У меня есть несколько учетных записей в AWS и я ограничиваю доступ к учетным записям prod для определенных людей. Пользователь войдет в основную учетную запись и переключится на другие учетные записи, если у него есть доступ для переключения на эту учетную запись. Доступ предоставляется или ограничивается политикой, которая в свою очередь привязана к группе. Пользователь будет частью одной из групп.
Предположим, у нас есть основная учетная запись, 5 учетных записей (A, B, C, D & E), 5 пользователей (joe, foo, john , dave & bar) и 2 группы (прод и не прод). Все 5 пользователей будут аутентифицированы один раз, и после успешного входа в систему пользователь будет использовать функцию переключения ролей для переключения на учетную запись участника. Предположим, что joe является пользователем dev, поэтому он будет частью группы non-prod, которая будет иметь политику, позволяющую переключаться на учетные записи non-prod ( Предоставление пользователю полномочий на переключение ролей ). Из-за этой политики Джо не сможет перейти на учетную запись D и E.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::ACCOUNT-A:role/PowerUser",
"arn:aws:iam::ACCOUNT-B:role/PowerUser",
"arn:aws:iam::ACCOUNT-C:role/PowerUser",
]
}
}
У меня вопрос: у меня более 50 учетных записей и 15 групп (в зависимости от функции работы) пользователей, и каждый раз, когда мы получаем новую учетную запись, мы должны изменить политику, чтобы добавить эту учетную запись и присоединиться к этим 15 группам. Есть ли лучший и автоматизированный способ справиться с этим?