amazon-web-services - 面向开发人员的 AWS IAM 访问(沙盒)

Question

我找到了一些讨论这个问题的文章/帖子，但没有确定的解决方案可以满足我的需求。

我的公司使用带有 SSO 的 AWS 登陆区。迄今为止，云团队一直在创建 IAM 角色/策略，开发人员需要这些角色/策略来试验服务和创建概念验证，但是，开发人员提出这太慢/限制性太强，并要求能够创建 IAM他们在发展账户中需要的政策/角色。我处于一种棘手的情况，既要保持我们 AWS 环境的完整性，又要不阻碍开发人员的实验和创新。

是否有推荐的管理方法？例如，我曾想过只允许传递以“dev/”路径为前缀的角色，但这并没有解决创建新角色或策略的问题，开发人员可以允许 iam:/resource:。我还想提供一个与环境的其余部分(网络、本地 IAM 用户而不是 SSO)断开连接的新沙箱帐户，以减少任何开发人员错误配置的影响范围。与公司的唯一联系是计费在公司 AWS 组织下进行整合。

目前，已为开发人员分配了 PowerUser 访问权限以及一些关键的 IAM 操作，例如他们开发帐户中的 PassRole。我们的大多数开发人员都是 AWS 的新手，因此通过控制台管理此沙盒帐户(而不是通过 CI/CD 管道)更可取。

任何建议表示赞赏!

谢谢，约翰

Answer 1

关于我公司如何解决您的部分问题的一些提示(该公司是一家拥有亚马逊专门架构支持的企业。我不知道他们是否严格遵循亚马逊的建议，但请记住这一点)

• 所有用户都是在中央公司帐户中创建的，没有权限，所有账单委托(delegate)给特定的账单账户。
• 然后所有用户都必须在各自的工作帐户(Developer@SalesAccount 或 Manager@MarketingAccount)中担任该角色
• Permission boundaries设置为防止 IAM 用户授予超出其自身权限级别的权限
• SCP在适当的地方应用