amazon-web-services - 对其他 IAM 用户隐藏 EC2 实例
问题描述
我们有大量的 IAM 用户(数百人,未来可以增加超过 1000 人)。
所有 IAM 用户都有权创建 EC2 实例。同时,大约 30-40 个用户将工作并创建 EC2 实例。
在 AWS 管理控制台中,IAM 用户也可以查看其他 IAM 用户创建的所有实例。
是否有可能让他只看到他创建的那些 EC2 实例并隐藏其他 IAM 用户创建的所有其他实例?
我同意 IAM 用户可以提供名称和标签来识别他们的实例。但是,我正在寻找明显隐藏他没有创建的那些资源。
解决方案
如果 IAM 策略允许指定所需的过滤器,这将是可能的。但是你不能指定它,所以这是不可能的。
您想要的称为组织 - 您可以为每个组提供自己的 AWS 帐户,以便他们可以查看自己的帐单等。
- 预留实例可以从主账户流向子账户
- 账单从子账户流向主账户
- 您的所有用户都可以保留在主帐户中,您只需赋予他们 AssumeRole 功能来查看他们的帐户。
- 您可以应用阻止子账户做事的服务控制策略。
您可能认为使用一个帐户进行管理“更容易” - 但事实恰恰相反。就像您应该将服务器视为“牛而不是宠物”(即它们是一次性的),您应该将 AWS 账户视为一次性的。一些组织为每个开发人员提供自己的 AWS 帐户,并且只有构建服务器可以通过 TerraForm 或 CloudFormation 修改 Staging/Prod 帐户。
推荐阅读
- html - 如何制作带有方格图案的响应式网格?
- angular - Angular 完整的日历组件
- c - 我什么时候应该提供#defined 宏来在 Linux 内核中声明或初始化变量?
- c# - 拆分逗号分隔多个字符串并推入数组值
- tampermonkey - location.href doesn't get the real URL of Youtube, with livechat enabled in Chrome
- maven - Modify Maven dependency download process
- android - 适用于 Android 的 Firebase MLKit 人脸检测速度慢
- sql - 如何使用 Pivot 或任何其他方式将表列分成不同的列
- sql - 有什么办法可以使这种情况起作用吗?
- angular - 如何动态更改要在 Angular 6 中使用的类中的样式?