dev当社には、、stagingおよびの AWS アカウントがありますprod。Okta 経由で AWS SSO を使用し、Okta で「開発者」や「サポート」などのグループを定義しています。
開発者グループは AWSdevアカウントへの広範なアクセス権を持つ必要がありますが、stagingとへのアクセスは制限されるprod必要があります。サポート グループにも AWS アクセス権が必要ですが、アカウントごとに異なる権限も必要です。
グループ メンバーにログインを許可し、アクセスするアカウントに応じて適切な権限を付与するにはどうすればよいですか?
詳細:
AWS SSO はPermission SetsAWS スタートページにリンクされています。このページには、ユーザーがアクセスできるアカウントが一覧表示され、ユーザーが使用できる 1 つ以上の権限セットが表示されます。権限セットは、ユーザーに同じアクセス権で複数のアカウントにログインする権限を付与することを目的としているようです。たとえば、管理者全員が AWSAdministratorAccess を持ち、他のユーザーが ReadOnlyAccess を持つ場合があります。
ただし、私のユースケースは異なります。特定のユーザーがログインするアカウントに応じて、異なるアクセスを作成したいと考えています。
それは可能developer-devこれを権限セット( 、developer-staging、など)で実行しますdeveloper-prod。しかし、面倒に思えます。また、実際には、それぞれ異なるアクセスを必要とするグループ(開発者チーム A、B、C)が多数あるため、権限セットとアカウントが爆発的に増加します。
開発者が「開発者」としてログインし、どのアカウントにログインするかに応じて適切な権限を取得できるようにしたいのですが、ほとんど標準の IAM ロールを使用してこれを実行します。本番環境での「開発者」ロールは である可能性がありますがReadOnlyAccess、ステージング環境では追加の権限が付与され、開発環境では になる可能性がありますPowerUserAccess。私たちは、すでに Terraform を使用してこれらの種類のものを管理しています。
SSO マルチアカウント ログイン ページが気に入っています。AWS コンソールからロール (およびアカウント) を切り替えることができるのも気に入っています。私が誤解している、両方を実行できる簡単な方法はありますか?