Transit Gateway を別のアカウントと、あるいは AWS Organization 内で、共有するにはどうすればいいですか?

簡単な説明

Transit Gateway を別のアカウントと共有する場合は、次の点に注意してください。

• Transit Gateway はリージョナルなサービスです。すべての手順は、必ず、対象の Transit Gateway と同じリージョンで実行してください。Transit Gateway をリージョン間で共有することはできません。
• AWS Resource Access Manager (AWS RAM) はリージョナルなサービスです。共有されたプリンシパルでは、それが作成された AWS リージョン内のリソース共有に対してのみアクセスが可能です。
• Transit Gateway が Organizations と共有されていれば、Transit Gateway アタッチメントを持つアカウントが Organizations を離れても、その Transit Gateway アタッチメントは引き続き機能します。Transit Gateway の所有者と、それを共有するアカウントの所有者には、Transit Gateway アタッチメントを削除する権限があります。

解決方法

Transit Gateway を AWS RAM と共有する

1. AWS RAM コンソールを開きます。
2. AWS Organizations 内でリソースの共有を有効にします)。(Transit Gateway が AWS Organizations 内で共有されている場合に必要となります)
3. [Create resource share] (リソースの共有の作成) を選択します。
4. リソース共有で、[Name] (名前) を入力します。
5. [Select resource type] (リソースタイプを選択) で、[Transit Gateways] を選択します。次に、共有する Transit Gateway を選択します。
6. (オプション) [Tags] (タグ) で、各タグにタグキーとタグ値のペアを入力します。これらのタグはリソース共有に適用されますが、Transit Gateway には適用されません。
7. [Next] (次へ) を選択します。
8. [Transit gateway resource share] (トランジットゲートウェイのリソース共有) では、使用可能なアクセス許可は 1 つのみです。共有された Transit Gateway に対し、プリンシパルが実行可能なアクションを確認します。その後、[Next] (次へ) を選択します。
9. この Transit Gateway を Organization の外部にあるアカウントと共有するには、[Allow sharing with anyone] (すべてのユーザーとの共有を許可) を選択します。

• または -
  Transit Gateway を Organization 内でのみ共有する場合は、[Allow sharing only within your organization] (自分の組織内でのみ共有を許可) を選択します。

10. [Principals] (プリンシパル) を選択し、Transit Gateway を共有するアカウント ID または Organization ID を入力します。
11. [Add] (追加) を選択してプリンシパルを追加します。その後、[Next] (次へ) を選択します。
12. 表示内容を確認した上で、[Create resource share] (リソース共有を作成) を選択します。

AWS RAM で Transit Gateway のリソース共有を承認する

Transit Gateway を共有したアカウントで、以下の手順を実行します。

1. AWS RAM コンソールを開きます。
2. ナビゲーションペインで、[Shared with me] (自分と共有) を選択します。次に、[Resource shares] (リソース共有) を選択します。
3. 前のセクションで共有した共有リソースを選択します。
4. [Accept resource share] (リソースの共有を承諾) を選択します。
5. 共有された Transit Gateway を表示するには、Amazon Virtual Private Cloud (Amazon VPC) コンソールで、[Transit Gateways] ページを開きます。

共有しているアカウント内に Transit Gateway アタッチメントを作成する

Transit Gateway を共有する Transit Gateway アカウントに、Transit Gateway アタッチメントを作成します。作成するアタッチメントのタイプは、ユースケースにより異なります。

作成後、Transit Gateway アタッチメントのステータスが、 [Pending Acceptance] (承諾の保留中) となっていることを確認します。

Transit Gateway の所有者アカウント内でアタッチメントを承諾する

Transit Gateway の所有者アカウントで以下の手順を実行し、前のセクションで作成したアタッチメントを承諾します。共有アタッチメントの自動承諾を有効にしていない場合に、以下の手順に従ってアタッチメントを手動で承諾します。自動承諾を有効にするには、「共有アタッチメントを自動的に承諾する」セクションを参照してください。

1. Amazon VPC コンソールを開きます。
2. ナビゲーションペインで、[Transit Gateway Attachments] (Transit Gateway アタッチメント) を選択します。
3. 前のセクションで作成した、承諾待ち状態にある Transit Gateway アタッチメントを選択します。
4. [Actions] (アクション) を選択します。 次に、[Accept transit gateway attachment] (Transit Gateway アタッチメントを承諾) を選択します。

(オプション) 共有アタッチメントを自動的に承諾する

手動の操作を行わずに共有アタッチメントをに承諾するには、Transit Gateway 所有者アカウントで自動承諾を有効化します。

1. Amazon VPC コンソールを開きます。
2. ナビゲーションペインで、[Transit Gateways] を選択します。
3. 変更する Transit Gateways を選択します。
4. [Actions] (アクション) を選択します。 次に、[Modify transit gateway] (Transit Gateway を変更) を選択します。
5. [Configure cross-account sharing options] (クロスアカウント共有オプションの設定) で、[Auto accept shared attachments] (共有アタッチメントを自動承諾) を選択します。

---