Поместить федеративного пользователя AWS в отдельные группы IAM?

Question

У моего работодателя у нас есть учетная запись AWS, которая использует SAML 2.0 для федерации доступа вашего пользователя от единого входа компании в консоль AWS.Чистый эффект состоит в том, что у всех есть доступ администратора.Есть ли способ поместить федеративных пользователей в разные группы IAM, предоставляя тем самым наименьший привилегированный доступ?

Ответ, который мы пришли, заключается в том, что все федеративные пользователи будут иметь очень ограниченный доступ к консоли без программного доступа.Затем создайте для каждого пользователя отдельных пользователей IAM для программного доступа (без входа в консоль) и поместите этих отдельных пользователей в группы IAM с различным доступом.Будет ли этот метод считаться лучшей практикой или есть лучший способ выполнить то, что мы хотели бы сделать в этом случае?

Answer 1

Ваш поставщик SSO SAML 2.0 должен иметь возможность передавать информацию о ролях в AWS при входе в систему.Затем вы можете настроить соответствующие роли IAM в AWS.

Мы используем Azure AD для единого входа и настраиваем его на следующем примере: https://blog.flux7.com/aws-best-practice-azure-ad-saml-authentication-configuration-for-aws-console

В основном вы создаете группы безопасности Azure AD и сопоставляете их с ролями IAM.

Answer 2

Рекомендуется использовать группы для установки разрешений (политик) для каждого класса пользователей.

Предоставить пользователям единый доступ к учетным записям AWS в вашей организации, выбрав учетные записи AWS из заполненного списка.с помощью AWS SSO, а затем выберите пользователей или группы из вашего каталога и разрешения, которые вы хотите им предоставить.

AWS Single Sign-On