SSO 权限集与 IAM 角色的关联

问题描述 投票:0回答:1

我为系统中的用户定义了一些 SSO 权限集。 这些连接到 IAM 角色,其中定义了哪些策略附加到每个角色。

是否可以查看 SSO 权限集和连接角色之间的连接? 如果是的话在哪里?可以通过 AWS CLI 访问此信息吗?

来自 AWS 文档

权限集存储在AWS SSO中,仅用于AWS 账户。它们不用于管理对云应用程序的访问。 权限集最终在给定 AWS 账户中创建为 IAM 角色,并具有允许用户代入该角色的信任策略 通过 AWS SSO。

如果我理解正确的话:当创建SSO权限集时,该权限集会自动生成IAM角色。更新权限集时,它还会更新连接的 IAM 角色。角色名称与 SSO 权限集的名称匹配,角色名称前面带有“AWSReservedSSO_”。

是否可以查看哪个权限集负责哪个角色,或者名称是此连接的唯一线索?

amazon-web-services amazon-iam
1个回答
3
投票

也许 AWS 会为 

tagging
aws 
permissions sets
添加扩展此功能,并将它们传播到目标账户中的预配置角色,但截至目前,尚不支持。

标记 AWS Single Sign-On 资源

目前,标签只能应用于权限集,无法应用于 AWS SSO 在 AWS 账户中创建的相应角色

我现在还有两种想法,一种是我自己用的(

roles descriptions
)

  1. 我认为大多数时候我们最终都会为 
    permissions set
    添加固定政策,例如 
    arn:aws:iam::aws:policy/job-function/NetworkAdministrator
    等。

我们可以描述相关角色的权限,这将使我们更有信心 

permissions set
sso role

$ aws iam list-attached-role-policies --role-name AWSReservedSSO_NetworkAdminAccess_abcdec
{
 "AttachedPolicies": [
   {
    "PolicyName": "AmazonVPCCrossAccountNetworkInterfaceOperations",
    "PolicyArn": "arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations"
        },
        {
            "PolicyName": "NetworkAdministrator",
            "PolicyArn": "arn:aws:iam::aws:policy/job-function/NetworkAdministrator"
        }
    ]
}
    我们可以考虑的
  1. 选项,当我们不使用上面的
    canned
    政策时,我们创建了自己的
    iam policy
    并附加到
    permissions set
    。 在这种情况下,我们可以使用 
    Description
    字段,并且可以在其中获取必要的信息。例如:
$ aws iam get-role --role-name AWSReservedSSO_ViewOnlyAccess_Support_bacdefasdasd
{
    "Role": {
        "Path": "/aws-reserved/sso.amazonaws.com/eu-central-1/",
        "RoleName": "AWSReservedSSO_ViewOnlyAccess_Support_fsdfsdfds",
        "RoleId": "dhjdhdhddadasd",
        "Arn": "sso role arn",
        "AssumeRolePolicyDocument": {}
        "Description": "ViewOnlyAccess + allowed to create support tickets",
        "RoleLastUsed": {}
    }
}
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.