标签的控制台视图限制
Console view restriction by tag
IAM 中是否有策略操作将 colnsole 中的资源可见性限制为仅标记集?因此,例如,我是否可以将 ec2:Describe 与 StringEquals 条件一起用于标记,以便一组用户只能看到他们的项目正在使用的 EC2 服务器集?
理想情况下,我不希望此 VPC 中的所有用户看到所有服务器,无论它们是否只读
目前不可能:
Note Currently, the Amazon EC2 ec2:Describe* API actions do not
support resource-level permissions, so you cannot control which
individual resources users can view in the console. Therefore, the *
wildcard is necessary in the Resource element of the above statement.
For more information about which ARNs you can use with which Amazon
EC2 API actions, see Supported Resource-Level Permissions for Amazon
EC2 API Actions.
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html
根据您的选择,使用多个独立的 AWS 账户可能会奏效,这样每个用户都可以拥有自己的 'sandbox' 来玩,但要设置整合账单,以便账户的这一方面是全部由一个主帐户共享。
IAM 中是否有策略操作将 colnsole 中的资源可见性限制为仅标记集?因此,例如,我是否可以将 ec2:Describe 与 StringEquals 条件一起用于标记,以便一组用户只能看到他们的项目正在使用的 EC2 服务器集?
理想情况下,我不希望此 VPC 中的所有用户看到所有服务器,无论它们是否只读
目前不可能:
Note Currently, the Amazon EC2 ec2:Describe* API actions do not support resource-level permissions, so you cannot control which individual resources users can view in the console. Therefore, the * wildcard is necessary in the Resource element of the above statement. For more information about which ARNs you can use with which Amazon EC2 API actions, see Supported Resource-Level Permissions for Amazon EC2 API Actions.
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html
根据您的选择,使用多个独立的 AWS 账户可能会奏效,这样每个用户都可以拥有自己的 'sandbox' 来玩,但要设置整合账单,以便账户的这一方面是全部由一个主帐户共享。