Estou procurando uma maneira de restringir as instâncias ec2 de visibilidade a determinadas contas do IAM. Eu realmente gostaria que uma determinada conta pudesse ver apenas as instâncias que ela criou, ou seja, quando ela descreve as instâncias, apenas as que ela criou estão presentes.
Eu estive pesquisando o uso de políticas do IAM personalizadas com base em tags de recursos para fazer isso e, embora o gerenciamento pareça estar ok, cada conta ainda pode ver instâncias criadas por outros usuários usando describeInstances.
Realmente, estou procurando uma maneira de ocultar recursos criados por diferentes contas do IAM uns dos outros. Isso é atualmente possível?
Se os recursos de seu usuário não precisarem interagir, uma opção diferente é usar várias contas da AWS separadas e, em seguida, configurar o faturamento consolidado para que as contas de todas as contas sejam reunidas em uma única fatura.
Cada um dos seus usuários teria sua própria conta da AWS. Eles veriam apenas os recursos por conta própria.
Infelizmente, o Gerenciamento de Identidade e Acesso (IAM) da AWS não cobre totalmente esse aspecto específico até hoje, porque o recente introduzidas Permissões em nível de recurso para recursos do EC2 e do RDS ainda não estão disponíveis para todas as ações da API, consulte esta nota em Amazon Resource Names para Amazon EC2 :
Important Currently, not all API actions support individual ARNs; we'll add support for additional API actions and ARNs for additional Amazon EC2 resources later. For information about which ARNs you can use with which Amazon EC2 API actions, as well as supported condition keys for each ARN, see Supported Resources and Conditions for Amazon EC2 API Actions.
Você descobrirá que todas as ações de ec2:Describe* ainda estão ausentes de Recursos e condições suportados para ações da API do Amazon EC2 no momento desta publicação.
Veja também Concedendo permissões necessárias aos usuários do IAM para recursos do Amazon EC2 para obter um resumo conciso dos itens acima e detalhes sobre as chaves de condição ARNs e Amazon EC2 que você pode usar em uma instrução de política do IAM para conceder aos usuários permissão para criar ou modificar recursos específicos do Amazon EC2 - esta página também menciona que a AWS adicionará suporte para ações, ARNs e chaves de condição adicionais em 2014 .