我們擁有dev、staging和 的AWS 帳戶prod。我們透過 Okta 使用 AWS SSO,並在 Okta 中定義「開發人員」和「支援」等群組。
開發人員群組應該對我們的 AWSdev帳戶具有廣泛的存取權限,但對staging和 的存取權限有限prod。支援群組也應具有 AWS 存取權限,但按帳戶也應具有不同的權限。
如何允許群組成員登錄,然後根據他們訪問的帳戶擁有適當的權限?
細節:
AWS SSOPermission Sets連結到 AWS 起始頁。這列出了使用者有權存取的帳戶,並顯示他們可以使用的一個或多個權限集。權限集似乎旨在授予使用者以相同存取權限登入多個帳戶的能力——例如,管理員可能都擁有 AWSAdministratorAccess,而其他人可能擁有 ReadOnlyAccess。
不過,我的用例有所不同:我想根據給定用戶登入的帳戶建立不同的存取權限。
我想這是可能的使用權限集來執行此操作 - 例如developer-dev, developer-staging, developer-prod。但對我來說似乎很混亂。此外,在現實中,我們將有許多群組(開發團隊 A、B、C),所有這些群組都需要不同的存取權限,因此權限集和帳戶將會爆炸性成長。
我希望開發人員以「開發人員」身分登錄,並根據他們登入的帳戶獲得正確的權限。我可以最多其中使用標準 IAM 角色。生產中的「開發人員」角色可能是ReadOnlyAccess,在暫存中可能有一些額外的權限,而在開發中可能有PowerUserAccess。我們已經使用 Terraform 管理此類事情。
我喜歡 SSO 多帳戶登入頁面。我還喜歡能夠從 AWS 主控台切換角色(和帳號)。有沒有一種我誤解的簡單方法可以讓我同時做到這兩點?