为了简化计费,我想为每个成本中心使用不同的 AWS 账户。但我们希望所有服务都在同一个 VPC 中运行。这既是因为不同的服务可能需要相互通信,并且可用的硬件 VPN 连接数量有限。所以问题是如何让您的 VPC 可供您拥有的其他 AWS 账户使用,以便他们可以在其中启动实例?
基础设施团队有一个 AWS 账户 A。VPC 存在于该账户中,并为 NAT 实例和 VPN 网关向基础设施团队收费。一个项目的团队有一个账户B。实例需要启动并计费到这个账户。
我一直在阅读这里的资源:http: //docs.aws.amazon.com/IAM/latest/UserGuide/delegation-cross-acct-access.html。似乎我可以使用 AssumeRole 作为帐户 B 来授予跨帐户的访问权限,但据我所知,我可以告诉帐户 A 的身份更改(所有者字段具有帐户 A 的编号)。基于资源的策略似乎是我的想法,但 VPC 不支持它们。
我假设必须有某种方法来做到这一点。否则,为 EC2 实例和其他资源设置一个包含 AWS 帐号的 owner 字段没有任何意义。