我有一个根账户,我想创建 3 个 IAM 用户,每个应用程序一个:iamapp1、iamapp2 和 iamapp3。我希望他们能够完全访问 ec2 资源,即列出、启动和配置 ec2 实例,这样 iamapp1 提供的 ec2 实例与 iamapp2 和 iamapp3 提供的实例完全隔离,但根账户仍然可以看到所有内容。有人知道这是否可行吗?
答案1
对于您的场景,我建议为每个用户创建单独的 AWS 账户。
但是,您可以使用单个帐户中的标签和策略来实现您的目标。
- 创建一个 Lambda 函数,该函数将自动使用每个用户的身份标记由他们创建的 EC2 资源。这将提供您的策略可用于控制访问的魔法密钥。
- 为每个用户创建基于标签的资源策略。这将阻止用户访问未标记其用户身份的资源。
此链接展示了如何做所有事情。包括一些展示一切如何运作的精美图表。