Tham gia Đăng nhập
Điểm:1
Tom Harrison Jr avatar Server

AWS SSO: Tôi nên sử dụng Bộ quyền hoặc Vai trò IAM hay Cả hai?

lá cờ gu
Tom Harrison Jr

Chúng tôi có tài khoản AWS cho nhà phát triển, dàn dựng, và sản xuất. Chúng tôi sử dụng AWS SSO qua Okta và xác định các nhóm như "Nhà phát triển" và "Hỗ trợ" trong Okta.

Nhóm nhà phát triển phải có quyền truy cập rộng rãi vào AWS của chúng tôi nhà phát triển tài khoản, nhưng quyền truy cập hạn chế trong dàn dựngsản xuất. Nhóm hỗ trợ cũng phải có quyền truy cập AWS, nhưng cũng có các quyền khác nhau theo tài khoản.

Làm cách nào tôi có thể cho phép các thành viên nhóm đăng nhập, sau đó có các quyền phù hợp tùy thuộc vào tài khoản họ truy cập?

Chi tiết:

AWS SSO Bộ quyền được liên kết với Trang bắt đầu AWS. Điều này liệt kê các tài khoản mà người dùng có bất kỳ quyền truy cập nào và hiển thị một hoặc nhiều nhóm quyền mà họ có thể sử dụng. Bộ quyền dường như được định hướng xung quanh việc cấp cho người dùng khả năng đăng nhập vào một số tài khoản có cùng quyền truy cập -- tất cả quản trị viên có thể có AWSAdministratorAccess và những người khác có thể có ReadOnlyAccess chẳng hạn.

Tuy nhiên, trường hợp sử dụng của tôi thì khác: Tôi muốn tạo các quyền truy cập khác nhau tùy thuộc vào tài khoản mà một người dùng nhất định đăng nhập.

tôi nghĩ nó là khả thi để làm điều này với các bộ quyền - ví dụ: nhà phát triển-dev, lập trình viên, nhà phát triển-prod. Nhưng nó có vẻ lộn xộn với tôi. Ngoài ra, trên thực tế, chúng tôi sẽ có một số nhóm (nhóm nhà phát triển A, B, C), tất cả đều cần quyền truy cập khác nhau, do đó, có một sự bùng nổ về nhóm quyền và tài khoản.

Tôi muốn nhà phát triển đăng nhập với tư cách là "Nhà phát triển" và tùy thuộc vào tài khoản mà họ đăng nhập để có quyền phù hợp. tôi có thể làm phần lớn của điều này bằng cách sử dụng Vai trò IAM tiêu chuẩn. Vai trò "nhà phát triển" trong sản xuất có thể là ReadOnlyTruy cập, trong Staging nó có thể có một số quyền bổ sung và trong dev có thể có Quyền truy cập người dùng. Chúng tôi đã quản lý những thứ này bằng cách sử dụng Terraform.

Tôi thích trang đăng nhập nhiều tài khoản SSO. Tôi cũng thích khả năng chuyển đổi vai trò (và tài khoản) từ Bảng điều khiển AWS. Có cách tiếp cận đơn giản nào mà tôi đang hiểu nhầm sẽ cho phép tôi làm cả hai không?

296
0 + 0
lá cờ cn
ray sn0w
Tôi đang ở cùng hoàn cảnh với bạn, bây giờ bạn đã làm việc này được hai tháng, bạn có phiền khi trả lời câu hỏi của chính mình hoặc làm sáng tỏ những phát hiện của bạn không?
0
Hồi đáp
Tom Harrison Jr avatar
lá cờ gu
Tom Harrison Jr
Mẹo dành cho chúng tôi là Okta/SSO ánh xạ tới quyền sẽ đặt ánh xạ tới các vai trò IAM, từ đó ánh xạ tới RBAC trong k8s. Nhưng mỗi dịch vụ trong số hơn 100 dịch vụ của chúng tôi đều có vai trò RBAC giới hạn quyền truy cập. Vì vậy, trừ khi chúng tôi truyền bá từng dịch vụ thông qua chuỗi (một mớ hỗn độn), chúng tôi cần các perm rộng hơn ở cấp cao nhất (Okta) và hẹp hơn ở dưới cùng. Chúng tôi vẫn chưa hoàn toàn sắp xếp nó ra. Sẽ cho bạn biết nếu chúng tôi làm!
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.