从概念上讲,是否可以创建一个 IAM 策略,以便开发人员只能创建/删除自己的 50 个网络(例如 50.10.0.0/16(VPC? 还是我们通常更愿意让网络管理员将 VPC 分配给即将加入的开发人员?
我想组织组织,以便
用户 : 专有网络
dev-1: 50.10.0.0/16
dev-2: 50.20.0.0/16
dev-3: 50.30.0.0/16
谢谢!
以50.开头的 CIDR 范围是可公开路由的,通常应避免使用。最好从这些地址块中分配范围,这些地址块供私人使用:
- 10.0.0.0 至 10.255.255.255
- 172.16.0.0 至 172.31.255.255
- 192.168.0.0 至 192.168.255.255
请参阅:什么是私有IP地址以及范围是什么?
可以使用相同的 CIDR 范围创建多个 VPC,因此每个开发人员都可以拥有自己的相互重叠的私有 IP 地址范围。这只是意味着它们不能(轻易地(连接在一起。
创建VPC时无法限制用户的网段范围。
请参阅: Amazon EC2 API 操作支持的资源级权限 - Amazon Elastic Compute Cloud
但是,您可以限制他们可以使用的操作。因此,您可以向他们提供 VPC,拒绝创建其他 VPC 的权限,但允许他们在 VPC中创建/删除子网。
请参阅:控制对 Amazon VPC 资源的访问 - Amazon Virtual Private Cloud