Amazon web services 如何在AWS控制台中按用户组限制AWS实例？

在AWS环境中，我有开发和生产实例，属于“开发人员”组的AWS用户应该只看到开发实例，而来自“管理员”组的用户应该看到所有实例。如何使每个人都能在AWS控制台中看到他们可以访问的内容？

您需要创建IAM策略，以便只允许访问特定实例。这将需要IAM政策遵循以下原则：

{
  "Statement": [
    {
      "Sid": "Stmt1404698512098",
      "Action": "ec2:*",
      "Effect": "Allow",
      "Resource": "arn:aws:ec2:region:account:instance/i-123456"
    }
  ]
}

上述策略将允许应用该策略的用户完全访问实例i-123456上的所有EC2命令。您应该通读上的文档，以确保完全了解所有可用的EC2操作、条件等

如果您试图将资源完全隔离到特定的组，那么这样的策略管理可能很快变得非常复杂。如果您开始使用除EC2之外的其他AWS资源，或者即使只是启动和终止大量EC2实例，您的IAM策略也会很快变得非常复杂。如果您使用的是EC2以外的服务，那么您需要了解IAM如何使用这些服务，并根据需要为每个服务创建策略以限制每个服务内的访问

<>你可能想考虑另一种隔离用户的方法，我们公司已经使用了几年了。我们实际上有5个不同的AWS帐户，每个帐户用于不同的目的。例如，一个帐户是为开发人员提供的，因此他们可以测试他们想要的任何东西，如果他们破坏了某些东西，那也没什么大不了的。另一个帐户是为我们的公司IT部门提供的，IT部门使用它为公司提供服务，如我们的wiki等。其他AWS帐户用于我们拥有的各种生产环境。唯一可以访问所有这些帐户的人是我们的高级AWS管理员。仅在需要时向其他人提供访问权限，并且在每个环境中使用IAM仅在必要时进一步限制访问权限。我们进一步利用链接将所有帐户连接在一起，这样就亚马逊而言，它们实际上是一个大帐户。这使得我们对AWS资源的管理更加容易，因为我们不必在所有使用的AWS服务中创建和管理多个IAM策略