AWS SSO: ¿Debo utilizar conjuntos de permisos o funciones de IAM, o ambos?

AWS SSO: ¿Debo utilizar conjuntos de permisos o funciones de IAM, o ambos?

Tenemos cuentas de AWS para dev, stagingy prod. Usamos AWS SSO a través de Okta y definimos grupos como "Desarrolladores" y "Soporte" en Okta.

El grupo de desarrolladores debe tener acceso amplio a nuestra devcuenta de AWS, pero acceso limitado en stagingy prod. El grupo de soporte también debe tener acceso a AWS, pero también permisos diferentes según la cuenta.

¿Cómo puedo permitir que los miembros del grupo inicien sesión y luego tener los permisos adecuados según la cuenta a la que accedan?


Detalles:

AWS SSO Permission Setsestá vinculado a la página de inicio de AWS. Esto enumera las cuentas a las que un usuario tiene acceso y muestra uno o más conjuntos de permisos que puede usar. Los conjuntos de permisos parecen estar orientados a otorgar a los usuarios la capacidad de iniciar sesión en varias cuentas con el mismo acceso: todos los administradores pueden tener AWSAdministratorAccess y otros pueden tener ReadOnlyAccess, por ejemplo.

Sin embargo, mi caso de uso es diferente: quiero crear diferentes accesos según la cuenta en la que inicie sesión un usuario determinado.

creo que esposiblepara hacer esto con conjuntos de permisos, por ejemplo developer-dev, developer-staging, developer-prod. Pero me parece complicado. Además, en realidad tendremos varios grupos (equipo de desarrolladores A, B, C), todos los cuales necesitan un acceso diferente, por lo que hay una especie de explosión de conjuntos de permisos y cuentas.

Me gustaría que un desarrollador inicie sesión como "Desarrollador" y, según la cuenta en la que inicie sesión, obtenga los permisos correctos. puedo hacermayoríade esto utilizando roles de IAM estándar. El rol de "desarrollador" en producción podría ser ReadOnlyAccess, donde en Staging podría tener algunos permisos adicionales, y en dev podría tener PowerUserAccess. Ya gestionamos este tipo de cosas usando Terraform.

Me gusta la página de inicio de sesión de múltiples cuentas de SSO. También me gusta poder cambiar roles (y cuentas) desde la consola de AWS. ¿Existe algún enfoque simple que no entiendo bien y que me permita hacer ambas cosas?

información relacionada