我是新的AWS并试图找出AWS安全模型。我创建了2个VM和2个组(https://console.aws.amazon.com/iam/home?#/groups)。我想将System1分配给Group1,将System2分配给Group2。
在AWS控制台中,我使用“更改安全组”选项将System1分配给Group1。当用户属于Group1登录AWS时,他们应该只看到System1。
我尝试使用IAM管理和资源组选项,但没有按预期工作。感谢任何指导。
答案 0 :(得分:0)
AWS中的所有资源都是"可列表的"由您帐户中的所有用户。但是,只有第1组中的用户可以对第1组策略中列出的资源执行操作,与第2组相同。
我建议改用https://aws.amazon.com/organizations/。它允许您为第1组和第34组分别拥有单独的帐户,只显示第1组资源,然后您可以使用IAM进一步控制对这些资源的访问。
第1组中的资源不会显示在第2组中。
或
你可以保持简单,只需让每个人都看到一切,但你只需使用IAM组/政策控制对这些资源的操作。
你也可以https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html在那里为所有可以X的人创建一个组,然后是一个可以实际执行X动作的角色,并承担该组的角色 - 这样你就不会这样做。必须为每个用户/组定义策略。