Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie erstelle ich in Transit Gateway einen Amazon VPC-Anhang für ein Transit-Gateway, das sich in einem anderen Konto befindet?

Lesedauer: 6 Minute
0

Ich möchte in AWS Transit Gateway einen Amazon Virtual Private Cloud (Amazon VPC)-Anhang für ein Transit-Gateway erstellen, das sich in einem anderen AWS-Konto befindet.

Kurzbeschreibung

Um eine VPC an ein Transit-Gateway anzuhängen, das sich in einem anderen Konto befindet, verwende AWS Resource Access Manager (AWS RAM), um das Transit-Gateway mit dem Konto zu teilen, dem die VPC gehört.

In der folgenden Lösung ist das Konto, dem das Transit-Gateway gehört, das Quellkonto, und das Konto, dem die VPC gehört, ist das Zielkonto. Nachdem das Zielkonto die Ressourcenfreigabe akzeptiert hat, erstelle einen VPC-Anhang, um deine VPC mit dem gemeinsamen Transit-Gateway des Quellkontos zu verbinden.

Du kannst entweder die AWS-Managementkonsole oder die AWS Command Line Interface (AWS CLI) verwenden, um die folgenden Schritte auszuführen.

Hinweis: Wenn du beim Ausführen von AWS-CLI-Befehlen Fehler erhältst, findest du weitere Informationen unter Behebung von Fehlern für den AWS-CLI. Stelle außerdem sicher, dass du die neueste AWS-CLI-Version verwendest.

Lösung

Voraussetzung: Bevor du einen VPC-Anhang zu einem Transit-Gateway erstellst, stelle sicher, dass der Benutzer oder die Rolle von AWS Identity and Access Management (IAM) im Zielkonto berechtigt ist, serviceverknüpfte Rollen zu erstellen. AWS erstellt bei der Erstellung des VPC-Anhangs automatisch die serviceverknüpfte Rolle AWSServiceRoleForVPCTransitGateway. Diese Rolle ermöglicht es Transit Gateway, elastische Netzwerkschnittstellen in deinen VPC-Subnetzen zu erstellen und zu verwalten und das erforderliche Routing für den Anhang zu konfigurieren.

Um zu überprüfen, ob du über die erforderlichen Berechtigungen verfügst, vergewissere dich, dass deine IAM-Richtlinie die folgende Aussage enthält:

{
  "Effect": "Allow",
  "Action": "iam:CreateServiceLinkedRole",
  "Resource": "arn:aws:iam::*:role/aws-service-role/transitgateway.amazonaws.com/AWSServiceRoleForTransitGateway*"

Wenn der IAM-Benutzer oder die IAM-Rolle nicht berechtigt ist, eine serviceverknüpfte Rolle zu erstellen, erhältst du die Fehlermeldung „Access denied“.

Teilen des Transit-Gateways mit dem Zielkonto

AWS-RAM-Konsole

Führe die folgenden Schritte aus:

  1. Öffne im Quellkonto die AWS-RAM-Konsole.
  2. Wähle in der Dropdownliste AWS-Region die Region deines Transit-Gateways aus.
  3. Wähle Ressourcenfreigabe erstellen.
  4. Gib folgende Informationen ein:
    Gib unter Name einen Namen für die Ressourcenfreigabe ein.
    Wähle für Ressourcentyp auswählen die Option Transit-Gateway aus, und wähle dann deine Transit-Gateway-ID aus.
  5. Wähle Weiter.
  6. Wähle eine verwaltete Berechtigung aus, die du dem Transit-Gateway zuordnen möchtest.
  7. Wähle Weiter.
  8. Wähle Zugriff auf Prinzipale gewähren aus, und gib dann die folgenden Informationen ein:
    Gib für Prinzipale die Konto-ID des Zielkontos oder eine Organisations-ID für ein Konto ein, das sich in AWS Organizations befindet.
    Wenn sich das Konto nicht in einer Organisation befindet, wähle Teilen mit allen zulassen aus.
    Wenn sich das Konto in einer Organisation befindet, wähle Zulassen der Freigabe nur innerhalb der eigenen Organisation.
    Hinweis: Um die Organisations-ID als Prinzipaltyp zu verwenden, aktiviere den vertrauenswürdigen Zugriff. Um die Prinzipalen zu aktualisieren, nachdem du die Ressourcenfreigabe erstellt hast, wähle die Ressourcenfreigabe aus, und klicke dann auf Ändern.
  9. Wähle Ressourcenfreigabe erstellen.

AWS CLI

Hinweis: Ersetze in den folgenden Befehlen die Beispielparameter durch die folgenden Werte:

  • Gib für TGWSHARE einen Namen für die Ressourcenfreigabe an.
  • Ersetze 222222222222 durch die Konto-ID des Zielkontos.
  • Gib für resource-arns den Amazon-Ressourcennamen (ARN) des Transit-Gateways des Quellkontos an.
  • Gib für die Prinzipalorganisationen den ARN der Organisation an.
  • Gib für resource-share-arn den ARN der vorhandenen Ressourcenfreigabe an, die du ändern möchtest.

