Como faço para criar um anexo da Amazon VPC em um gateway de trânsito de outra conta?

7 minuto de leitura

Quero criar um anexo da Amazon Virtual Private Cloud (Amazon VPC) em um gateway de trânsito do AWS Transit Gateway que pertence a outra conta da AWS.

Breve descrição

Se quiser anexar uma VPC a um gateway de trânsito de outra conta, use o AWS Resource Access Manager (AWS RAM) para compartilhar o gateway de trânsito com a conta proprietária da VPC.

Nesta resolução, a conta proprietária do gateway de trânsito é a conta de origem, enquanto a conta proprietária da VPC é a conta de destino. Assim que a conta de destino aceitar o compartilhamento do recurso, crie um anexo para conectar a VPC ao gateway de trânsito compartilhado na conta de origem.

Você pode usar tanto o Console de Gerenciamento da AWS quanto a AWS Command Line Interface (AWS CLI).

Observação: se você receber mensagens de erro ao executar comandos da AWS CLI, consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Resolução

Pré-requisito: antes de criar um anexo de VPC em um gateway de trânsito, verifique se o usuário ou perfil do AWS Identity and Access Management (IAM) na conta de destino tem permissão para criar perfis vinculados ao serviço. A AWS cria automaticamente o perfil vinculado ao serviço AWSServiceRoleForVPCTransitGateway durante a criação do anexo de VPC. Esse perfil permite que o Transit Gateway crie e gerencie as interfaces de rede elásticas nas sub-redes da VPC e configure o roteamento necessário para o anexo.

Para verificar se você tem as permissões necessárias, confirme se a política do IAM inclui a seguinte declaração:

{
  "Effect": "Allow",
  "Action": "iam:CreateServiceLinkedRole",
  "Resource": "arn:aws:iam::*:role/aws-service-role/transitgateway.amazonaws.com/AWSServiceRoleForTransitGateway*"

Se o usuário ou perfil do IAM não tiver permissão para criar um perfil vinculado ao serviço, você receberá um erro de "Access Denied".

Compartilhe o gateway de trânsito com a conta de destino

Console do AWS RAM

Siga estas etapas:

Na conta de origem, abra o console do AWS RAM.
Na lista suspensa "Região da AWS", selecione a região do gateway de trânsito.
Escolha Criar um compartilhamento de recursos.
Insira as informações a seguir:
Em Nome, insira um nome para o compartilhamento de recursos.
Em Selecionar tipo de recurso, escolha Gateway de trânsito e, em seguida, selecione o ID do gateway de trânsito.
Clique em Próximo.
Escolha uma permissão gerenciada para associar ao gateway de trânsito.
Clique em Próximo.
Escolha Conceder acesso a entidades principais e insira as seguintes informações:
Em Entidades principais, insira o ID da conta de destino ou o ID da organização de uma conta que esteja no AWS Organizations.
Se a conta não estiver em uma organização, escolha Permitir compartilhamento com qualquer pessoa.
Se a conta estiver em uma organização, escolha Permitir compartilhamento somente dentro da sua organização.
Observação: para usar o ID da organização como o tipo da entidade principal, ative o acesso confiável. Para atualizar as entidades principais depois de criar o compartilhamento de recursos, selecione o compartilhamento de recursos e escolha Modificar.
Escolha Criar compartilhamento de recursos.

AWS CLI

Observação: nos comandos a seguir, substitua os exemplos de parâmetro pelos seguintes valores:

Em TGWSHARE, insira um nome para o compartilhamento de recursos.
Substitua 222222222222 pelo ID da conta de destino.
Em resource-arns, insira o nome do recurso da Amazon (ARN) do gateway de trânsito da conta de origem.
Em principals organizations, insira o ARN da organização.
Em resource-share-arn, insira o ARN do compartilhamento de recursos existente que você quer modificar.

Para criar um compartilhamento de recursos com contas que não estão em uma organização, execute o seguinte comando create-resource-share:

aws ram create-resource-share \
    --name TGWSHARE \
    --resource-arns arn:aws:ec2:region:123456789012:transit-gateway/tgw-1234567890abcdef0 \
    --principals 222222222222 \
    --allow-external-principals

Para criar um compartilhamento de recursos a fim de permitir o acesso somente às contas na sua organização, execute o seguinte comando create-resource-share:

aws ram create-resource-share \
    --name TGWSHARE \
    --resource-arns arn:aws:ec2:region:123456789012:transit-gateway/tgw-1234567890abcdef0 \
    --principals organizations::123456789012:organization/o-exampleorgid \
    --no-allow-external-principals

Para modificar um compartilhamento de recursos existente, execute o seguinte comando update-resource-share:

aws ram update-resource-share \
    --allow-external-principals \
    --resource-share-arn arn:aws:ram:us-west-2:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE

Para saber mais, consulte Creating a resource share in AWS RAM (Criar um compartilhamento de recursos no AWS RAM).

Aceite o compartilhamento do gateway de trânsito na conta de destino

Console do AWS RAM

Para consultar as instruções, acesse Accept an AWS Transit Gateway resource share using the AWS Resource Access Manager console (Aceitar um compartilhamento de recursos do AWS Transit Gateway usando o console do AWS Resource Access Manager).

