在一个AWS共享帐户中,一些工程师未标记资源,并且他们具有Power用户访问权限。有什么方法可以限制IAM用户无法创建没有标签的任何资源。
我在创建IAM策略上尝试了Tag,它仅适用于EC2,而不能用于高级用户访问。
谢谢。
答案 0 :(得分:3)
首先,尝试避免向高级用户授予超级用户访问权限。它使他们可以做任何想要的事情(IAM除外)。如果您想限制他们的权限,则需要减少他们的分配权限。
可以在Amazon EC2实例上获取标签(听起来像您已经在做什么):AWS IAM Policy to Enforce Tagging
另一种方法是使用 AWS Config 查找没有 标签的资源,然后进行报告,发送通知或(在极端情况下)< strong>删除有问题的资源。用户会不高兴,但他们会吸取教训!
(相反,建立一个系统对他们创建的任何资源进行收费的 会很有趣,但未正确标记!)