Мы только начинаем свое присутствие на AWS. Нам требуется несколько VPC, на каждом из которых размещаются наши собственные серверы или серверы клиентов. Каждый VPC имеет 4 подсети - 2 общедоступные, 2 частные, каждая в своей зоне доступности. Каждый VPC имеет 7 или более экземпляров EC2.
Управляем этим через веб-консоль AWS. Однако даже с двумя VPC каждый разработчик может видеть все экземпляры EC2 и все подсети, и это становится немного беспорядком. В идеале мы хотели бы использовать IAM для ограничения видимости VPC, но я не могу найти ARN VPC. Это существует?
Или нам следует создать отдельную учетную запись AWS для каждого VPC, чтобы все было отдельно? Но как тогда управлять пользователями?
В AWS появилась новая функция использования тегов для ограничения ролей IAM. Например, вы можете установить набор серверов с тегом «база данных» или «производство» и запретить пользователям делать что-либо только с этим набором экземпляров EC2.
Я не уверен, что вы можете запретить им вообще их видеть. Есть более глубокое обсуждение StackOverflow Вот об этом, и вы можете использовать что-то вроде Userify управлять SSH-доступом на самих ящиках.
На данный момент не похоже, что VPC поддерживает записи ARN. Так:
Не думайте об этом с точки зрения предоставления доступа к определенному VPC. Вместо этого используйте теги экземпляров и предоставьте доступ через группы IAM к экземплярам, помеченным определенной строкой.
Кроме того, вам действительно следует использовать Cloudformation для создания VPC и управления ими. Это меняет мир к лучшему, когда дело доходит до повторяемости и ремонтопригодности.