我们有大量的IAM用户(成百上千,将来可能会增加到1000以上)。
所有IAM用户都有权创建EC2实例。同时将有大约30-40个用户正在使用和创建EC2实例。
在AWS管理控制台中,IAM用户也可以看到其他IAM用户创建的所有实例。
是否可以使他仅看到他创建的EC2实例?并隐藏其他IAM用户创建的所有其他实例?
我确实同意IAM用户可以提供名称和标签来识别其实例。但是,我正在寻找明显地隐藏他尚未创建的资源。
答案 0 :(得分:2)
如果允许IAM策略指定所需的过滤器,则可以这样做。但是您无法指定它,因此不可能。
您想要的称为组织-您可以为每个组分配自己的AWS账户,以便他们可以看到自己的账单等。
您可能会认为管理一个帐户“比较容易”,但事实恰恰相反。就像您应该将服务器视为“牛而不是宠物”(即它们是一次性的)一样,您应该将AWS账户视为一次性的。一些组织为每个开发人员提供了自己的AWS帐户,只有构建服务器才能通过TerraForm或CloudFormation修改Staging / Prod帐户。
答案 1 :(得分:1)
通常用于此目的的是资源级权限。在AWS的API调用与API调用之间,可以控制哪些资源/控制什么。特别是,您想要的是对DescribeInstances API调用的资源级别权限。不幸的是,AWS当前不支持对此API Call的资源级权限。