Amazon web services 通过资源标记限制AWS控制台
似乎有50篇关于通过资源标签限制用户使用资源的帖子。但我想我缺少的是,如果可能的话,在控制台中。我有一个Amazon目录服务,正在运行,有一个awsaps.com/console站点用于登录。我的IAM角色中有几个测试用户,策略如下。我希望登录的用户只看到带有适当标记的资源。这在模拟中起作用,但在控制台中不起作用。我得到一个错误“获取实例数据时出错:您无权执行此操作。” 那么,是否可以限制控制台中的标签?我知道它在CLI中Amazon web services 通过资源标记限制AWS控制台,amazon-web-services,amazon-ec2,amazon-iam,Amazon Web Services,Amazon Ec2,Amazon Iam,似乎有50篇关于通过资源标签限制用户使用资源的帖子。但我想我缺少的是,如果可能的话,在控制台中。我有一个Amazon目录服务,正在运行,有一个awsaps.com/console站点用于登录。我的IAM角色中有几个测试用户,策略如下。我希望登录的用户只看到带有适当标记的资源。这在模拟中起作用,但在控制台中不起作用。我得到一个错误“获取实例数据时出错:您无权执行此操作。” 那么,是否可以限制控制台中的标签?我知道它在CLI中 { "Version": "2012-10-17", "State
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:*",
"ec2:*",
"cloudwatch:*",
"s3:*",
"sdb:*",
"iam:PassRole",
"iam:ListRoles"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {"ec2:ResourceTag/critical": "true"}
}
}
]
}
AWS管理控制台无法仅显示有限的资源集。显示资源所需的权限意味着他们可以查看所有资源。但是,仍然可以分配权限来限制它们可以执行的操作(例如,仅具有特定标记的启动/停止实例) Amazon EC2管理控制台能够通过标签、id等过滤资源。这意味着用户可以限制他们对资源的查看,但并不阻止他们查看所有资源
管理控制台还具有,这是一种通过属性(如标记)对资源进行分组的方法。然后,用户可以查看共享此属性的所有资源。
仅查看带有相应标记的资源。。这是不可能的。ResourceDisplay
无法以细粒度方式控制。要么他们能看到整件事,要么什么也看不见。如果你想让他们看到整件事,那么需要descripe*
许可。在google和AWS论坛上有很多关于基于资源标签的访问策略限制的帖子。有没有办法只让开发人员看到开发人员的机器而不显示生产服务器?我只是希望他们能够启动和停止自己的机器。