我通过在我的环境中创建相关角色来寻找更好的管理方式。 我有两个环境由不同的vpc决定。一个用于开发,一个用于产品。 有没有人熟悉这个主题的一些最佳实践? 有关更具体的问题。 我正在寻找一种为特定vpc创建管理员的方法。 我的一个vpc是针对位于不同国家/地区的团队我是否要为此vpc创建管理员。
答案 0 :(得分:1)
您无法创建" admin"对于VPC。您可以为IAM用户/组设置策略,以便只能与该VPC进行交互,但这必须在为可能使用的各种API设置权限时完成。
有关示例,请参阅:http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_IAM.html#subnet-ami-example-iam
您对以下内容感兴趣:
"StringEquals": {
"ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d"
}
您可以浏览所有EC2和VPC Apis,并决定要允许的内容以及不允许的内容并设置正确的策略。请记住,您可能需要访问其他资源(如果使用其他AWS服务),并且您每次都必须正确更新/优化权限。
另一种方法是设置不同的AWS账户。您可以设置合并结算,以便同时为这两个帐户付款,并确保其他帐户与产品完全隔离。