在我的雇主处,我们有一个AWS帐户,该帐户使用SAML 2.0来联合从公司SSO登录到AWS控制台的用户访问权限。最终结果是每个人都具有管理员访问权限。有没有办法将联盟用户置于不同的IAM组中,从而提供最少的特权访问?
我们想到的答案是,所有联盟用户对控制台的访问都非常有限,而没有编程访问权限。然后,为每个人创建单独的IAM用户以进行编程访问(无需控制台登录),并将这些单独的用户放入具有不同访问权限的IAM组中。这种方法会被认为是最佳实践,还是有更好的方法来完成我们在这种情况下想要做的事情?
答案 0 :(得分:0)
最佳做法是使用组为每个用户类别设置权限(策略)。
通过以下方式授予用户SSO访问您组织中的AWS帐户的权限 从由AWS SSO填充的列表中选择AWS账户,然后 从目录和权限中选择用户或组 想授予他们。
答案 1 :(得分:0)
您的SSO SAML 2.0提供程序应该能够在登录时将角色信息传递给AWS。然后,您可以在AWS中设置相应的IAM角色。
我们将Azure AD用于SSO,并使用以下示例进行设置:https://blog.flux7.com/aws-best-practice-azure-ad-saml-authentication-configuration-for-aws-console
基本上,您可以创建Azure AD安全组并将其映射到IAM角色。