# 소유자 및 참가자에 대한 책임 및 권한
<a name="vpc-share-limitations"></a>

이 섹션에는 공유 서브넷을 소유한 사용자(소유자)와 공유 서브넷을 사용하는 사용자(참가자)의 책임과 권한에 대한 세부 정보가 들어 있습니다.

## 소유자 리소스
<a name="vpc-owner-permissions"></a>

소유자는 자신이 소유한 VPC 리소스에 대한 책임이 있습니다. VPC 소유자는 공유 VPC와 연결된 리소스를 생성, 관리 및 삭제할 책임이 있습니다. 이러한 책임에는 서브넷, 라우팅 테이블, 네트워크 ACL, 피어링 연결, 게이트웨이 엔드포인트, 인터페이스 엔드포인트, Route 53 Resolver 엔드포인트, 인터넷 게이트웨이, NAT 게이트웨이, 가상 프라이빗 게이트웨이 및 전송 게이트웨이 연결이 포함됩니다.

## 참여자 리소스
<a name="vpc-participant-permissions"></a>

참여자는 자신이 소유한 VPC 리소스에 대한 책임이 있습니다. 참여자는 공유된 VPC에서 제한된 VPC 리소스 세트를 생성할 수 있습니다. 예를 들어 참여자는 네트워크 인터페이스 및 보안 그룹을 생성하고 자신이 소유한 네트워크 인터페이스에 대한 흐름 로그를 활성화할 수 있습니다. 참여자가 생성하는 VPC 리소스는 소유자 계정이 아닌 참여자 계정의 VPC 할당량에 포함됩니다. 자세한 내용은 [VPC 서브넷 공유](amazon-vpc-limits.md#vpc-share-limits) 섹션을 참조하세요.

## VPC 리소스
<a name="vpc-resource-permissions"></a>

공유 VPC 서브넷으로 작업할 때 VPC 리소스에는 다음과 같은 책임 및 권한이 적용됩니다.

**흐름 로그**
+ 참가자는 공유 VPC 서브넷에서 자신이 소유하는 네트워크 인터페이스에 대한 흐름 로그를 생성하고, 삭제하고, 설명할 수 있습니다.
+ 참가자는 공유 VPC 서브넷에서 자신이 소유하지 않는 네트워크 인터페이스에 대한 흐름 로그를 생성하고, 삭제하고, 설명할 수 없습니다.
+ 참가자는 공유 VPC 서브넷에 대한 흐름 로그를 생성하고, 삭제하고, 설명할 수 없습니다.
+ VPC 소유자는 공유 VPC 서브넷에서 자신이 소유하지 않는 네트워크 인터페이스에 대한 흐름 로그를 생성하고, 삭제하고, 설명할 수 있습니다.
+ VPC 소유자는 공유 VPC 서브넷에 대한 흐름 로그를 생성하고, 삭제하고, 설명할 수 있습니다.
+ VPC 소유자는 참가자가 생성한 흐름 로그를 설명하거나 삭제할 수 없습니다.

**인터넷 게이트웨이 및 외부 전용 인터넷 게이트웨이**
+ 참가자는 공유 VPC 서브넷에서 인터넷 게이트웨이 및 외부 전용 인터넷 게이트웨이를 생성, 연결 또는 삭제할 수 없습니다. 참가자는 공유 VPC 서브넷의 인터넷 게이트웨이를 설명할 수 있습니다. 참가자는 공유 VPC 서브넷의 송신 전용 인터넷 게이트웨이를 설명할 수 없습니다.

**NAT 게이트웨이**
+ 참가자는 공유 VPC 서브넷에서 NAT 게이트웨이를 생성, 삭제 또는 설명할 수 없습니다.

**네트워크 액세스 제어 목록(NACL)**
+  참가자는 공유 VPC 서브넷에서 NACL을 생성, 삭제 또는 교체할 수 없습니다. 참가자는 공유 VPC 서브넷에서 VPC 소유자가 생성한 NACL을 설명할 수 있습니다.

