使用 IAM 账户限制 EC2 实例的可见性

sga*_*gan 6 amazon-ec2 amazon-web-services amazon-iam

我正在寻找一种将 ec2 实例的可见性限制为某些 IAM 帐户的方法。我真的很想要一种特定帐户只能看到它创建的实例的方法,即当它执行 describeInstances 时,只有它创建的那些实例存在。

我一直在研究使用基于资源标签的自定义 IAM 策略来做到这一点,虽然管理看起来没问题,但每个账户仍然可以看到其他用户使用 describeInstances 创建的实例。

真的,我正在寻找一种方法来隐藏由不同 IAM 帐户创建的资源。这是目前可能的吗?

Ste*_*pel 6

不幸的是,AWS Identity and Access Management (IAM)截至今天尚未完全涵盖这一特定方面,因为最近引入的 EC2 和 RDS 资源的资源级权限尚未适用于所有 API 操作,请参阅Amazon Resource Names 中的此说明对于亚马逊 EC2

重要当前,并非所有 API 操作都支持单个 ARN;稍后,我们将为其他 Amazon EC2 资源添加对其他 API 操作和 ARN 的支持。有关可以将哪些 ARN 用于哪些 Amazon EC2 API 操作以及每个 ARN 支持的条件键的信息,请参阅Amazon EC2 API 操作支持的资源和条件

在撰写本文时,您会发现Amazon EC2 API 操作的受支持资源和条件ec2:Describe*中确实仍然没有所有操作。

另请参阅授予 IAM 用户对 Amazon EC2 资源所需的权限,以获取上述内容的简明摘要以及有关ARN 和 Amazon EC2 条件键的详细信息,您可以在 IAM 策略语句中使用这些键来授予用户创建或修改特定 Amazon EC2 资源的权限-此页面还提到 AWS 将在 2014 年添加对其他操作、ARN 和条件键的支持


Mat*_*ser 1

如果您的用户的资源不需要互操作,则另一种选择是使用多个单独的 AWS 账户,然后设置合并账单,以便将所有账户的账单汇总在一张账单上。

您的每个用户都会有自己的 AWS 账户。他们只能看到自己帐户中的资源。