Amazon-Ec2
AWS 中的隔離 IAM 使用者
我有一個根賬戶,我想創建 3 個 IAM 使用者,每個應用一個:iamapp1、iamapp2 和 iamapp3。我希望他們能夠完全訪問 ec2 資源,即列出、啟動和配置 ec2 實例,以使 iamapp1 提供的 ec2 實例與 iamapp2 和 iamapp3 提供的實例完全隔離,但 root 帳戶應該仍然可以看到所有內容. 有人知道這是否可能嗎?
對於您的場景,我建議為每個使用者創建單獨的 AWS 賬戶。
但是,您可以在單個帳戶中使用標籤和策略來實現您的目標。
- 創建一個 Lambda 函式,該函式將自動標記每個使用者創建的 EC2 資源及其身份。這將提供您的策略可用於控制訪問的神奇密鑰。
- 為每個使用者創建基於標籤的資源策略。這將阻止使用者訪問未使用其使用者身份標記的資源。
此連結顯示瞭如何做所有事情。包括一些漂亮的圖形,展示了一切是如何運作的。