Скрыть инстансы ec2 от других пользователей iam

У нас большое количество пользователей IAM (сотни, в будущем может увеличиться более чем на 1000).

Все пользователи IAM имеют доступ для создания экземпляров EC2. Одновременно около 30-40 пользователей будут работать и создавать инстансы EC2.

В Консоли управления AWS пользователь IAM может видеть все экземпляры, созданные другими пользователями IAM.

Я согласен с тем, что пользователи IAM могут давать имена и теги для распознавания своих экземпляров. Однако я ищу, чтобы явно скрыть те ресурсы, которые он не создавал.

1
0
836
2
Перейти к ответу Данный вопрос помечен как решенный

Ответы 2

Обычно для этого используются разрешения на уровне ресурсов. Какие ресурсы / что вы можете контролировать, зависит от вызова API к вызову API в AWS. В частности, вам нужно разрешение на уровне ресурса для вызова API DescribeInstances. К сожалению, в настоящее время AWS не поддерживает разрешения на уровне ресурсов для этого Вызов API.

Спасибо за ваш ответ. Мне нужно будет найти способ заставить эту работу работать.

Pavan Rao 27.10.2018 08:01
Ответ принят как подходящий

Если бы политики IAM позволяли указывать требуемый фильтр, это было бы возможно. Но вы не можете указать это, поэтому это невозможно.

То, что вы хотите, называется "Организации". Вы можете предоставить каждой группе собственную учетную запись AWS, чтобы они могли видеть свои собственные счета и т. д.

  • Зарезервированные инстансы могут перетекать из основной учетной записи в дополнительную.
  • Счета перетекают из дополнительных счетов в основную учетную запись
  • Все ваши пользователи могут оставаться в основной учетной записи, вы просто даете им возможность AssumeRole просматривать свою учетную запись.
  • Вы можете применять политики управления службами, которые не позволяют дочерним учетным записям выполнять какие-либо действия.

Вы можете подумать, что с одной учетной записью управлять «проще», но все наоборот. Точно так же, как вы должны относиться к серверам как к «крупному рогатому скоту, а не к домашним животным» (т. Е. Они одноразовые), вы должны думать об учетных записях AWS как об одноразовых. Некоторые организации предоставляют каждому разработчику собственную учетную запись AWS, и только сервер сборки может изменять учетные записи Staging / Prod через TerraForm или CloudFormation.

Спасибо за ваш ответ. Я полностью понимаю вашу точку зрения. Похоже, что организации - это путь вперед. Возможно, нам придется изменить то, как мы работаем. Я постараюсь это реализовать. Я буду обновлять здесь, когда закончу.

Pavan Rao 27.10.2018 08:03

Мы можем успешно реализовать эту функцию на основе ваших предложений. Мы многому научились, внедряя это решение. Спасибо.

Pavan Rao 26.11.2018 10:49

Другие вопросы по теме