Рейтинг:1

AWS SSO: следует ли использовать наборы разрешений, роли IAM или и то, и другое?

флаг gu

У нас есть аккаунты AWS для разработчик, постановка, и продукт. Мы используем AWS SSO через Okta и определяем такие группы, как «Разработчики» и «Поддержка» в Okta.

Группа разработчиков должна иметь широкий доступ к нашему AWS разработчик учетная запись, но ограниченный доступ в постановка и продукт. Группа поддержки также должна иметь доступ к AWS, но также разные разрешения для каждой учетной записи.

Как я могу разрешить членам группы входить в систему, а затем иметь соответствующие разрешения в зависимости от того, к какой учетной записи они получают доступ?


Подробности:

Система единого входа AWS Наборы разрешений связаны со стартовой страницей AWS. Здесь перечислены учетные записи, к которым у пользователя есть доступ, и отображается один или несколько наборов разрешений, которые они могут использовать. Наборы разрешений, по-видимому, ориентированы на предоставление пользователям возможности входить в несколько учетных записей с одинаковым доступом — например, у всех администраторов может быть AWSAdministratorAccess, а у других — ReadOnlyAccess.

Однако мой вариант использования отличается: я хочу создавать разные доступы в зависимости от того, в какую учетную запись входит данный пользователь.

я думаю что это возможное сделать это с наборами разрешений - например. разработчик-разработчик, разработчик-постановка, разработчик-производитель. Но мне кажется грязно. Кроме того, на самом деле у нас будет несколько групп (команда разработчиков A, B, C), которым нужен разный доступ, так что наборы разрешений и учетные записи резко разрастаются.

Я хотел бы, чтобы разработчик вошел в систему как «Разработчик» и в зависимости от того, в какую учетную запись он входит, получает правильные разрешения. я могу сделать наиболее из этого с использованием стандартных ролей IAM. Роль «разработчика» в производстве может быть Доступ только для чтения, где в Staging у него могут быть дополнительные разрешения, а в dev могут быть PowerUserAccess. Мы уже управляем такими вещами с помощью Terraform.

Мне нравится страница входа с несколькими учетными записями SSO. Мне также нравится возможность переключения ролей (и учетных записей) из консоли AWS. Есть ли простой подход, который я неправильно понимаю, который позволит мне сделать и то, и другое?

флаг cn
Я в той же лодке, что и вы, теперь, когда вы занимаетесь этим уже два месяца, не могли бы вы ответить на свой вопрос или пролить свет на свои выводы?
Tom Harrison Jr avatar
флаг gu
Хитрость для нас заключается в том, что Okta/SSO сопоставляется с наборами разрешений, сопоставляемыми с ролями IAM, которые, в свою очередь, сопоставляются с RBAC в k8s. Но каждый из наших более чем 100 сервисов имеет роли RBAC, ограничивающие доступ. Поэтому, если мы не будем распространять каждую услугу вверх по цепочке (беспорядок), нам нужны более широкие разрешения на верхнем уровне (окта) и более узкие внизу. Мы еще не совсем разобрались с этим. Дам вам знать, если мы это сделаем!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.