我正在设置一个 AWS 账户,该账户将由员工组织用于 EC2 使用/实验。显然,我不想分发根登录信息或设置一个 IAM 用户供所有人使用。不幸的是,我没有时间定期为每个人创建单独的 IAM 用户。
那么,有没有办法在第一次登录尝试时根据给定电子邮件的域自动创建 IAM 用户?用户应具有只读角色才能开始,然后管理员可以根据需要为每个用户提供更多角色。我愿意接受建议,也许是 lambda 函数或链接到身份提供程序?
请记住,这些新的 IAM 用户需要有权访问 AWS 管理控制台,这不一定用于登录 AWS 上托管的应用程序。
更新:
继续使用Amazon 代码参考中的此 AWS 管理控制台联合代理示例,与 Microsoft Exchange 托管电子邮件一起使用。
如果您现有的身份提供商支持 SAML2 联合身份验证,则可以将其设置为登录到 AWS 管理控制台。
有关更多详细信息,请参阅使 SAML 2.0 联合身份用户能够访问 AWS 管理控制台。
或者,您可以实现自定义联合身份验证代理,以便在用户使用其公司凭据进行身份验证后向用户返回 URL。
有关更多详细信息,请参阅创建使联合身份用户能够访问 AWS 管理控制台(自定义联合代理)的 URL。