答案1
取决于你想走多远限制该访问将取决于您如何定义分配给用户的 IAM 策略/角色。
例如,您无法阻止用户查看与其自定义标签过滤器不匹配的实例,因为 DescribeInstances 操作不接受条件键。另一方面,RunInstances 允许应用 aws:ResourceTag/${TagKey} 条件键,StartInstances 和 StopInstances 也是如此。
你可以看看https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html以获取适用的操作和条件键的完整列表。