Amazon-Web-Services
管理多個 AWS VPC - 成為子網/ec2 實例的水果沙拉
我們剛剛開始我們的 AWS 業務。我們需要多個 VPC,每個 VPC 都託管我們自己的伺服器或客戶的伺服器。每個 VPC 有 4 個子網 - 2 個公共子網,2 個私有子網,每個子網位於不同的 AZ。每個 VPC 有 7 個或更多 EC2 實例。
我們通過 AWS Web 控制台進行管理。然而,即使有 2 個 VPC,每個開發人員也可以看到所有 EC2 實例和所有子網,這變得有點混亂。理想情況下,我們希望使用 IAM 來限制 VPC 的可見性,但我找不到 VPC 的 ARN。這存在嗎?
或者我們應該為每個 VPC 創建一個單獨的 AWS 賬戶以保持獨立?但是,您如何管理使用者?
目前,VPC 似乎不支持 ARN 記錄。所以:
不要在授予對特定 VPC 的訪問權限方面考慮這一點。相反,使用實例標籤並通過 IAM 組授予對帶有特定字元串標記的實例的訪問權限。
此外,您確實應該使用 Cloudformation 來創建和管理您的 VPC。在可重複性和可維護性方面,這樣做會改變世界。
AWS 具有使用標籤來限制 IAM 角色的新功能。例如,您可以設置一組帶有“數據庫”或“生產”標籤的伺服器,並阻止使用者僅使用這組 EC2 實例進行任何操作。
我不確定您是否可以完全阻止他們看到它們。這裡有更深入的 StackOverflow 討論,您可以使用Userify 之類的東西來管理盒子本身的 SSH 訪問。