Amazon web services 通过资源标记限制AWS控制台

似乎有50篇关于通过资源标签限制用户使用资源的帖子。但我想我缺少的是，如果可能的话，在控制台中。我有一个Amazon目录服务，正在运行，有一个awsaps.com/console站点用于登录。我的IAM角色中有几个测试用户，策略如下。我希望登录的用户只看到带有适当标记的资源。这在模拟中起作用，但在控制台中不起作用。我得到一个错误“获取实例数据时出错：您无权执行此操作。”

那么，是否可以限制控制台中的标签？我知道它在CLI中

{
"Version": "2012-10-17",   
"Statement": [
    {
     "Action": [
        "elasticmapreduce:*",
        "ec2:*",
        "cloudwatch:*",
        "s3:*",
        "sdb:*",
        "iam:PassRole",
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "*",
    "Condition": {
                "StringEquals": {"ec2:ResourceTag/critical": "true"}
            }
    }
  ]
}

---

AWS管理控制台无法仅显示有限的资源集。显示资源所需的权限意味着他们可以查看所有资源。但是，仍然可以分配权限来限制它们可以执行的操作（例如，仅具有特定标记的启动/停止实例）

Amazon EC2管理控制台能够通过标签、id等过滤资源。这意味着用户可以限制他们对资源的查看，但并不阻止他们查看所有资源

---

管理控制台还具有，这是一种通过属性（如标记）对资源进行分组的方法。然后，用户可以查看共享此属性的所有资源。

仅查看带有相应标记的资源。。这是不可能的。
ResourceDisplay
无法以细粒度方式控制。要么他们能看到整件事，要么什么也看不见。如果你想让他们看到整件事，那么需要
descripe*
许可。在google和AWS论坛上有很多关于基于资源标签的访问策略限制的帖子。有没有办法只让开发人员看到开发人员的机器而不显示生产服务器？我只是希望他们能够启动和停止自己的机器。