IAM中是否存在策略操作,将限制colnsole中资源的可见性仅限于标记集?例如,我可以使用ec2:使用StringEquals条件描述标签,以便一组用户只能看到他们的项目正在使用的EC2服务器集合吗?
理想情况下,我不希望此VPC中的所有用户都能看到所有服务器,无论它们是否为只读服务器
答案 0 :(得分:1)
目前无法实现:
注意目前,Amazon EC2 ec2:Describe * API操作不会 支持资源级权限,因此无法控制哪个 用户可以在控制台中查看的各个资源。因此,* 上述语句的Resource元素中需要使用通配符。 有关可以与哪些Amazon一起使用的ARN的更多信息 EC2 API操作,请参阅Amazon支持的资源级权限 EC2 API操作。
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html
在您拥有的选项上,可能会使用多个独立的AWS账户,因此每个用户都可以使用自己的“沙盒”进行播放,但是设置会合并结算,以便帐户的这一方面全部由一个人共享主帐户。