請求を簡単にするために、コストセンターごとに異なる AWS アカウントを使用したいと考えています。ただし、すべてのサービスを同じ VPC 内で実行する必要があります。これは、異なるサービスが相互に通信する必要があり、利用可能なハードウェア VPN 接続の数が限られているためです。問題は、所有している他の AWS アカウントが VPC を使用できるようにして、VPC 内でインスタンスを起動できるようにする方法です。
インフラストラクチャ チームには AWS アカウント A があります。VPC はこのアカウントに存在し、NAT インスタンスと VPN ゲートウェイについてインフラストラクチャ チームに請求されます。プロジェクトのチームにはアカウント B があります。インスタンスを起動して、このアカウントに請求する必要があります。
ここのリソースを読んでいます: http://docs.aws.amazon.com/IAM/latest/UserGuide/delegation-cross-acct-access.html。AssumeRole をアカウント B として使用して複数のアカウントにアクセスを許可できるように見えますが、ID の変更をアカウント A に通知できる限り (所有者フィールドにはアカウント A の番号がありました)。リソースベースのポリシーは私が考えているように思えますが、VPC ではサポートされていません。
これを行うには何らかの方法が必要だと思います。そうしないと、EC2 インスタンスやその他のリソースの AWS アカウント番号を所有者フィールドに指定しても意味がありません。