你们有 4 台生产环境实例和 4 台测试环境实例。如何让一组 IAM 用户只能访问生产实例而不能访问测试实例？

Your organization has four production instances and four testing instances. You need a group of IAM users that can access only the production instances. How would you achieve this?

题目类型: 技术面试题

这是一道技术面试题，常见于澳洲IT公司面试中。

难度: medium

分类: AWS Security

标签: iam, ec2, tags, policy-conditions, least-privilege

参考答案摘要

核心答案 给生产/测试实例打上不同的 Tags （例如 Env=Prod 、 Env=Test ），然后在 IAM Policy 里用 Condition 基于 tag 进行限制，只允许对带特定标签的实例执行操作。 实现要点 对 EC2 实例统一打标签： Env=Prod / Env=Test 创建 IAM Group，把用户加入该组 策略里用条件键限制资源标签（例如基于 ec2:Resource...

本题提供 STAR 原则详细解答和技术解析，登录匠人学院学习中心即可查看完整答案。