我们有 、 和 的 AWS 账户dev
。staging
我们prod
通过 Okta 使用 AWS SSO,并在 Okta 中定义“开发人员”和“支持”等组。
开发人员组应该对我们的 AWSdev
账户拥有广泛的访问权限,但在staging
和中的访问权限受到限制prod
。支持组也应该拥有 AWS 访问权限,但每个账户的权限也不同。
我如何允许组成员登录,然后根据他们访问的帐户获得适当的权限?
细节:
AWS SSOPermission Sets
链接到 AWS 起始页。它列出了用户有权访问的帐户,并显示他们可以使用的一个或多个权限集。权限集似乎旨在授予用户以相同访问权限登录多个帐户的能力 - 例如,管理员可能都具有 AWSAdministratorAccess,而其他管理员可能具有 ReadOnlyAccess。
但是,我的用例不同:我想根据特定用户登录的帐户创建不同的访问权限。
我想这是可能的使用权限集来执行此操作 - 例如developer-dev
,,developer-staging
。developer-prod
但我觉得这很乱。此外,实际上我们会有多个组(开发团队 A、B、C),他们都需要不同的访问权限,因此权限集和帐户的数量会激增。
我希望开发人员以“开发人员”身份登录,并根据他们登录的帐户获得正确的权限。我可以这样做最多使用标准 IAM 角色。生产环境中的“开发人员”角色可能是ReadOnlyAccess
,在 Staging 环境中它可能具有一些额外权限,而在开发环境中可能具有PowerUserAccess
。我们已经使用 Terraform 管理这些事情。
我喜欢 SSO 多账户登录页面。我还喜欢能够从 AWS 控制台切换角色(和账户)。有没有一种我误解的简单方法可以让我同时完成这两项操作?