Если бы политики IAM позволили указать требуемый фильтр, это было бы возможно. Но вы не можете указать это, поэтому это невозможно.
То, что вы хотите, называется Организациями - вы можете назначить каждой группе свою учетную запись AWS, чтобы они могли видеть свои собственные счета и т. Д.
- Зарезервированные экземпляры могут передаваться из основной учетной записи в дополнительную учетную запись
- Поток счетов с субсчетов на основной счет
- Все ваши пользователи могут оставаться в главной учетной записи, вы просто предоставляете им возможности AssumeRole для просмотра их учетной записи.
- Вы можете применять политики управления службами, которые не позволяют суб-учетным записям выполнять какие-либо действия.
Вы можете подумать, что управление «проще» с одной учетной записью, но верно и обратное. Точно так же, как вы должны относиться к серверам как «Крупный рогатый скот, а не домашние животные» (т. Е. Они одноразовые), вы должны рассматривать учетные записи AWS как одноразовые. Некоторые организации предоставляют каждому разработчику свою учетную запись AWS, и только сервер сборки может изменять учетные записи Staging / Prod через TerraForm или CloudFormation.