我们有 10 多个账户聚集在一个根账户下,全部位于一个组织中。我们的运营人员在根账户中拥有一个用户,如果该用户拥有所需的权限(assumeRole),则可以访问组织中的任何“子”账户。
我很难为用户提供正确的权限(附加策略),因为 IAM 在任何地方都限制为 10 个项目:
我们有 10 多个子账户。我首先尝试将每个账户直接附加到用户或授予用户访问权限的组,但我总是遇到以下限制:
- IAM 用户可以加入的组:10
- 附加到 IAM 组的托管策略:10
- 附加到 IAM 用户的托管策略:10(未记录)
为了让用户能够访问任意数量的帐户,我似乎需要为每个用户创建单独的策略。这是唯一的方法吗?
编辑:重新表述用例:
我在一个组织中有 10 多个子账户。我在“授权”AWS 账户中拥有大量用户。用户通过以管理员身份通过 acceptRole 访问子账户。我需要一种方法来为每个用户授予对部分账户的管理员访问权限。用户可以以管理员身份访问的账户列表可能因用户而异。
我尝试为每个附加了正确策略的账户创建一个组。这样,我只需添加有权访问相应组的用户,即可授予用户管理员访问权限。因为我有 10 多个账户,所以我需要用户能够属于 10 个以上的组,而这在 AWS 上是不可能的。