我正在寻找一种方法来限制可见性ec2实例到某些IAM帐户。 我真的很喜欢一个特定的帐户的方式,只能看到它已经创build的实例,即当它做一个describeInstances只有它创build的存在。
我一直在考虑使用基于资源标签的自定义IAM策略来做到这一点,虽然pipe理看起来没问题,但每个帐户仍然可以看到其他用户使用describeInstances创build的实例。
真的,我正在寻找一种方法来隐藏由不同的IAM帐户创build的资源。 目前这是可能的吗?
如果您的用户资源不需要互操作,那么不同的select是使用多个单独的AWS账户,然后设置合并计费,以便将所有账户的账单放在一个账单上。
您的每个用户都拥有自己的AWS账户。 他们只会看到自己的资源。
不幸的是, 到目前为止,AWS身份和访问pipe理(IAM)并没有完全覆盖这个特定的方面,因为最近引入的EC2和RDS资源的资源级别权限还不能用于所有API操作,请参阅Amazon资源名称对于Amazon EC2 :
重要目前,并非所有的API操作都支持单个ARN; 稍后我们将添加对其他Amazon EC2资源的其他API操作和ARN的支持。 有关哪些ARN可用于哪些Amazon EC2 API操作以及每个ARN支持的条件密钥的信息,请参阅Amazon EC2 API操作的支持资源和条件 。
您将发现所有ec2:Describe* 操作在撰写本文时仍然没有出现在Amazon EC2 API操作的支持资源和条件中 。
另请参阅为Amazon EC2资源授予IAM用户所需的权限以获得上述内容的简明摘要以及您可以在IAM策略语句中使用的ARN和Amazon EC2条件密钥的详细信息, 以授予用户创build或修改特定Amazon EC2资源的权限 -该页面还提到了AWS将在2014年增加对其他操作,ARN和条件密钥的支持 。