我们刚刚开始我们的AWS存在。 我们需要多个VPC,每个VPC托pipe我们自己的服务器或客户的服务器。 每个VPC有4个子网 – 2个公共,2个私人,每个都有不同的AZ。 每个VPC有7个或更多的EC2实例。
我们通过AWS Web控制台进行pipe理。 但是,即使使用2个VPC,每个开发人员也可以看到所有的EC2实例和所有的子网,并且变得有点混乱。 理想情况下,我们想用IAM来限制VPC的可见性,但是我找不到VPC的ARN。 这是否存在?
或者,我们是否应该为每个VPC创build一个单独的AWS账户以保持独立? 但是,你如何pipe理用户?
目前看起来VPC不支持ARNlogging。 所以:
不要考虑授予访问特定VPC的权限。 相反,使用实例标签并通过IAM组授予对某个string标记的实例的访问权限。
此外,您确实应该使用Cloudformation来创build和pipe理您的VPC。 在重复性和可维护性方面,这样做会造成世界上的所有差异。
AWS具有使用标签来限制IAMangular色的新function。 例如,您可以使用标记“数据库”或“生产”来设置一组服务器,并使用户无法仅使用该组EC2实例执行任何操作。
我不确定你是否可以阻止他们完全看到他们。 这里有一个更深入的StackOverflow讨论,你可以使用Userify之类的东西来pipe理SSH自己的访问。