所有开发人员和测试人员都在开发帐户(帐户d)中。生产和测试环境是另一个帐户(帐户x),但是在两个不同的VPC中-VPC-P和VPC-T。当开发人员仅享受对VPC-P的访问权限时,如何将对测试人员的访问权限限制在VPC-P中。帐户X中还存在其他VPC。开发人员/测试人员无需访问帐户X中的其他内容。
答案 0 :(得分:0)
您的情况似乎是:
帐户D包含:
帐户X包含:
您要允许Account-D中的“测试人员”修改VPC-T上的设置。
您要允许Account-D中的“开发人员”修改VPC-P上的设置。
这似乎是不可能的。根据{{3}},只有某些操作可以接受VPC作为条件,例如:
ec2:CreateVpcPeeringConnection ec2:CreateNetworkInterfacePermission ec2:CreateRoute CreateSubnet和DeleteSubnet之类的命令不允许任何条件。
因此,不可能将许多与VPC相关的权限限制为仅在特定VPC上运行。
鉴于您正在与测试人员和开发人员打交道,我建议为每个环境使用单独的AWS帐户。为开发人员拥有一个帐户,其中定义了IAM用户和VPC。为测试人员拥有一个单独的AWS账户,以确保他们无权访问Developers账户。这样可以实现环境的清晰隔离。