**네트워크 인터페이스**
+ 참가자는 공유 VPC 서브넷에서 네트워크 인터페이스를 만들 수 있습니다. 참가자는 공유 VPC 서브넷에서 VPC 소유자가 생성한 네트워크 인터페이스에 대해 다른 방식(예: 네트워크 인터페이스 연결, 연결 해제 또는 수정)으로 작업할 수 없습니다. 참가자는 공유 VPC에서 자신이 생성한 네트워크 인터페이스를 수정 또는 삭제할 수 있습니다. 예를 들어 참가자는 자신이 생성한 네트워크 인터페이스에 IP 주소를 연결하거나 연결 해제할 수 있습니다.
+ VPC 소유자는 공유 VPC 서브넷의 참가자가 소유한 네트워크 인터페이스를 설명할 수 있습니다. VPC 소유자는 참가자가 소유한 네트워크 인터페이스를 다른 방식(예: 공유 VPC 서브넷의 참가자가 소유한 네트워크 인터페이스의 연결, 연결 해제 또는 수정)으로 작업할 수 없습니다.

**라우팅 테이블**
+ 참가자는 공유 VPC 서브넷에서 라우팅 테이블에 대한 작업(예: 라우팅 테이블 생성, 삭제 또는 연결)을 수행할 수 없습니다. 참가자는 공유 VPC 서브넷의 라우팅 테이블을 설명할 수 있습니다.

**보안 그룹**
+ 참가자는 공유 VPC 서브넷에서 자신이 소유하는 보안 그룹을 작업할 수 있습니다(수신 및 송신 규칙 생성, 삭제, 설명 또는 수정). [VPC 소유자가 참가자와 보안 그룹을 공유](security-group-sharing.md)하는 경우 참가자는 VPC 소유자가 생성한 보안 그룹으로 작업할 수 있습니다.
+ 참가자는 자신이 소유한 보안 그룹에 다른 참가자나 VPC 소유자에게 속하는 보안 그룹을 참조하는 규칙을 만들 수 있습니다(예: account-number/security-group-id) 
+ 참가자는 VPC의 기본 보안 그룹을 사용하여 인스턴스를 시작할 수 없습니다. 이는 소유자에게 속해 있기 때문입니다.
+ 참가자는 보안 그룹이 [공유된 경우](security-group-sharing.md)가 아니라면 VPC 소유자나 다른 참가자나 소유한 기본이 아닌 보안 그룹을 사용하여 인스턴스를 시작할 수 없습니다.
+ 참가자는 공유 VPC 서브넷에서 참가자가 생성한 보안 그룹을 설명할 수 있습니다. VPC 소유자는 참가자가 생성한 보안 그룹을 다른 방식으로 작업할 수 없습니다. 예를 들어, VPC 소유자는 참가자가 생성한 보안 그룹을 사용하여 인스턴스를 시작할 수 없습니다.

**서브넷**
+  참가자는 공유 서브넷 또는 관련 속성을 수정할 수 없습니다. VPC 소유자만 수정할 수 있습니다. 참가자는 공유 VPC 서브넷에서 서브넷을 설명할 수 있습니다.
+  VPC 소유자는 AWS Organizations에서 동일한 조직에 속한 다른 계정 또는 다른 조직 단위와만 서브넷을 공유할 수 있습니다. VPC 소유자는 기본 VPC에 있는 서브넷을 공유할 수 없습니다.

**전송 게이트웨이**
+ 서브넷 소유자만 공유 VPC 서브넷에 전송 게이트웨이를 연결할 수 있습니다. 참여자는 선택할 수 없습니다.

**VPC**
+  참가자는 VPC 또는 그 해당 속성을 수정할 수 없습니다. VPC 소유자만 수정할 수 있습니다. 참가자는 VPC, 해당 속성 및 DHCP 옵션 세트를 설명할 수 있습니다.
+  VPC 태그와 공유 VPC 내 리소스에 대한 태그는 참여자와 공유되지 않습니다.
+ 참가자는 자신의 보안 그룹을 공유 VPC와 연결할 수 있습니다. 이렇게 하면 참가자가 공유 VPC에 소유한 탄력적 네트워크 인터페이스에서 보안 그룹을 사용할 수 있습니다.