dev
, staging
및 에 대한 AWS 계정이 있습니다 prod
. 우리는 Okta를 통해 AWS SSO를 사용하고 Okta에서 "개발자" 및 "지원"과 같은 그룹을 정의합니다.
개발자 그룹은 AWS 계정에 대한 광범위한 액세스 권한을 가져야 하지만 및 dev
에서는 제한된 액세스 권한을 가져야 합니다 . 지원 그룹에도 AWS 액세스 권한이 있어야 하지만 계정별로 권한도 달라야 합니다.staging
prod
그룹 구성원이 로그인하도록 허용하고 액세스하는 계정에 따라 적절한 권한을 갖도록 하려면 어떻게 해야 합니까?
세부:
AWS SSO는 Permission Sets
AWS 시작 페이지에 연결되어 있습니다. 여기에는 사용자가 액세스할 수 있는 계정이 나열되고 사용할 수 있는 하나 이상의 권한 집합이 표시됩니다. 권한 세트는 사용자에게 동일한 액세스 권한을 가진 여러 계정에 로그인할 수 있는 기능을 부여하는 데 초점을 맞춘 것 같습니다. 예를 들어 관리자는 모두 AWSAdministratorAccess를 갖고 다른 관리자는 ReadOnlyAccess를 가질 수 있습니다.
하지만 내 사용 사례는 다릅니다. 특정 사용자가 로그인하는 계정에 따라 다른 액세스를 생성하고 싶습니다.
내 생각엔가능한developer-dev
권한 집합(예: , developer-staging
, ) 을 사용하여 이 작업을 수행합니다 developer-prod
. 그러나 그것은 나에게 지저분해 보인다. 또한 실제로는 서로 다른 액세스 권한이 필요한 여러 그룹(개발자 팀 A, B, C)이 있으므로 권한 집합과 계정이 폭발적으로 증가합니다.
개발자가 "개발자"로 로그인하고 로그인하는 계정에 따라 올바른 권한을 얻길 바랍니다. 내가 할 수있는최대표준 IAM 역할을 사용하여 이를 수행합니다. 프로덕션에서 "개발자" 역할은 이고 ReadOnlyAccess
, Staging에서는 몇 가지 추가 권한을 가질 수 있고, dev에서는 를 가질 수 있습니다 PowerUserAccess
. 우리는 이미 Terraform을 사용하여 이러한 종류의 것들을 관리하고 있습니다.
SSO 다중 계정 로그인 페이지가 마음에 듭니다. 또한 AWS 콘솔에서 역할(및 계정)을 전환할 수 있는 점도 마음에 듭니다. 내가 오해하고 있는 두 가지 작업을 모두 수행할 수 있는 간단한 접근 방식이 있습니까?