Restriction de la vue de la console par le tag

Question

Existe-t-il une action de stratégie dans IAM qui limitera la visibilité des ressources de la colonne à un seul ensemble balisé? Par exemple, puis-je utiliser ec2: Décrire avec une condition StringEquals pour le tag de telle sorte qu'un groupe d'utilisateurs verra seulement l'ensemble des serveurs EC2 que son projet utilise?

Idéalement je ne veux pas que tous les utilisateurs de ce VPC pour voir tous les serveurs, peu importe si elles sont en lecture seule

Answer 1

Son pas possible:

Remarque Actuellement, l'EC2 d'Amazon EC2: Décrivez * Les actions d'API ne prennent pas en charge les autorisations au niveau des ressources. Par conséquent, vous ne pouvez pas contrôler les ressources individuelles que les utilisateurs peuvent afficher dans la console. Par conséquent, le caractère générique * est nécessaire dans l'élément Resource de l'instruction ci-dessus. Pour plus d'informations sur les ARN que vous pouvez utiliser avec les actions de l'API EC2 Amazon , voir Autorisations au niveau des ressources prises en charge pour Amazon Actions de l'API EC2.

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html

En option que vous avez, cela pourrait fonctionner est d'utiliser plusieurs, comptes indépendants AWS, de sorte que chaque utilisateur peut obtenir leur propre « bac à sable » à jouer, mais la configuration de consolider la facturation de sorte que cet aspect des comptes sont tous partagés par un compte principal.