我想为一个新的IAM用户写一个策略,这样他就可以完全访问AWS服务,如EC2、RDS、Cloud Front、S3等。但是,他应该只能查看(描述)和管理他启动的实例/服务。他无法看到其他用户创建的其他现有/未来实例/服务。这种情况发生在一家公司,该公司希望将一些项目外包给外包公司。因此,新的IAM用户是用于访问外包公司以设置登台&;属于公司的AWS生产环境。我怎样才能做到这一点呢?谢谢。
最诚挚的问候,马克
AFAICT没有条件。
一个明显的替代方案是使用统一计费的独立依赖和链接帐户。您可以在本文的第三个场景中找到一些细节
https://media.amazonwebservices.com/AWS_Setting_Up_Multiuser_Environments_Education.pdf[…管理员为每个用户创建单独的AWS帐户需要一个新的AWS账户。这些帐户可以选择性地链接并且可以指定一个AWS账户作为支付帐户使用合并账单,它提供了一个单一的账单多个AWS账户。管理员在中创建IAM用户每个AWS帐户,并对每个用户应用访问控制策略。用户可以访问其AWS帐户中的IAM用户,但是无法访问AWS帐户的根凭据。
用户可以通过IAM登录到AWS Management Console凭证,然后他们可以启动和访问不同的AWS服务,取决于应用于其的访问控制策略帐户。用户可以直接控制的访问凭据他们的资源,他们也可以与他人分享这些资源