Зачем? Потому что я хочу, чтобы эти пользователи могли создавать ресурсы по своему желанию в моей учетной записи AWS, но могли только видеть и использовать ресурсы, созданные их собственной группой.
Я знаю, что можно ограничить просмотр / использование / управление частью для каждой группы тегом ресурса с использованием политик, но я также хочу, чтобы они могли автоматически создавать экземпляры с соответствующим тегом, чтобы они случайно или злонамеренно не оставили тег out или укажите тег другой группы.
Это возможно? Если да, то как? В противном случае, какая у меня ближайшая альтернатива?
(Связанный вопрос, который я задал раньше: Как разрешить IAM-группам создавать, просматривать и управлять своими собственными экземплярами и ничем другим?)
Это технически невозможно, по крайней мере, сейчас:
Обратите внимание: поскольку вы не можете пометить ресурс при его создании, вы не можете использовать какие-либо ключи условия тега с ресурсом, созданным действием.
Из Вот. Но вот обходной путь, требующий Lambda и CloudWatch (доступно только для некоторых регионов): статья