Создание пользователей AWS IAM на основе домена электронной почты

Question

Я настраиваю учетную запись AWS, учетная запись будет использоваться организацией сотрудников для использования / эксперимента в EC2.Очевидно, что я не хочу распространять информацию для входа в систему root или настраивать одного пользователя IAM для всех пользователей.К сожалению, у меня нет времени на регулярное создание отдельных пользователей IAM для всех.

Итак, есть ли способ автоматического создания пользователей IAM на основе домена данного электронного письма при первой попытке входа в систему??Для начала у пользователей должны быть роли только для чтения, тогда администратор может назначить каждому пользователю больше ролей, сколько необходимо.Я открыт для предложений, возможно, лямбда-функций или ссылок на провайдера идентификации?

Имейте в виду, что этим новым пользователям IAM необходим доступ к консоли управления AWS, это не обязательно предназначено для входа в приложения, размещенные на хосте.на AWS.

Обновление:

Движение вперед с использованием этого Образца прокси-сервера федерации Консоли управления AWS , найденного в справочнике кода Amazon, с использованием электронной почты, размещенной на Microsoft Exchange.

Answer 1

Если ваш существующий поставщик удостоверений поддерживает SAML2 Federation, вы можете настроить его для входа в Консоль управления AWS.

Подробнее см. Включение федеративных пользователей SAML 2.0 для доступа к консоли управления AWS .

В противном случае вы можете внедрить настраиваемый брокер федерации, который возвращает URL-адрес пользователю после проверки подлинности с использованием его корпоративных учетных данных.

Подробнее см. Создание URL-адреса, которыйПредоставляет федеративным пользователям доступ к консоли управления AWS (пользовательский посредник федерации) .