![](/img/trans.png)
[英]AWS Firehose delivery to Cross Account Elasticsearch in VPC
[英]cross account per VPC access
所有開發人員和測試人員都在開發帳戶(帳戶d)中。 生產和測試環境是另一個帳戶(帳戶x),但是在兩個不同的VPC中-VPC-P和VPC-T。 當開發人員僅享受對VPC-P的訪問權限時,如何將對測試人員的訪問權限限制在VPC-P中。 帳戶X中還有其他VPC。開發人員/測試人員無需訪問帳戶X中的其他內容。
看來您的情況是:
帳戶D包含:
帳戶X包含:
您要允許Account-D中的“測試人員”修改VPC-T上的設置。
您要允許Account-D中的“開發人員”修改VPC-P上的設置。
這似乎是不可能的。 根據Amazon EC2-AWS Identity and Access Management的操作,資源和條件鍵 ,只有某些操作可以接受VPC作為條件,例如:
ec2:CreateVpcPeeringConnection
ec2:CreateNetworkInterfacePermission
ec2:CreateRoute
諸如CreateSubnet
和DeleteSubnet
類的命令不允許任何條件。
因此,不可能將許多與VPC相關的權限限制為僅在特定VPC上運行。
鑒於您正在與測試人員和開發人員打交道,我建議為每個環境使用單獨的AWS賬戶 。 為開發人員擁有一個帳戶,其中定義了IAM用戶和VPC。 為測試人員擁有一個單獨的AWS賬戶,以確保他們無權訪問Developers賬戶。 這樣可以創建干凈的環境隔離。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.