Как настроить несколько экземпляров AWS Connect из разных учетных записей с помощью единого входа AWS в учетной записи верхнего уровня? - PullRequest
Новая
       25

Как настроить несколько экземпляров AWS Connect из разных учетных записей с помощью единого входа AWS в учетной записи верхнего уровня?

0 голосов
/ 01 мая 2019

Я настраиваю нашу систему телефонии в AWS, и мы используем единый вход AWS для нашей основной аутентификации SAML. Это нормально работало для обычного доступа к консоли и консоли, но в некоторой степени боролось за внедрение Amazon Connect через конфигурацию облачных приложений единого входа.

Фон

Я выполнил проверку концепции с одним экземпляром Amazon Connect и смог объединить вход в систему с несколькими различными наборами разрешений для имитации доступа admin, developer и user для одного экземпляра. Это работало нормально, пока я не начал добавлять дополнительные экземпляры, и каждый раз, когда любой пользователь permission set пытается войти в Amazon Connect, он получает Session Expired на экране подключения.

Наша установка выглядит следующим образом:

  • Корневая учетная запись содержит каталог единого входа AWS
    • У учетной записи разработчика есть 1 экземпляр подключения на востоке
    • У учетной записи QA всего 2 экземпляра Connect на востоке и западе
    • У учетной записи Prod всего 2 экземпляра Connect на востоке и западе

Большая часть документации, которую я читал, кажется, предполагает, что экземпляры Amazon Connect находятся в той же учетной записи, что и служба Amazon SSO. Кроме того, в документации упоминается создание дополнительных IAM Identity Providers для каждого файла метаданных SAML экземпляра Amazon Connect и связанной с ним роли, которая позволяет пользователю единого входа получить доступ к этому экземпляру. Я вижу, как это будет работать в одной учетной записи, но я не понимаю, как принять роль доступа и реализовать ее как permissions policy в едином входе AWS для группы пользователей, которая регистрируется в экземпляре.

Я настроил все как можно ближе к Руководству по настройке Amazon Connect SAML , и я работаю над устранением неполадок в политике разрешений для настройки доступа, я просто в растерянности.

Если кто-либо ранее имел опыт работы с Amazon SSO или делал что-то подобное с Amazon Connect, это было бы очень признательно. Я просто хочу иметь возможность проверить, возможно ли это в текущей итерации Amazon SSO (с предоставлением более новой услуги), или нам нужно спроектировать и интегрировать сторонний SSO для Amazon Connect.

Спасибо!

...