У нас есть учетные записи AWS для dev, stagingи prod. Мы используем AWS SSO через Okta и определяем группы, такие как «Разработчики» и «Поддержка» в Okta.
Группа разработчиков должна иметь широкий доступ к нашей devучетной записи AWS, но ограниченный доступ в stagingи prod. Группа поддержки также должна иметь доступ к AWS, но также различные разрешения для каждой учетной записи.
Как разрешить членам группы входить в систему, а затем иметь соответствующие разрешения в зависимости от того, к какой учетной записи они получают доступ?
Подробности:
AWS SSO Permission Setsсвязаны со стартовой страницей AWS. На ней перечислены учетные записи, к которым пользователь имеет доступ, и отображен один или несколько наборов разрешений, которые он может использовать. Наборы разрешений, похоже, ориентированы на предоставление пользователям возможности входить в несколько учетных записей с одинаковым доступом — например, все администраторы могут иметь AWSAdministratorAccess, а другие могут иметь ReadOnlyAccess.
Однако мой вариант использования иной: я хочу создать разные уровни доступа в зависимости от того, в какую учетную запись входит данный пользователь.
Я думаю, что этовозможныйсделать это с наборами разрешений - например developer-dev, developer-staging, , developer-prod. Но мне это кажется беспорядочным. Кроме того, в реальности у нас будет несколько групп (команда разработчиков A, B, C), всем из которых нужен разный доступ, так что будет своего рода взрыв наборов разрешений и учетных записей.
Я хотел бы, чтобы разработчик входил в систему как "Разработчик" и в зависимости от того, в какую учетную запись он войдет, получал нужные разрешения. Я могу сделатьбольшинствоэтого с использованием стандартных ролей IAM. Роль "разработчика" в production может быть ReadOnlyAccess, где в Staging она может иметь некоторые дополнительные разрешения, а в dev может иметь PowerUserAccess. Мы уже управляем такими вещами с помощью Terraform.
Мне нравится страница входа в SSO для нескольких аккаунтов. Мне также нравится возможность переключать роли (и аккаунты) из AWS Console. Есть ли простой подход, который я не понимаю и который позволит мне делать и то, и другое?