Кстати, аналогичная задача подвернулась, только сложнее — нужно иметь какой-то VPN для пользователей (видимо, всё же на своём инстансе, а не client VPN) и рулить доступом с него к ресурсам в разных VPC поюзерно.
Так точно умеет FortiGate, но не дофига ли его всего для только одной задачи?

Или чем это можно ещё решить?

Сейчас Форти в офисе стоит, хотим VPN с него перенести в AWS

pritunl

Pfsense инстанс, я его использую чтоб разработчиков в инфру пускать

подскажите, можно ли использовать wildcard в указании ресурса?

  AmazonCloudWatchEventRulePRD:
    Condition: IsNotDtaAccount
    Type: AWS::Events::Rule
    Properties:
      EventPattern:
        source:
          - aws.codecommit
        detail-type:
          - 'CodeCommit Repository State Change'
        resources:
          - !Sub arn:aws:codecommit:${AWS::Region}:${AWS::AccountId}:*
        detail:
          event:
            - referenceCreated
            - referenceUpdated
          referenceType:
            - branch

Он разве умеет разбирать по-юзерно? Было бы прекрасно, если да.

Нууу, чуток костылей и можно устроить 🙂

с Radius емнип можно сделать

Хватит говна и палок, уже слишком много.

Если реально нужно поюзерно, а не по группам, то это уже к энтерпрайз решениям, конечно.

VPN — да, а firewall как с радиусом там дружить?

👍

👍 тоже!

Оба варианта выглядят неплохо

кто-то может подсказать почему так сделано ?

A VPC-enabled function would lose internet access because its ENI is only associated with a private IP address from the subnet

https://lumigo.io/aws-lambda-deployment/lambda-vpc/

А кто в курсе nginx должен все интерфеисы слушать что на хосте?

смотря что указано в listen

Дефолтно