înregistrare Logare
Puncte:1
Tom Harrison Jr avatar Server

AWS SSO: Ar trebui să folosesc seturi de permisiuni sau roluri IAM sau ambele?

drapel gu
Tom Harrison Jr

Avem conturi AWS pentru dev, punerea în scenă, și prod. Folosim AWS SSO prin Okta și definim grupuri precum „Developers” și „Support” în Okta.

Grupul de dezvoltatori ar trebui să aibă acces larg la AWS nostru dev cont, dar acces limitat în punerea în scenă și prod. Grupul de asistență ar trebui să aibă și acces AWS, dar și permisiuni diferite în funcție de cont.

Cum pot permite membrilor grupului să se conecteze, apoi să aibă permisiuni adecvate în funcție de contul pe care îl accesează?

Detalii:

AWS SSO Seturi de permisiuni sunt legate la pagina de pornire AWS. Aceasta listează conturile la care un utilizator are acces și afișează unul sau mai multe seturi de permisiuni pe care le poate folosi. Seturile de permisiuni par să fie orientate spre acordarea utilizatorilor de posibilitatea de a se conecta la mai multe conturi cu același acces -- toți administratorii ar putea avea AWSAdministratorAccess, iar alții ar putea avea ReadOnlyAccess, de exemplu.

Totuși, cazul meu de utilizare este diferit: vreau să creez accesuri diferite în funcție de contul la care se conectează un anumit utilizator.

Cred ca este posibil pentru a face acest lucru cu seturi de permisiuni - de ex. dezvoltator-dezvoltator, developer-staging, dezvoltator-prod. Dar mi se pare dezordonat. De asemenea, în realitate, vom avea un număr de grupuri (echipa de dezvoltatori A, B, C) care au nevoie de acces diferit, așa că există o explozie de seturi de permisiuni și conturi.

Aș dori ca un dezvoltator să se conecteze ca „Dezvoltator” și, în funcție de contul la care se conectează, obține permisiunile potrivite. pot sa fac cel mai acest lucru folosind Roluri IAM standard. Rolul de „dezvoltator” în producție ar putea fi ReadOnlyAccess, unde în Staging ar putea avea unele permisiuni suplimentare, iar în dev ar putea avea PowerUserAccess. Gestionăm astfel de lucruri folosind Terraform deja.

Îmi place pagina de conectare SSO cu mai multe conturi. Îmi place, de asemenea, posibilitatea de a schimba rolurile (și conturile) din Consola AWS. Există o abordare simplă pe care o înțeleg greșit, care să mă permită să le fac pe amândouă?

296
0 + 0
drapel cn
ray sn0w
Sunt în aceeași barcă cu tine, acum că faci asta de două luni, ai vrea să-ți răspunzi la întrebarea ta sau să faci puțină lumină asupra constatărilor tale?
0
Răspunde
Tom Harrison Jr avatar
drapel gu
Tom Harrison Jr
Trucul pentru noi este că Okta/SSO se mapează la seturi de permisiuni mapează la roluri IAM care, la rândul lor, se mapează la RBAC în k8s. Dar fiecare dintre cele peste 100 de servicii noastre au roluri RBAC care limitează accesul. Deci, dacă nu propagam fiecare serviciu în sus prin lanț (o mizerie), avem nevoie de permanente mai largi la nivelul superior (Okta) și mai înguste în partea de jos. Încă nu am rezolvat tocmai asta. Vă anunțăm dacă facem!
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.