我发现了一些文章/帖子讨论了这个问题,但没有满足我需求的最终解决方案。
我的公司使用带有SSO的AWS着陆区。到目前为止,云团队一直在创建IAM角色/策略,这些角色/策略是开发人员试验服务和创建概念证明所需的,然而,开发人员认为这太慢/限制性太强,并要求能够在其开发帐户中创建所需的IAM策略/角色。我的处境很棘手,既要保持AWS环境的完整性,又要不阻碍开发人员的实验和创新。
是否有推荐的管理方法?我曾想过只允许传递前缀为"的角色;dev/";例如,但这并不涉及创建新的角色或策略,开发人员可以允许iam:/resource:。我还想提供一个新的沙箱帐户,该帐户与环境的其他部分(网络、本地IAM用户而不是SSO(断开连接,以减少任何开发人员错误配置的爆炸半径。与该公司的唯一联系是,将账单合并到AWS组织下。
目前,开发人员已被分配PowerUser访问权限以及一些关键IAM操作,如开发帐户中的PassRole。我们的大多数开发人员都是AWS的新手,因此对于这个沙箱帐户来说,通过控制台进行管理更可取(而不是通过CI/CD管道(。
欢迎提出任何建议!
谢谢,约翰·
关于我的公司如何解决您的部分问题的一些提示(该公司是一家拥有亚马逊专门架构支持的企业。我不知道他们是否严格遵循亚马逊的建议,所以请记住这一点(
- 所有用户都是在中央公司帐户中创建和管理的,没有任何权限,所有计费代理都属于特定的计费帐户
- 然后,所有用户都必须在各自的工作帐户(Developer@SalesAccount或Manager@MarketingAccount(
- 设置权限边界是为了防止IAM用户授予的权限超过其自己的权限级别
- SCP适用于适当情况