AWS SSO + 身份策略创建
AWS SSO + Identity Policy creation
我们在组织根帐户中启用并配置了 SSO (Azure AD) 身份验证。我正在一个子账户中处理 Terraform 模块,该模块需要在它创建的 EC2 实例上向一组 SSO 用户授予权限(在本例中 - ssm:StartSession)。但是,我无法将新策略附加到用户的 SSO 角色,因为这些角色是由 AWS SSO 创建的,不能直接修改。
如何向特定 user/group 添加身份策略?如果需要,我确实可以访问根组织帐户,但我想要一种完全自动化的方式(当然是使用 Terraform)
However, I cannot attach a new policy to the SSO roles of the users, since the roles are created by AWS SSO and cannot be modified directly.
Terraform aws 提供程序具有将托管策略或内联策略(在您的用例中需要)附加到权限集的资源:
- Resource: aws_ssoadmin_managed_policy_attachment
- Resource: aws_ssoadmin_permission_set_inline_policy
必须在 SSO 管理帐户下创建权限集和内联策略。 Create a new permission set and inline policy and assign groups with new permissions by using aws_ssoadmin_account_assignment
如果您想在多个帐户上部署资源,可以为 Terraform 创建多帐户设置。 here.
描述了一种实现此目的的方法
我们在组织根帐户中启用并配置了 SSO (Azure AD) 身份验证。我正在一个子账户中处理 Terraform 模块,该模块需要在它创建的 EC2 实例上向一组 SSO 用户授予权限(在本例中 - ssm:StartSession)。但是,我无法将新策略附加到用户的 SSO 角色,因为这些角色是由 AWS SSO 创建的,不能直接修改。
如何向特定 user/group 添加身份策略?如果需要,我确实可以访问根组织帐户,但我想要一种完全自动化的方式(当然是使用 Terraform)
However, I cannot attach a new policy to the SSO roles of the users, since the roles are created by AWS SSO and cannot be modified directly.
Terraform aws 提供程序具有将托管策略或内联策略(在您的用例中需要)附加到权限集的资源:
- Resource: aws_ssoadmin_managed_policy_attachment
- Resource: aws_ssoadmin_permission_set_inline_policy
必须在 SSO 管理帐户下创建权限集和内联策略。 Create a new permission set and inline policy and assign groups with new permissions by using aws_ssoadmin_account_assignment
如果您想在多个帐户上部署资源,可以为 Terraform 创建多帐户设置。 here.
描述了一种实现此目的的方法