AWS IAM，限制帐户只能查看和访问自己创建的资源？

Question

我想有一个IAM用户，这将能够创建他们喜欢的任何资源，BUUTTTT能够看到和管理的资源只由它自己创建，就像一个“子云”，不知道其他人，或喜欢有完全独立的根帐户基本上(同时保持从一个根帐户概述)。我找不到任何东西...权限界限和一般的所有策略似乎只基于对操作的限制，而我想要限制所有权。

Answer 1

您可能希望在AWS IAM中查看ABAC。您可以在用户/角色上设置标签，然后在他们创建的AWS资源上设置标签，然后根据这些标签控制访问。

我们一直在我们公司使用同样的方法。我们有各种软件平台，我们为每个平台设置IAM组，并相应地添加用户。我们为每个组设置角色并应用策略(使用SCP)，这样人们就不能在没有标签的情况下启动资源。然后我们使用ABAC来限制每个团队对自己的资源拥有控制权。

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial