Isolated IAM users in AWS
I have a root account and I want to create 3 IAM users, one for each app: iamapp1, iamapp2 and iamapp3. I want them to have full access to ec2 resources, i.e listing, launching and configuring ec2 instances, in a way that the ec2 instances provided by iamapp1 are completely isolated from the instances provided by iamapp2 and iamapp3, but root account should still see everything. Does anybody knows if this is possible?
1
задан Simon Ernesto Cardenas Zarate
23 November 2017 в 22:49
Ссылка
1 ответ
Для вашего сценария я рекомендую создать отдельные учетные записи AWS для каждого пользователя.
Однако вы можете достичь своей цели, используя теги и политики в одной учетной записи.
- Создайте лямбда-функцию, которая автоматически помечает ресурсы EC2, созданные каждым пользователем, их идентификаторами. Это предоставит волшебный ключ, который ваши политики могут использовать для управления доступом.
- Создайте политику ресурсов на основе тегов для каждого пользователя. Это предотвратит доступ пользователей к ресурсам, которые не помечены их идентификационными данными.
По этой ссылке показано, как все делать. Включает красивую графику, показывающую, как все работает.
3