У нас есть аккаунты AWS для разработчик, постановка, и продукт. Мы используем AWS SSO через Okta и определяем такие группы, как «Разработчики» и «Поддержка» в Okta.
Группа разработчиков должна иметь широкий доступ к нашему AWS разработчик учетная запись, но ограниченный доступ в постановка и продукт. Группа поддержки также должна иметь доступ к AWS, но также разные разрешения для каждой учетной записи.
Как я могу разрешить членам группы входить в систему, а затем иметь соответствующие разрешения в зависимости от того, к какой учетной записи они получают доступ?
Подробности:
Система единого входа AWS Наборы разрешений связаны со стартовой страницей AWS. Здесь перечислены учетные записи, к которым у пользователя есть доступ, и отображается один или несколько наборов разрешений, которые они могут использовать. Наборы разрешений, по-видимому, ориентированы на предоставление пользователям возможности входить в несколько учетных записей с одинаковым доступом — например, у всех администраторов может быть AWSAdministratorAccess, а у других — ReadOnlyAccess.
Однако мой вариант использования отличается: я хочу создавать разные доступы в зависимости от того, в какую учетную запись входит данный пользователь.
я думаю что это возможное сделать это с наборами разрешений - например. разработчик-разработчик, разработчик-постановка, разработчик-производитель. Но мне кажется грязно. Кроме того, на самом деле у нас будет несколько групп (команда разработчиков A, B, C), которым нужен разный доступ, так что наборы разрешений и учетные записи резко разрастаются.
Я хотел бы, чтобы разработчик вошел в систему как «Разработчик» и в зависимости от того, в какую учетную запись он входит, получает правильные разрешения. я могу сделать наиболее из этого с использованием стандартных ролей IAM. Роль «разработчика» в производстве может быть Доступ только для чтения, где в Staging у него могут быть дополнительные разрешения, а в dev могут быть PowerUserAccess. Мы уже управляем такими вещами с помощью Terraform.
Мне нравится страница входа с несколькими учетными записями SSO. Мне также нравится возможность переключения ролей (и учетных записей) из консоли AWS. Есть ли простой подход, который я неправильно понимаю, который позволит мне сделать и то, и другое?