Use o console da Amazon VPC para verificar se o gateway de trânsito compartilhado aparece na conta de destino.

AWS CLI

Siga estas etapas:

Execute o seguinte comando get-resource-share-invitations para listar os convites pendentes de compartilhamento de recursos:
```
aws ram get-resource-share-invitations
```
Copie resourceShareInvitationArn da saída.

Execute o comando accept-resource-share-invitation para aceitar o convite:

aws ram accept-resource-share-invitation \
    --resource-share-invitation-arn arn:aws:ram:us-west-2:111111111111:resource-share-invitation/1e3477be-4a95-46b4-bbe0-c4001EXAMPLE

Observação: substitua resource-share-invitation-arn pelo ARN do convite.

Execute o comando describe-transit-gateways para verificar se o gateway de trânsito compartilhado aparece na conta de destino:

aws ec2 describe-transit-gateways

Crie o anexo de VPC na conta de destino

Console da Amazon VPC

Para consultar as instruções, acesse Create a VPC attachment in AWS Transit Gateway (Criar um anexo de VPC no AWS Transit Gateway).

AWS CLI

Execute create-transit-gateway-vpc-attachment:

aws ec2 create-transit-gateway-vpc-attachment \
    --transit-gateway-id SHARED-TRANSIT-GATEWAY-ID \
    --vpc-id DESTINATION-VPC-ID \
    --subnet-ids SUBNET-A SUBNET-B \
    --options DnsSupport=enable,Ipv6Support=disable

Observação: substitua SHARED-TRANSIT-GATEWAY-ID pelo ID do gateway de trânsito compartilhado e DESTINATION-VPC-ID pelo ID da VPC de destino. Substitua SUBNET-A e SUBNET-B pelos IDs das sub-redes. Especifique somente uma sub-rede para cada zona de disponibilidade. Para melhorar a disponibilidade, a prática recomendada é especificar uma sub-rede em duas zonas de disponibilidade. O gateway de trânsito usa um endereço IP de cada sub-rede especificada.

Depois de criar o anexo de VPC, verifique o status. Se você ativou a opção Aceitar automaticamente anexos compartilhados, é isso que o gateway de trânsito fará. Se você não ativou a opção Aceitar automaticamente anexos compartilhados durante a criação do gateway de trânsito, o status mostrará Aceitação pendente. Para aceitar o anexo de VPC da conta de origem, consulte a seção a seguir Aceite o anexo de VPC na conta de origem.

Aceite o anexo de VPC na conta de origem

Console da Amazon VPC

Na conta de origem, aceite um anexo compartilhado.

AWS CLI

Ou execute o comando describe-transit-gateway-attachments da AWS CLI para listar anexos com pendingAcceptance:

aws ec2 describe-transit-gateway-attachments \
    --filters Name=state,Values=pendingAcceptance

Em seguida, execute o comando accept-transit-gateway-vpc-attachment para aceitar o anexo de VPC:

aws ec2 accept-transit-gateway-vpc-attachment \
    --transit-gateway-attachment-ids TGW-ATTACH-1122

Observação: use o ID do anexo do gateway de trânsito da saída do comando. Em seguida, substitua TGW-ATTACH-1122 pelo ID do anexo de VPC.

Informações relacionadas

Amazon VPC attachments in AWS Transit Gateway (Anexos da Amazon VPC no AWS Transit Gateway)

How AWS RAM works with IAM (Como o AWS RAM funciona com o IAM)

Transit gateways in AWS Transit Gateway (Gateways de trânsito no AWS Transit Gateway)

What is AWS Transit Gateway for Amazon VPC? (O que é o AWS Transit Gateway para Amazon VPC?)

Tópicos: Networking & Content Delivery
Tags: AWS Transit Gateway
Idioma: Português

AWS OFICIALAtualizada há 5 meses

Sem comentários

Conteúdo relevante

Problema VPN Site-to-Site: Tráfego aceito pela VPC mas não processado pelo túnel
Mateus Diniz
feita há 6 meses
Erro em restauração de banco do S3 para o RDS SQL Server entre contas - "Access Denied" em Restore Cross-Account
Resposta aceita
Rafael Pinheiro
feita há 7 meses
Como criar um novo Cluster com a conta Free Tier?
User-7725420
feita há 8 meses
Como faço para criar um vps
ALESSANDRO
feita há 7 meses
Recuperar o número da porta lógica de um request
Resposta aceita
Paulo
feita há um ano
Como soluciono problemas de conectividade do Gateway de Trânsito com dispositivos virtuais de terceiros em execução em uma VPC?
AWS OFICIALAtualizada há um ano
Como faço para usar os logs de fluxo do Transit Gateway para identificar os principais talkers em um anexo de gateway de trânsito?
AWS OFICIALAtualizada há 5 meses
Como faço para realizar a análise de rotas e monitorar meu anexo Connect do gateway de trânsito usando o Network Manager?
AWS OFICIALAtualizada há 4 anos
Como faço para compartilhar meu gateway de trânsito com outra conta ou dentro de uma organização?
AWS OFICIALAtualizada há um ano
Por que as cobranças de serviço na fatura da AWS não correspondem às cobranças no AWS Cost Explorer ou no AWS Cost and Usage Report?
ESPECIALISTA
Caio Correa
publicada há um mês