我想爲新的IAM用戶編寫策略,以便他可以完全訪問AWS服務,例如EC2,RDS, Cloud Front,S3等。但是他應該只能查看(描述)並管理他啓動的實例/服務。他看不到其他用戶創建的其他現有/未來實例/服務。 這種情況發生在一家希望將一些項目外包給外包公司的公司。因此,新的IAM用戶給了設置在AWS屬於公司分期&生產環境訪問外包公司。我怎樣才能做到這一點? 謝謝。AWS IAM策略允許完全訪問服務,但僅限於此用戶創建的實例
最好的問候,
馬克
AFAICT上有創造者沒有條件。
一個明顯的選擇是分離的依賴關聯帳戶和合並結算。你可以找到一些細節在本文
https://media.amazonwebservices.com/AWS_Setting_Up_Multiuser_Environments_Education.pdf
的第三個場景[...]管理員創建獨立的AWS佔 需要一個新的AWS帳號誰每個用戶。這些帳戶可以選擇鏈接到 ,並且可以使用合併帳單將單個AWS賬戶指定爲付款 賬戶,該賬戶爲 多個AWS賬戶提供單一賬單。管理員然後在每個AWS賬戶中創建一個IAM用戶 並將訪問控制策略應用於每個用戶。 用戶有權訪問其AWS賬戶中的IAM用戶,但 無權訪問AWS賬戶的根憑證。
用戶可以登錄到他們的IAM 憑證AWS管理控制檯,然後他們可以啓動和訪問不同的AWS 服務,受到應用於其 帳戶的訪問控制策略。用戶可以直接控制其資源的訪問憑證,並且可以根據需要與其他 用戶共享這些資源。
describe * API不支持這種權限。您可能會因多個帳戶而更好(通過合併結算鏈接) –