似乎有50篇关于资源标签将用户限制为资源的帖子。但我认为我缺少的是在控制台内是否可能。我有一个启动并运行awsapps.com/console站点的亚马逊目录服务用于登录。我的IAM角色中有一些测试用户,其策略如下。我希望登录的用户只能看到具有相应标记的资源。这适用于模拟,但不在控制台中。我收到一个错误“获取实例数据时出错:您无权执行此操作。”。
那么可以限制控制台中的标签吗?我知道它在CLI中。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:*",
"ec2:*",
"cloudwatch:*",
"s3:*",
"sdb:*",
"iam:PassRole",
"iam:ListRoles"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {"ec2:ResourceTag/critical": "true"}
}
}
]
}
答案 0 :(得分:2)
AWS管理控制台不能仅显示有限的一组资源。显示资源所需的权限意味着他们可以看到所有资源。但是,仍然可以分配权限以限制它们可以采取的操作(例如,仅使用特定标记启动/停止实例)。
Amazon EC2管理控制台能够按标签,ID等过滤资源。这意味着用户可以限制其资源视图,但不会阻止他们查看所有资源。
管理控制台还具有Resource Groups,这是一种通过属性(如标记)对资源进行分组的方法。然后,用户可以查看共享此属性的所有资源。