Я ищу способ ограничить видимость экземпляров ec2 определенными учетными записями IAM. Мне бы очень хотелось, чтобы конкретная учетная запись могла видеть только те экземпляры, которые она создала, то есть когда она делает descriptionInstances, присутствуют только те, которые она создала.
Я изучал возможность использования настраиваемых политик IAM, основанных на тегах ресурсов, для этого, и, хотя с управлением все в порядке, каждая учетная запись все еще может видеть экземпляры, созданные другими пользователями с помощью descriptionInstances.
На самом деле я ищу способ скрыть ресурсы, созданные разными учетными записями IAM, друг от друга. Возможно ли это сейчас?
К сожалению AWS Identity and Access Management (IAM) не полностью охватывает этот аспект на сегодняшний день, потому что недавно представленный Разрешения на уровне ресурсов для ресурсов EC2 и RDS еще не доступны для всех действий API, см. это примечание от Имена ресурсов Amazon для Amazon EC2:
Важный В настоящее время не все действия API поддерживают отдельные ARN; мы добавим поддержку дополнительных действий API и ARN для дополнительных ресурсов Amazon EC2 позже. Информацию о том, какие ARN можно использовать с какими действиями API Amazon EC2, а также о поддерживаемых ключах условий для каждого ARN, см. Поддерживаемые ресурсы и условия для действий API Amazon EC2.
Вы обнаружите, что все ec2:Describe* действия действительно отсутствуют Поддерживаемые ресурсы и условия для действий API Amazon EC2 на момент написания этой статьи.
Смотрите также Предоставление пользователям IAM необходимых разрешений для ресурсов Amazon EC2 для краткого изложения вышеизложенного и подробностей о ключи условий ARN и Amazon EC2, которые можно использовать в заявлении политики IAM для предоставления пользователям разрешения на создание или изменение определенных ресурсов Amazon EC2 - на этой странице также упоминается, что AWS будет добавить поддержку дополнительных действий, ARN и условных ключей в 2014 г..
Если ресурсы вашего пользователя не нуждаются во взаимодействии, другой вариант - использовать несколько отдельных учетных записей AWS, а затем настроить единый биллинг, чтобы счета для всех учетных записей объединялись в один счет.
У каждого из ваших пользователей будет собственная учетная запись AWS. Они будут видеть только ресурсы в своем аккаунте.