自分の所有者アカウントで使用している AWS Transit Gateway を、別のアカウントと、または AWS Organizations 内で共有したいと思います。どうすればよいですか?
簡単な説明
Transit Gateway を別のアカウントと共有する場合は、次の点に注意してください。
- Transit Gateway はリージョナルなサービスです。すべての手順は、必ず、対象の Transit Gateway と同じリージョンで実行してください。Transit Gateway をリージョン間で共有することはできません。
- AWS Resource Access Manager (AWS RAM) はリージョナルなサービスです。共有されたプリンシパルでは、それが作成された AWS リージョン内のリソース共有に対してのみアクセスが可能です。
- Transit Gateway が Organizations と共有されていれば、Transit Gateway アタッチメントを持つアカウントが Organizations を離れても、その Transit Gateway アタッチメントは引き続き機能します。Transit Gateway の所有者と、それを共有するアカウントの所有者には、Transit Gateway アタッチメントを削除する権限があります。
解決方法
Transit Gateway を AWS RAM と共有する
- AWS RAM コンソールを開きます。
- AWS Organizations 内でリソースの共有を有効にします)。(Transit Gateway が AWS Organizations 内で共有されている場合に必要となります)
- [Create resource share] (リソースの共有の作成) を選択します。
- リソース共有で、[Name] (名前) を入力します。
- [Select resource type] (リソースタイプを選択) で、[Transit Gateways] を選択します。次に、共有する Transit Gateway を選択します。
- (オプション) [Tags] (タグ) で、各タグにタグキーとタグ値のペアを入力します。これらのタグはリソース共有に適用されますが、Transit Gateway には適用されません。
- [Next] (次へ) を選択します。
- [Transit gateway resource share] (トランジットゲートウェイのリソース共有) では、使用可能なアクセス許可は 1 つのみです。共有された Transit Gateway に対し、プリンシパルが実行可能なアクションを確認します。その後、[Next] (次へ) を選択します。
- この Transit Gateway を Organization の外部にあるアカウントと共有するには、[Allow sharing with anyone] (すべてのユーザーとの共有を許可) を選択します。
- または -
Transit Gateway を Organization 内でのみ共有する場合は、[Allow sharing only within your organization] (自分の組織内でのみ共有を許可) を選択します。
- [Principals] (プリンシパル) を選択し、Transit Gateway を共有するアカウント ID または Organization ID を入力します。
- [Add] (追加) を選択してプリンシパルを追加します。その後、[Next] (次へ) を選択します。
- 表示内容を確認した上で、[Create resource share] (リソース共有を作成) を選択します。
AWS RAM で Transit Gateway のリソース共有を承認する
Transit Gateway を共有したアカウントで、以下の手順を実行します。
- AWS RAM コンソールを開きます。
- ナビゲーションペインで、[Shared with me] (自分と共有) を選択します。次に、[Resource shares] (リソース共有) を選択します。
- 前のセクションで共有した共有リソースを選択します。
- [Accept resource share] (リソースの共有を承諾) を選択します。
- 共有された Transit Gateway を表示するには、Amazon Virtual Private Cloud (Amazon VPC) コンソールで、[Transit Gateways] ページを開きます。
共有しているアカウント内に Transit Gateway アタッチメントを作成する
Transit Gateway を共有する Transit Gateway アカウントに、Transit Gateway アタッチメントを作成します。作成するアタッチメントのタイプは、ユースケースにより異なります。
作成後、Transit Gateway アタッチメントのステータスが、 [Pending Acceptance] (承諾の保留中) となっていることを確認します。
Transit Gateway の所有者アカウント内でアタッチメントを承諾する
Transit Gateway の所有者アカウントで以下の手順を実行し、前のセクションで作成したアタッチメントを承諾します。共有アタッチメントの自動承諾を有効にしていない場合に、以下の手順に従ってアタッチメントを手動で承諾します。自動承諾を有効にするには、「共有アタッチメントを自動的に承諾する」セクションを参照してください。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[Transit Gateway Attachments] (Transit Gateway アタッチメント) を選択します。
- 前のセクションで作成した、承諾待ち状態にある Transit Gateway アタッチメントを選択します。
- [Actions] (アクション) を選択します。 次に、[Accept transit gateway attachment] (Transit Gateway アタッチメントを承諾) を選択します。
(オプション) 共有アタッチメントを自動的に承諾する
手動の操作を行わずに共有アタッチメントをに承諾するには、Transit Gateway 所有者アカウントで自動承諾を有効化します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[Transit Gateways] を選択します。
- 変更する Transit Gateways を選択します。
- [Actions] (アクション) を選択します。 次に、[Modify transit gateway] (Transit Gateway を変更) を選択します。
- [Configure cross-account sharing options] (クロスアカウント共有オプションの設定) で、[Auto accept shared attachments] (共有アタッチメントを自動承諾) を選択します。