我的账户中有两个 VPC。一个用于测试,另一个用于生产环境。
我正在尝试为开发人员设置具有权限边界的 IAM 用户帐户,以便开发人员只能访问测试 VPC 中的创建/修改资源。
我该怎么做?您可以分享一个示例策略 JSON 吗?
最佳答案
Amazon VPC 是一个虚拟网络。
不可能基于“用户”控制对网络的访问,因为网络不了解用户。它只能通过IP地址和协议(protocol)来控制流量。
如果您希望开发人员能够登录测试环境中的实例,而不是生产环境中的实例,则您需要控制实例本身的访问(例如,当他们登录 EC2 时)实例),或控制对网络的访问(例如,通过控制对 VPN 连接的访问或让开发人员访问具有已知 IP 地址范围的网络上的资源)。
这与控制公司网络的访问完全相同 - 开发人员可以放置在可以访问测试资源的网络上,而系统管理员可以放置在可以访问生产资源的网络上。这与他们的计算机如何连接到网络有关,而不是与他们“是谁”有关。
如果您的目标是限制开发人员在 VPC 中创建/更改资源的能力,则可以通过在 IAM 策略中添加条件来实现。例如,授予他们启动 EC2 实例的能力,但仅限于测试 VPC。
参见:How to Help Lock Down a User’s Amazon EC2 Capabilities to a Single VPC | AWS Security Blog
关于amazon-web-services - 将 IAM 用户限制在单个 VPC 内,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63390215/