我正在寻找一种方法来将 ec2 实例的可见性限制到某些 IAM 帐户。我非常希望有一种方法让特定帐户只能看到它创建的实例,即当它执行 describeInstances 时,只有它创建的实例才会出现。
我一直在研究使用基于资源标签的自定义 IAM 策略来执行此操作,虽然管理看起来没问题,但每个帐户仍然可以看到其他用户使用 describeInstances 创建的实例。
我确实正在寻找一种方法来隐藏由不同 IAM 账户创建的资源。目前可以实现吗?
答案1
如果您的用户资源不需要互操作,那么另一种选择是使用多个独立的 AWS 账户,然后设置合并账单,以便将所有账户的账单汇总在一张账单上。
您的每个用户都有自己的 AWS 账户。他们只能看到自己账户中的资源。
答案2
很遗憾AWS 身份和访问管理 (IAM)截至目前,还没有完全涵盖这一特定方面,因为最近推出的EC2 和 RDS 资源的资源级权限尚未适用于所有 API 操作,请参阅此说明Amazon EC2 的 Amazon 资源名称:
重要的目前,并非所有 API 操作都支持单个 ARN;稍后我们将添加对其他 API 操作和其他 Amazon EC2 资源的 ARN 的支持。有关哪些 ARN 可以与哪些 Amazon EC2 API 操作一起使用以及每个 ARN 支持的条件键的信息,请参阅Amazon EC2 API 操作支持的资源和条件。
你会发现,所有的ec2:Describe*行动确实仍然缺席Amazon EC2 API 操作支持的资源和条件在撰写本文时。
也可以看看向 IAM 用户授予 Amazon EC2 资源所需的权限有关上述内容的简要概述和详细信息您可以在 IAM 策略语句中使用 ARN 和 Amazon EC2 条件键,以授予用户创建或修改特定 Amazon EC2 资源的权限- 本页还提到 AWS 将在 2014 年添加对其他操作、ARN 和条件键的支持。