为了简化结算,我想为每个成本中心使用不同的AWS账户。但我们希望所有服务都在同一个VPC中运行。这是因为不同的服务可能需要彼此通信,并且可用的硬件VPN连接数量有限。那么问题是如何将您的VPC提供给您拥有的其他AWS账户,以便他们可以在其中启动实例?
基础架构团队拥有AWS账户A.此账户中存在VPC,并向NAT实例和VPN网关的基础架构团队收费。 项目团队有一个帐户B.需要启动实例并向此帐户开帐单。
我一直在阅读这里的资源:http://docs.aws.amazon.com/IAM/latest/UserGuide/delegation-cross-acct-access.html。似乎我可以使用AssumeRole作为帐户B来授予跨帐户的访问权限,但是就我可以告诉我的身份更改为帐户A(所有者字段具有帐户A的编号)。基于资源的策略看起来就像我在想的那样,但VPC不支持它们。
我假设必须有某种方法来做到这一点。否则,拥有EC2实例和其他资源的AWS账号的所有者字段没有任何意义。
答案 0 :(得分:1)
如果启用对帐单的编程访问,则可以选择要包含的标记。这使您可以生成您正在寻找的报告。
截至2013年6月,亚马逊已确认无法与其他帐户共享VPC:https://forums.aws.amazon.com/thread.jspa?messageID=462834&tstart=0#