是否可以创建一个子帐户或子用户,例如他可以根据标签在AWS中看到和/或做什么?
我尝试过使用策略,但是对于实例来说这不起作用,因为你无法在资源级别上限制它 这使得他们既可以控制并看到一切,也可以什么也不做。
有什么我错过的吗?
答案 0 :(得分:1)
问题范围太广了。请研究IAM指南并了解IAM策略生成器条件。 即使使用允许使用通配符的ARN,您仍然需要为这些通配符值定义一些显式前缀/后缀。对于EC2,您需要了解EC2 resource ARN并且可能需要与"条件"添加限制。
以下是将策略生成器用于仅允许运行,启动和停止实例的策略的示例,并将其限制为使用资源标记serverX的EC2。将此策略附加到用户时,他们只能执行以下任务。您可能需要添加更多条件,以确保用户不会看到实例属于他人,方法是自行强制执行标记名称创建。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1462794515000",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/Name": "serverX"
}
},
"Resource": [
"arn:aws:ec2::1234567890:instance/*"
]
}
]
}
您可以使用AWS policy Simulator。另一个很好的参考是AWS inline policies and managed policies