我正在设置一个AWS账户,该账户将由员工组织用于EC2使用/实验。显然,我不想分发根登录信息或设置一个单独的IAM用户供所有人使用。不幸的是,我没有时间定期为每个人创建单独的IAM用户。
那么,有没有办法在首次登录尝试时根据给定电子邮件的域自动创建IAM用户?用户应该具有只读角色才能开始,然后管理员可以根据需要为每个用户提供更多角色。我愿意接受建议,也许是lambda函数或链接到身份提供者?
请记住,这些新的IAM用户需要有权访问AWS管理控制台,这不一定用于登录AWS上托管的应用程序。
更新:
继续使用亚马逊代码参考中的AWS Management Console Federation Proxy Sample,使用Microsoft Exchange托管电子邮件。
答案 0 :(得分:1)
如果您的现有身份提供商支持SAML2 Federation,您可以将其设置为登录AWS管理控制台。
有关详细信息,请参阅Enabling SAML 2.0 Federated Users to Access the AWS Management Console。
此外,您可以实施自定义联盟经纪人,以便在用户使用公司凭据进行身份验证后向用户返回URL。