我在AWS中拥有多个帐户,并将访问权限限制为特定人员。用户将登录到主帐户并切换到其他成员帐户,前提是他们有权切换到该帐户。访问是由附加到组的策略授予或限制的。该用户将属于该组的任何一个。
假设我们有一个主帐户,5个成员帐户(A,B,C,D和E),5个用户(joe,foo,john,dave和bar)和2个组(产品和非产品)。这5个用户将全部进行一次身份验证,成功登录后,用户将使用切换角色功能切换到会员帐户。假设joe是dev用户,那么他将成为non-prod组的一部分,该组将具有允许切换到非prod帐户(Granting a User Permissions to Switch Roles)的策略。由于这项政策,乔将无法切换到帐户D和E。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::ACCOUNT-A:role/PowerUser",
"arn:aws:iam::ACCOUNT-B:role/PowerUser",
"arn:aws:iam::ACCOUNT-C:role/PowerUser",
]
}
}
我的问题是,我有50个以上的帐户和15个用户组(基于作业功能),每当我们获得一个新帐户时,我们都必须修改政策以添加该帐户并将其附加到这15个组中。是否有更好的自动化方法来管理此问题?