資源使用的通訊協定 （例如 HTTPS、MySQL/Aurora 或自訂 TCP)。

1. 在**連接埠範圍**中，輸入資源接聽的連接埠。

1. 針對**目的地**，輸入資源的 VPC CIDR 區塊 （例如 10.1.0.0/16)。

1. 選擇**儲存規則**。

1. 選擇 **Edit inbound Rules** (編輯傳入規則)。

1. 檢查傳入流量規則是否存在。如果您的資源需要啟動與工作流程執行的連線，請繼續下一個步驟。否則，請跳至 DNS 解析步驟。

1. 選擇**新增規則**。

1. 針對**類型**，選取適當的通訊協定。

1. 對於**來源**，輸入資源的 VPC CIDR 區塊 （例如 10.1.0.0/16)。

1. 選擇**儲存規則**。

**若要啟用對等互連的 DNS 解析**

1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇 **Peering connections** (對等互連)。

1. 選取您的對等互連。

1. 選擇**動作**。

1. 選擇**編輯 DNS 設定**。

1. 在**請求者 DNS 解析**下，選取**允許接受者 VPC 將請求者 VPC 主機的 DNS 解析為私有 IP**。

1. 選擇**儲存變更**。

## 使用跨帳戶 VPC 存取執行工作流程
<a name="vpc-cross-account-running-workflows"></a>

啟動工作流程執行時，請使用工作流程帳戶中 VPC 的子網路和安全群組。來自工作流程執行的流量將透過 VPC 互連連線路由至另一個帳戶中的 VPC。

如需建立 HealthOmics 組態資源和啟動使用 VPC 聯網執行工作流程的詳細資訊，請參閱 [將 HealthOmics 工作流程連線至 VPC](workflows-vpc-networking.md)。

**重要**  
我們建議在兩個 VPC 上啟用 VPCs 流程日誌，以驗證它們之間的流量，並疑難排解連線問題。如需詳細資訊，請參閱「Amazon VPC 使用者指南」**中的 [VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。

## 疑難排解
<a name="vpc-cross-account-troubleshooting"></a>

如果您的工作流程執行無法連線到對等 VPC 中的資源：

1. **驗證路由表**：確保兩個 VPCs 都有指向 VPC 對等互連的雙向路由。

1. **檢查安全群組**：確認兩個 VPCs中的安全群組允許所需的流量 （傳入資源 VPC，傳出工作流程 VPC)。

1. **驗證 DNS 解析**：如果使用 DNS 名稱，請確保對等連線上的雙向都啟用 DNS 解析。

1. **檢查 CIDR 區塊**：確認 CIDR 區塊未在兩個 VPCs之間重疊。

1. **檢閱 VPC 流程日誌**：在兩個 VPC 中啟用 VPCs 流程日誌，以診斷流量問題。

1. **驗證對等連線狀態**：確保對等連線狀態位於`active`兩個帳戶中。

如需更多故障診斷指引，請參閱《*Amazon* [VPC 對等互連指南》中的對 VPC 對等互連進行故障診斷](https://docs.aws.amazon.com/vpc/latest/peering/troubleshoot-vpc-peering-connections.html)。

## 最佳實務
<a name="vpc-cross-account-best-practices"></a>

1. **使用最低權限的安全群組**：僅允許工作流程所需的特定連接埠和通訊協定存取資源。

1. **記錄對等關係**：維護哪些 VPCs 要對等以及用途的文件。

1. **監控跨帳戶流量**：使用 VPC 流程日誌和 CloudWatch 指標來監控流量模式並偵測異常。

1. **仔細規劃 CIDR 區塊**：確保 CIDR 區塊不重疊，並留出空間供未來擴充。

1. **徹底測試**：在執行生產工作負載之前，驗證與測試工作流程的連線。

1. **與資源帳戶擁有者協調**：與管理資源帳戶的團隊建立明確的溝通管道，以進行疑難排解和維護。

1. **使用標籤**：標記 VPC 互連連線、路由表和安全群組，以識別其目的和擁有權。

## 其他資源
<a name="vpc-cross-account-resources"></a>
+ [VPC 對等指南](https://docs.aws.amazon.com/vpc/latest/peering/)
+ [將 HealthOmics 工作流程連線至 VPC](workflows-vpc-networking.md)
+ [VPC CIDR 區塊](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html)
+ [更新 VPC 對等互連的路由表](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-routing.html)
+ [對 VPC 互連連線進行故障診斷](https://docs.aws.amazon.com/vpc/latest/peering/troubleshoot-vpc-peering-connections.html)