Wir haben AWS-Konten für dev, staging, und prod. Wir verwenden AWS SSO über Okta und definieren Gruppen wie „Entwickler“ und „Support“ in Okta.
Die Entwicklergruppe sollte umfassenden Zugriff auf unser AWS- devKonto haben, aber nur eingeschränkten Zugriff auf stagingund prod. Die Supportgruppe sollte ebenfalls AWS-Zugriff haben, aber auch je nach Konto unterschiedliche Berechtigungen.
Wie kann ich Gruppenmitgliedern die Anmeldung erlauben und ihnen dann die entsprechenden Berechtigungen erteilen, je nachdem, auf welches Konto sie zugreifen?
Einzelheiten:
AWS SSO Permission Setsist mit der AWS-Startseite verknüpft. Diese listet Konten auf, auf die ein Benutzer Zugriff hat, und zeigt einen oder mehrere Berechtigungssätze an, die er verwenden kann. Berechtigungssätze scheinen darauf ausgerichtet zu sein, Benutzern die Möglichkeit zu geben, sich mit demselben Zugriff bei mehreren Konten anzumelden – Administratoren könnten beispielsweise alle AWSAdministratorAccess und andere ReadOnlyAccess haben.
Mein Anwendungsfall ist jedoch anders: Ich möchte unterschiedliche Zugriffe erstellen, je nachdem, bei welchem Konto sich ein bestimmter Benutzer anmeldet.
Ich denke es istmöglichdies mit Berechtigungssätzen zu tun - z. B. developer-dev, developer-staging, developer-prod. Aber das erscheint mir chaotisch. Außerdem werden wir in Wirklichkeit eine Reihe von Gruppen haben (Entwicklerteam A, B, C), die alle unterschiedliche Zugriffsrechte benötigen, sodass es zu einer Art Explosion von Berechtigungssätzen und Konten kommt.
Ich möchte, dass sich ein Entwickler als „Entwickler“ anmeldet und je nachdem, mit welchem Konto er sich anmeldet, die richtigen Berechtigungen erhält. Ich kannam meistendavon mithilfe von standardmäßigen IAM-Rollen. Die Rolle „Entwickler“ in der Produktion könnte sein ReadOnlyAccess, während sie in der Staging-Umgebung möglicherweise einige zusätzliche Berechtigungen hat und in der Entwicklung möglicherweise PowerUserAccess. Wir verwalten diese Art von Dingen bereits mithilfe von Terraform.
Mir gefällt die SSO-Anmeldeseite für mehrere Konten. Mir gefällt auch, dass ich Rollen (und Konten) über die AWS-Konsole wechseln kann. Gibt es einen einfachen Ansatz, den ich falsch verstehe und mit dem ich beides tun kann?