我为系统中的用户定义了一些 SSO 权限集。 这些与 IAM 角色相关联,其中定义了哪些策略附加到每个角色。
是否可以查看 SSO 权限集和连接角色之间的联系? 如果是在哪里?能否通过 AWS CLI 访问此信息?
<块引用>权限集存储在 AWS SSO 中,仅用于 AWS 帐户。它们不用于管理对云应用程序的访问。 权限集最终在给定的 AWS 账户中创建为 IAM 角色,并具有允许用户担任该角色的信任策略 通过 AWS SSO。
如果我理解正确:创建 SSO 权限集时,此权限集会自动生成 IAM 角色。更新权限集时,它还会更新连接的 IAM 角色。角色名称与 SSO 权限集名称匹配,角色名称前带有“AWSReservedSSO_”。
是否可以看到哪个权限集负责哪个角色,或者名称是此连接的唯一线索?
答案 0 :(得分:1)
也许 AWS 会为 tagging aws permissions sets 添加扩展此功能,并将它们传播到目标账户中的预配置角色,但目前尚不支持。
Tagging AWS Single Sign-On resources
<块引用>目前标签只能应用于权限集,不能应用于AWS SSO在AWS账户中创建的对应角色
我现在可以想到另外两种方法,一种是我自己使用的(roles descriptions)
permissions set 添加一个固定的策略,例如 arn:aws:iam::aws:policy/job-function/NetworkAdministrator 等。我们可以描述有关角色的权限,这将使我们对 permissions set 到 sso role
$ aws iam list-attached-role-policies --role-name AWSReservedSSO_NetworkAdminAccess_abcdec
{
"AttachedPolicies": [
{
"PolicyName": "AmazonVPCCrossAccountNetworkInterfaceOperations",
"PolicyArn": "arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations"
},
{
"PolicyName": "NetworkAdministrator",
"PolicyArn": "arn:aws:iam::aws:policy/job-function/NetworkAdministrator"
}
]
}
canned 策略时,我们创建了自己的 iam policy 并附加到 permissions set。在这种情况下,我们有 Description 字段可供我们使用,我们可以在那里获得必要的信息。例如:$ aws iam get-role --role-name AWSReservedSSO_ViewOnlyAccess_Support_bacdefasdasd
{
"Role": {
"Path": "/aws-reserved/sso.amazonaws.com/eu-central-1/",
"RoleName": "AWSReservedSSO_ViewOnlyAccess_Support_fsdfsdfds",
"RoleId": "dhjdhdhddadasd",
"Arn": "sso role arn",
"AssumeRolePolicyDocument": {}
"Description": "ViewOnlyAccess + allowed to create support tickets",
"RoleLastUsed": {}
}
}