似乎有50篇关于通过资源标签限制用户使用资源的文章。但我认为我所遗漏的是,这是否可能在主机上实现。我有一个亚马逊目录服务,并运行与awsapps.com/console网站登录。我的IAM角色中有几个测试用户,其策略如下。我希望登录的用户只能看到带有适当标记的资源。这在模拟中是有效的,但在控制台上却不能。我得到一个错误"一个错误发生获取实例数据:你没有被授权执行此操作"。
那么可以在控制台中限制标签吗?我知道它在CLI中。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:*",
"ec2:*",
"cloudwatch:*",
"s3:*",
"sdb:*",
"iam:PassRole",
"iam:ListRoles"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {"ec2:ResourceTag/critical": "true"}
}
}
]
}
AWS管理控制台不能只显示有限的资源集。显示资源所需的权限意味着他们可以看到所有资源。但是,仍然可以分配权限来限制可以执行的操作(例如,只能启动/停止具有特定标记的实例)。
Amazon EC2管理控制台能够根据标签、id等对资源进行筛选。这意味着用户可以限制他们对资源的视图,但这并不妨碍他们看到所有资源。
管理控制台也有资源组,这是一种按属性(如标记)对资源进行分组的方法。用户可以查看共享此属性的所有资源。