Um eine Ressourcenfreigabe mit Konten zu erstellen, die keiner Organisation angehören, führe den folgenden create-resource-share-Befehl aus:

aws ram create-resource-share \
    --name TGWSHARE \
    --resource-arns arn:aws:ec2:region:123456789012:transit-gateway/tgw-1234567890abcdef0 \
    --principals 222222222222 \
    --allow-external-principals

Um eine Ressourcenfreigabe zu erstellen, die nur den Zugriff auf Konten in deiner Organisation ermöglicht, führe den folgenden create-resource-share-Befehl aus:

aws ram create-resource-share \
    --name TGWSHARE \
    --resource-arns arn:aws:ec2:region:123456789012:transit-gateway/tgw-1234567890abcdef0 \
    --principals organizations::123456789012:organization/o-exampleorgid \
    --no-allow-external-principals

Um eine vorhandene Ressourcenfreigabe zu ändern, führe den folgendenupdate-resource-share-Befehl aus:

aws ram update-resource-share \
    --allow-external-principals \
    --resource-share-arn arn:aws:ram:us-west-2:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE

Weitere Informationen findest du unter Einen Ressourcenanteil erstellen in AWS RAM.

Akzeptieren der Transit-Gateway-Freigabe im Zielkonto

AWS-RAM-Konsole

Anweisungen findest du unter Akzeptieren Sie eine AWS Transit Gateway-Ressourcenfreigabe mithilfe der AWS Resource Access Manager Konsole.

Verwende die Amazon VPC-Konsole, um zu überprüfen, ob das freigegebene Transit-Gateway im Zielkonto angezeigt wird.

AWS CLI

Führe die folgenden Schritte aus:

  1. Führe den folgenden get-resource-share-invitations-Befehl aus, um ausstehende Einladungen zur Ressourcenfreigabe aufzulisten:

    aws ram get-resource-share-invitations

  2. Kopiere den resourceShareInvitationArn aus der Ausgabe.

  3. Führe den folgenden accept-resource-share-invitation-Befehl aus, um die Einladung anzunehmen:

    aws ram accept-resource-share-invitation \
    --resource-share-invitation-arn arn:aws:ram:us-west-2:111111111111:resource-share-invitation/1e3477be-4a95-46b4-bbe0-c4001EXAMPLE

    Hinweis: Ersetze resource-share-invitation-arn durch den ARN aus der Einladung.

Führe den folgenden describe-transit-gateways-Befehl aus, um zu überprüfen, ob das gemeinsame Transit-Gateway im Zielkonto angezeigt wird:

aws ec2 describe-transit-gateways

Erstellen des VPC-Anhangs im Zielkonto

Amazon-VPC-Konsole

Anweisungen findest du unter Erstellen Sie einen VPC-Anhang in AWS Transit Gateway.

AWS CLI

Führe den folgenden create-transit-gateway-vpc-attachment-Befehl aus:

aws ec2 create-transit-gateway-vpc-attachment \
    --transit-gateway-id SHARED-TRANSIT-GATEWAY-ID \
    --vpc-id DESTINATION-VPC-ID \
    --subnet-ids SUBNET-A SUBNET-B \
    --options DnsSupport=enable,Ipv6Support=disable

**Hinweis:**Ersetze SHARED-TRANSIT-GATEWAY-ID durch die ID des freigegebenen Transit-Gateways und DESTINATION-VPC-ID durch die ID der Ziel-VPC. Ersetze SUBNET-A und SUBNET-B durch die Subnetz-IDs. Gib nur ein Subnetz für jede Availability Zone an. Für eine bessere Verfügbarkeit empfiehlt es sich, ein Subnetz in zwei Availability Zones anzugeben. Das Transit-Gateway verwendet eine IP-Adresse aus jedem angegebenen Subnetz.

Nachdem du den VPC-Anhang erstellt hast, überprüfe den Status. Wenn du Freigegebene Anhänge automatisch akzeptieren aktiviert hast, akzeptiert das Transit-Gateway die Anlage automatisch. Wenn du bei der Erstellung des Transit-Gateways die Option Freigegebene Anhänge automatisch akzeptieren nicht aktiviert hast, lautet der Status Akzeptanz ausstehend. Informationen zum Akzeptieren des VPC-Anhangs vom Quellkonto findest du im folgenden Abschnitt Akzeptieren des VPC-Anhangs im Quellkonto.

Akzeptieren des VPC-Anhangs im Quellkonto

Amazon-VPC-Konsole

Akzeptiere im Quellkonto einen geteilten Anhang.

AWS CLI

Oder führe den folgenden AWS-CLI-Befehl describe-transit-gateway-attachments aus, um Anhänge mit pendingAcceptance aufzulisten:

aws ec2 describe-transit-gateway-attachments \
    --filters Name=state,Values=pendingAcceptance

Führe dann den folgenden accept-transit-gateway-vpc-attachment-Befehl aus, um den VPC-Anhang zu akzeptieren:

aws ec2 accept-transit-gateway-vpc-attachment \
    --transit-gateway-attachment-ids TGW-ATTACH-1122

**Hinweis:**Verwende die Transit-Gateway-Anhang-ID aus der Befehlsausgabe. Ersetze dann TGW-ATTACH-1122 durch die ID des VPC-Anhangs.

Ähnliche Informationen

Amazon VPC-Anlagen in AWS Transit Gateway

Wie AWS RAM funktioniert mit IAM

Transit-Gateways im AWS Transit Gateway

Was ist AWS Transit Gateway für Amazon VPC?

Themen
Networking & Content Delivery
Tags
AWS Transit Gateway
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 5 Monaten

Relevanter Inhalt