使用 IAM 賬戶限制 EC2 實例的可見性
我正在尋找一種將可見性 ec2 實例限制為某些 IAM 帳戶的方法。我真的很想要一個特定帳戶只能看到它創建的實例的方法,即當它執行 describeInstances 時,只有它創建的實例存在。
我一直在研究使用基於資源標籤的自定義 IAM 策略來執行此操作,雖然管理看起來不錯,但每個帳戶仍然可以看到其他使用者使用 describeInstances 創建的實例。
真的,我正在尋找一種方法來隱藏由不同 IAM 帳戶創建的資源。這目前可能嗎?
如果您的使用者的資源不需要互操作,那麼另一種選擇是使用多個單獨的 AWS 賬戶,然後設置合併賬單,以便將所有賬戶的賬單放在一個賬單上。
您的每個使用者都將擁有自己的 AWS 賬戶。他們只會看到自己帳戶中的資源。
不幸的是,AWS Identity and Access Management (IAM)目前還沒有完全涵蓋這一特定方面,因為最近引入的 EC2 和 RDS 資源的資源級權限尚不適用於所有 API 操作,請參閱Amazon Resource Names中的此說明對於亞馬遜 EC2:
重要目前,並非所有 API 操作都支持單個 ARN;稍後我們將為其他 Amazon EC2 資源添加對其他 API 操作和 ARN 的支持。有關您可以將哪些 ARN 與哪些 Amazon EC2 API 操作一起使用以及每個 ARN 支持的條件鍵的資訊,請參閱Amazon EC2 API 操作支持的資源和條件。
您會發現在撰寫本文時,Amazon EC2 API 操作的受支持資源和條件
ec2:Describe*中確實不存在所有操作。另請參閱授予 IAM 使用者對 Amazon EC2 資源所需的權限以獲取上述簡明摘要以及您可以在 IAM 策略語句中使用的 ARN 和 Amazon EC2 條件鍵的詳細資訊,以授予使用者創建或修改特定 Amazon EC2 資源的權限-此頁面還提到 AWS 將在 2014 年增加對其他操作、ARN 和條件鍵的支持。