кросс-аккаунт для доступа к VPC

Question

Все разработчики и тестеры находятся в учетной записи разработчика (учетная запись d).производственная среда и среда тестирования - это еще одна учетная запись (учетная запись x), однако в двух разных VPC - VPC-P и VPC-T.Как ограничить доступ к тестерам в VPC-P, в то время как разработчики пользуются только доступом к VPC-P.В учетной записи X есть и другие VPC. И разработчикам / тестировщикам не нужно иметь доступ к другим материалам в учетной записи X.

Answer 1

Похоже, ваша ситуация такова:

Account-D содержит:

• IAM Пользователи для разработчиков и тестировщиков

Account-X содержит:

• VPC-P
• VPC-T

Вы хотите, чтобы «тестировщики» в Account-D могли изменять настройки VPC-T.

Вы хотите разрешить «разработчикам» в Account-D изменять настройки на VPC-P.

Это представляется невозможным.Согласно действиям, ресурсам и ключам условий для Amazon EC2 - Управление идентификацией и доступом AWS , только некоторые действия могут принимать VPC в качестве условия, например:

• ec2:CreateVpcPeeringConnection
• ec2:CreateNetworkInterfacePermission
• ec2:CreateRoute

Такие команды, как CreateSubnet и DeleteSubnet, не допускают никаких условий.

Поэтому, было бы невозможно ограничить многие разрешения, связанные с VPC, для работы только с конкретным VPC.

Учитывая, что вы имеете дело с тестировщиками и разработчиками, я бы рекомендовал использовать отдельные учетные записи AWS для каждой среды..Иметь одну учетную запись для разработчиков, в которой определены пользователи IAM и VPC.Создайте отдельную учетную запись AWS для тестировщиков, чтобы они не имели доступа к учетной записи разработчика.Это создает чистое разделение сред.