Para o seu cenário, recomendo criar contas da AWS separadas para cada usuário.
No entanto, você pode realizar seu objetivo usando tags e políticas em uma única conta.
- Crie uma função do Lambda que marca automaticamente os recursos do EC2 criados por cada usuário com sua identidade. Isso fornecerá a chave mágica que suas políticas podem usar para controlar o acesso.
- Crie uma política de recursos baseada em tags para cada usuário. Isso impedirá que os usuários acessem recursos que não estejam marcados com sua identidade de usuário.
Este link mostra como fazer tudo. Inclui alguns gráficos agradáveis que mostram como tudo funciona.