AWS 中的隔離 IAM 使用者

我有一個根賬戶，我想創建 3 個 IAM 使用者，每個應用一個：iamapp1、iamapp2 和 iamapp3。我希望他們能夠完全訪問 ec2 資源，即列出、啟動和配置 ec2 實例​，以使 iamapp1 提供的 ec2 實例與 iamapp2 和 iamapp3 提供的實例完全隔離，但 root 帳戶應該仍然可以看到所有內容. 有人知道這是否可能嗎？

對於您的場景，我建議為每個使用者創建單獨的 AWS 賬戶。

但是，您可以在單個帳戶中使用標籤和策略來實現您的目標。

1. 創建一個 Lambda 函式，該函式將自動標記每個使用者創建的 EC2 資源及其身份。這將提供您的策略可用於控制訪問的神奇密鑰。
2. 為每個使用者創建基於標籤的資源策略。這將阻止使用者訪問未使用其使用者身份標記的資源。

此連結顯示瞭如何做所有事情。包括一些漂亮的圖形，展示了一切是如何運作的。

自動標記 EC2 資源

引用自：https://serverfault.com/questions/884908