AWS организация - я хочу, чтобы все пользователи org могли видеть и делиться всеми ресурсами

Question

Мой AWS Вариант использования IAM довольно прост c:

Мы создаем быстрый MVP приложения и поэтому быстро развиваем сервисы, которые являются его частью. Сейчас нас всего двое, поэтому мы не должны управлять огромной организацией. Нам нужно быстро работать вместе, и все, что мне нужно, это ситуация, которая приводит к следующему:

• Я создал основную учетную запись. Я создал организацию и пригласил моего друга в организацию по его электронной почте (его и моя электронная почта, а также электронная почта учетной записи root, все используют один и тот же домен, не то чтобы это здесь имеет значение)
• Я захожу в свою учетную запись - мою учетную запись ORG
• Он входит в свою учетную запись - свою учетную запись ORG
• Он создает функции в лямбде.
• I go to Лямбда-панель, и я могу видеть и управлять функциями, которые он создал
• Я создаю что-то в Elasti c Beanstalk
• Он идет на панель инструментов EB и видит и может управлять ресурсами, которые я создал

Не похоже, что это должно быть так сложно, но самое близкое, что я могу сказать, это то, что кто-то где-то должен создать роль IAM между ними, и ему должны быть предоставлены разрешения на роль коммутатора.

Или еще что-то.

Этому учебнику невозможно следовать, потому что он начинает использовать «учетную запись» взаимозаменяемо, и я не знаю, к чему он относится.

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_create -cross-accou nt-role

Я также пробовал: https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

И это не то, что я хочу. Если я захочу поменяться ролями, я просто предоставлю своему другу имя пользователя и пароль для роли администратора, что лишает смысла все это. Кажется более правильным, что есть роль, которую мы разделяем , которая позволяет нам видеть ресурсы, которые создает другой.

Кто-то, кто может пролить свет на то, что должно быть безумно простой вещью, я Буду очень признателен ...

Я на 100% согласен с тем, что мои предположения плохи. Я никогда не делал этого раньше.

Answer 1

Мое понимание того, что вы ищете, невозможно в консоли AWS. Вы можете предоставлять разрешения для разных учетных записей, и вы можете использовать API для получения данных между учетными записями, но консоль всегда будет показывать вам данные только из одной учетной записи. Даже для использования различных API-интерфейсов типа «список» вы должны быть в контексте одной учетной записи. Возможно, вы сможете получить доступ к ресурсу в другой учетной записи, но вы не сможете увидеть эти ресурсы вместе.

Итог, я не думаю, что вы используете организации так, как ожидается, что они будут использоваться. Если вы просто хотите, чтобы несколько разработчиков имели доступ к одной и той же информации, у вас должно быть несколько пользователей в одной учетной записи, или, что еще лучше, пользователи из единого входа могут войти в учетную запись с помощью предполагаемой роли. Если вы используете AWS Control Tower для создания своих учетных записей, она создаст для вас единый вход, и вы сможете добавлять пользователей в единый вход и предоставлять им доступ к различным учетным записям с различными разрешениями.