从概念上讲,是否可以创建一个 IAM 策略,使开发人员只能创建/删除自己的 50-net(例如 50.10.0.0/16)VPC?还是我们通常宁愿让网络管理员将 VPC 分配给加入的开发人员?
我想组织这样的组织
用户:VPC
开发者 1:50.10.0.0/16
开发者 2:50.20.0.0/16
开发者 3:50.30.0.0/16
谢谢!
问问题
42 次
1 回答
1
以 开头的 CIDR 范围50.是可公开路由的,通常应避免使用。最好从这些地址块中分配范围,这些地址块是供私人使用的:
- 10.0.0.0 到 10.255.255.255
- 172.16.0.0 到 172.31.255.255
- 192.168.0.0 到 192.168.255.255
可以使用相同的 CIDR 范围创建多个 VPC,因此每个开发人员都可以拥有自己的相互重叠的私有 IP 地址范围。这仅仅意味着它们不能(容易)连接在一起。
创建 VPC 时无法限制用户的 CIDR范围。
请参阅:Amazon EC2 API 操作支持的资源级权限 - Amazon Elastic Compute Cloud
但是,您可以限制他们可能使用的操作。因此,您可以为他们提供 VPC,拒绝创建其他 VPC 的权限,但允许他们在 VPC内创建/删除子网 。
于 2018-08-29T00:10:24.147 回答