Actualmente tengo una VPC bajo la organización de gestión, y se utiliza Wireguard VPN para acceder a la VPC (a través de un servidor jump/bastión). Estamos comenzando un nuevo proyecto con nuevos desarrolladores. He creado una organización AWS separada bajo la raíz, y esta organización tiene una VPC separada. Quiero que algunos desarrolladores puedan acceder a las VPCs de ambas organizaciones, y otros desarrolladores solo puedan acceder a una de las VPCs. ¿Cómo se puede lograr esto?
La mejor forma es crear un transitGW y adjuntar la VPN (y cualquier VPC adicional a él),
Luego puedes crear una arquitectura HUB, incluyendo un Firewall de Red para segregar mejor los accesos.
Pero ten cuidado con la cantidad de tráfico que envías a través del firewall, ya que puede ser costoso.
Gateway de tránsito VPC
También tengo curiosidad por esto. Tenemos una necesidad similar.
El acceso a nivel de red y los permisos a nivel de recurso son dos componentes diferentes aquí. No puedes restringir el acceso a la red, por ejemplo, de un host bastión, dependiendo de la solicitud del usuario. Necesitas combinar ambos, limitar el acceso a la red tanto como sea posible y luego restringir los permisos del usuario de la manera más estricta posible. Transit Gateway probablemente sea la mejor forma de gestionar el requisito de conectividad entre VPCs. La vinculación no es transitiva.
Hazme saber si descubres algo hahaha 