从概念上讲,是否可以创建IAM策略,使开发人员只能创建/删除其自己的50网络(例如50.10.0.0/16)VPC?还是我们通常宁愿让网络管理员将VPC分配给即将加入的开发人员?
我想要组织这样的组织
用户:VPC
dev-1:50.10.0.0/16
dev-2:50.20.0.0/16
dev-3:50.30.0.0/16
谢谢!
答案 0 :(得分:1)
以50.开头的CIDR范围是可公开路由的,通常应避免。最好从这些地址块中分配范围,这些地址块供私人使用:
请参阅:What Is a Private IP Address & What Are the Ranges?
可以使用相同的CIDR范围创建多个VPC ,因此每个开发人员都可以拥有自己的相互重叠的专用IP地址范围。这只是意味着它们不能(轻松)连接在一起。
在创建VPC时,不可能限制用户的CIDR范围。
请参阅:Supported Resource-Level Permissions for Amazon EC2 API Actions - Amazon Elastic Compute Cloud
但是,您可以限制他们可以使用哪些操作。因此,您可以为他们提供一个VPC,具有 deny (拒绝)权限来创建其他VPC,但允许他们在该VPC内创建/删除子网 。
请参阅:Controlling Access to Amazon VPC Resources - Amazon Virtual Private Cloud