AWS VPC:限制用户创建/删除自己的VPC

Question

概念上是否可以创建一条IAM策略，开发者只能创建/删除自己的50网(如50.10.0.0/16) VPC？或者我们通常更愿意让网络管理员将VPC分配给新加入的开发人员？

我想要组织这样的组织：

用户: VPC

dev-1: 50.10.0.0/16

dev-2: 50.20.0.0/16

dev-3: 50.30.0.0/16

谢谢!

Answer 1

以50.开头的CIDR范围是可公开路由的，通常应避免使用。最好从这些地址块中分配范围，这些地址块专用于私有用途：

从10.255.255.255

• 172.16.0.0到172.31.255.255

• 192.168.0.0再到192.168.255.255

的

• 10.0.0.0

请参阅：What Is a Private IP Address & What Are the Ranges?

支持使用相同CIDR范围的创建多个私有网络，因此每个开发者都可以拥有自己的内网IP地址范围，这些内网IP地址相互重叠。这仅仅意味着它们不能(容易地)结合在一起。

在创建私有网络时，无法限制用户的CIDR范围。

请参阅：Supported Resource-Level Permissions for Amazon EC2 API Actions - Amazon Elastic Compute Cloud

但是，您可以通过限制他们可以使用的操作。因此，您可以为他们提供一个私有网络，拒绝创建其他私有网络的权限，但允许他们在私有网络内创建/删除子网。

请参阅：Controlling Access to Amazon VPC Resources - Amazon Virtual Private Cloud