Estamos apenas começando nossa presença na AWS. Exigimos várias VPCs, cada uma hospedando nossos próprios servidores ou servidores dos clientes. Cada VPC tem 4 sub-redes - 2 públicas, 2 privadas, cada uma em um AZ diferente. Cada VPC tem 7 ou mais instâncias EC2.
Gerenciamos isso por meio do console da web da AWS. No entanto, mesmo com 2 VPCs, cada desenvolvedor pode ver todas as instâncias do EC2 e todas as sub-redes e está se tornando um pouco confuso. Idealmente, gostaríamos de usar o IAM para restringir a visibilidade do VPC, mas não consigo encontrar o ARN de um VPC. Isso existe?
Ou devemos criar uma conta da AWS separada para cada VPC para manter as coisas separadas? Mas como você gerencia os usuários?
No momento, não parece que o VPC suporte registros ARN. Então:
Não pense nisso em termos de conceder acesso a um VPC específico. Em vez disso, use tags de instância e conceda acesso por meio de grupos IAM a instâncias marcadas com uma determinada string.
Além disso, você realmente deve usar o Cloudformation para criar e gerenciar seus VPCs. Fazer isso faz toda a diferença no mundo quando se trata de repetibilidade e manutenção.
O AWS tem um novo recurso para usar tags para restringir os papéis do IAM. Por exemplo, você pode definir um conjunto de servidores com a tag "database" ou "production" e impedir que os usuários façam qualquer coisa com apenas esse conjunto de instâncias do EC2.
Não tenho certeza se você pode impedir que eles sejam vistos por completo. Há uma discussão mais detalhada sobre o StackOverflow aqui sobre isso e você pode usar algo como Userify para gerenciar o acesso SSH nas próprias caixas.