隔离/隔离AWS用户的有效方法是什么？

Question

我试图让少数用户(在有限的时间内)临时访问AWS控制台，他们不应该能够查看其他用户创建的任何资源。这些是我可能找到的方法：

1. 为每个用户创建一个IAM用户并分配IAM策略:这是一个简单的过程，但是是否有可能以这样一种方式定义策略:每个用户都是完全孤立的？用户应该能够创建任何资源，但只能查看和管理他的资源。使用后，可以删除IAM用户，以撤销用户对AWS控制台的访问。
2. 在根帐户组织下创建AWS帐户:这将保证隔离，但删除托管AWS帐户并不简单，因此该方法似乎不可行。

有人能帮我找出可能的解决办法吗？

编辑:我正在尝试根据需要动态创建帐户/用户。(谢谢你指出@JamesKn)

Answer 1

我会让他们每个人都注册AWS，然后运行统一计费http://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html

这样他们就会被完全孤立，但你会得到一张账单。