Temos contas AWS para dev
, staging
e prod
. Usamos AWS SSO via Okta e definimos grupos como “Desenvolvedores” e “Suporte” no Okta.
O grupo de desenvolvedores deve ter amplo acesso à nossa dev
conta AWS, mas acesso limitado em staging
e prod
. O grupo de suporte também deve ter acesso à AWS, mas também permissões diferentes por conta.
Como posso permitir que os membros do grupo façam login e tenham permissões adequadas, dependendo da conta que acessam?
Detalhes:
O AWS SSO Permission Sets
está vinculado à página inicial da AWS. Isso lista as contas às quais um usuário tem acesso e exibe um ou mais conjuntos de permissões que eles podem usar. Os conjuntos de permissões parecem ser orientados para conceder aos usuários a capacidade de fazer login em várias contas com o mesmo acesso - todos os administradores podem ter AWSAdministratorAccess e outros podem ter ReadOnlyAccess, por exemplo.
Porém, meu caso de uso é diferente: quero criar acessos diferentes dependendo da conta em que um determinado usuário efetua login.
eu acho que épossívelpara fazer isso com conjuntos de permissões - por exemplo developer-dev
, developer-staging
, , developer-prod
. Mas parece confuso para mim. Também, na realidade, teremos vários grupos (equipe de desenvolvedores A, B, C), todos os quais precisam de acesso diferente, então há uma espécie de explosão de conjuntos de permissões e contas.
Gostaria que um desenvolvedor fizesse login como "Desenvolvedor" e, dependendo da conta em que ele efetua login, obtivesse as permissões corretas. eu posso fazermaioriadisso usando funções IAM padrão. A função de "desenvolvedor" na produção pode ser ReadOnlyAccess
, onde no Staging pode ter algumas permissões adicionais e no dev pode ter PowerUserAccess
. Já gerenciamos esse tipo de coisa usando o Terraform.
Gosto da página de login de várias contas SSO. Também gosto de poder alternar funções (e contas) no Console AWS. Existe uma abordagem simples que estou entendendo mal e que me permitirá fazer as duas coisas?