AWS 多租户 ECAM 模型中,如何允许成员账户管理 SSO 用户权限

已于 2024-08-30 00:50:32 修改
阅读量956 收藏 17
点赞数 35
分类专栏: AWS 小技巧 文章标签: aws 云计算
于 2024-08-29 23:51:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42586169/article/details/141691060
版权

💡 本文所述所有 “SSO” 均指代 “AWS IAM Identity Center”

背景描述

下图展示了多租户 ECAM 模型的结构(End customer account model)

参考文档 —— AWS 合作伙伴如何确定组织中的 AWS 支持计划: How AWS Partners can determine AWS Support plans in an organization | AWS Cloud Operations & Migrations Blog

在多租户 ECAM 架构下,成员账户只能创建 SSO 账户实例。在 SSO 账户实例中,只能创建用户、用户组、应用程序。在账户实例中创建的用户只能访问特定的 SAML 2.0 或 OAuth 2.0 应用程序。

仅在 Payer 的 SSO 实例中可以进行 SSO 权限集 (PermissionSet) 的管理,允许 SSO 用户登录进 AWS 控制台,并通过 IAM Policy 限制其访问权限。

下图展示了 SSO 组织实例和账户实例的控制台的区别(左为组织实例,右为账户实例)

参考文档 —— IAM Identity Center 的账户实例: IAM身份中心的账户实例 - AWS IAM Identity Center

实现手段

参考文档 —— 在 AWS IAM Identity Center 中委托权限集管理和帐户分配: Delegating permission set management and account assignment in AWS IAM Identity Center | AWS Security Blog

在 Payer 中创建一个 IAM Policy,授予目标 IAM 实体对于 SSO、Organization 等的读取权限:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSSSOReadOnly",
			"Effect": "Allow",
			"Action": [
				"iam:ListPolicies",
				"organizations:DescribeOrganization",
				"organizations:DescribeAccount",
				"organizations:ListParents",
				"organizations:ListChildren",
				"organizations:ListAccounts",
				"organizations:ListRoots",
				"organizations:ListAccountsForParent",
				"organizations:ListOrganizationalUnitsForParent",
				"organizations:ListDelegatedAdministrators",
				"sso:Describe*",
				"sso:Get*",
				"sso:List*",
				"sso:Search*",
				"sso-directory:DescribeDirectory",
				"access-analyzer:ValidatePolicy",
				"signin:ListTrustedIdentityPropagationApplicationsForConsole"
			],
			"Resource": "*"
		},
		{
			"Sid": "PermissionSet",
			"Effect": "Allow",
			"Action": [
				"sso:CreatePermissionSet",
				"sso:DeletePermissionSet",
				"sso:ProvisionPermissionSet",
				"sso:AttachManagedPolicyToPermissionSet",
				"sso:AttachCustomerManagedPolicyReferenceToPermissionSet"
			],
			"Resource": "arn:aws:sso:::permissionSet/<ssoins-1234567abcdefg>/<ps-1234567abcdefg>"
		},
		{
			"Sid": "UserAndGroup",
			"Effect": "Allow",
			"Action": [
				"sso-directory:DescribeUsers",
				"sso-directory:DescribeUser",
				"sso-directory:SearchUsers",
				"sso-directory:CreateUser",
				"sso-directory:DeleteUser",
				"sso-directory:EnableUser",
				"sso-directory:DisableUser",
				"sso-directory:UpdateUser",
				"sso-directory:UpdateUserName",
				"sso-directory:UpdateMfaDeviceForUser",
				"sso-directory:DeleteMfaDeviceForUser",
				"sso-directory:ListGroupsForUser",
				"sso-directory:ListMfaDevicesForUser",
				"sso-directory:GetUserPoolInfo",
				"sso-directory:DescribeUserByUniqueAttribute",
				"sso-directory:DescribeGroups",
				"sso-directory:ListGroupsForMember",
				"sso-directory:SearchGroups",
				"sso-directory:CreateGroup",
				"sso-directory:DescribeGroup",
				"sso-directory:IsMemberInGroup",
				"sso-directory:ListMembersInGroup",
				"sso-directory:AddMemberToGroup",
				"sso-directory:DeleteGroup",
				"sso-directory:RemoveMemberFromGroup",
				"sso-directory:UpdateGroup",
				"sso-directory:UpdateGroupDisplayName"
			],
			"Resource": ""
		},
		{
			"Sid": "CreateAccountAssignment",
			"Effect": "Allow",
			"Action": [
				"sso:CreateAccountAssignment",
				"sso:DeleteAccountAssignment"
			],
			"Resource": [
				"arn:aws:sso:::instance/<ssoins-1234567abcdefg>",
				"arn:aws:sso:::permissionSet/<ssoins-1234567abcdefg>/*",
				"arn:aws:sso:::account/<linked-account-id>"
			]
		}
	]
}

在 Payer 中创建一个 IAM Role 给 LinkedAccount,并将刚才创建的 Policy 附加给 Role:

LinkedAccount 通过 SwitchRole 登陆进 Payer 的 AWS Console,他将可以实现以下操作:

  1. AWS SSO 只读操作 (AWSSSOReadOnly):

    • 列出 IAM 策略(对于权限集设置非常重要)
    • 查看组织结构和账户信息
    • 查看和搜索 SSO 相关信息
    • 描述 SSO 目录
    • 验证策略
    • 列出可信身份传播应用程序

  2. 权限集管理 (PermissionSet):

    • 创建、删除和配置权限集
    • 将托管策略和客户管理的策略附加到权限集

    此处可以根据实际需求,添加条件以限制这个 IAM 实体仅能更新某几个权限集。 但前提是需要先将权限集创建出来,才能拿到 arn 来限制更新权限集的范围。

  3. 用户和组管理 (UserAndGroup):

    • 创建、删除、启用、禁用和更新用户
    • 管理用户的MFA设备
    • 创建、删除和更新组
    • 管理组成员
    • 查看和搜索用户和组信息

  4. 账户分配管理 (CreateAccountAssignment):

    • 创建和删除账户分配(仅限于特定的 SSO 实例、权限集和链接账户)

方案限制

  • AWS 的 List 操作没办法使用 Resource/Condition 限制范围,因此带来以下问题:
    • 客户可以看到组织内所有 AWS Account 信息:
      • 名称
      • ID
      • ARN
      • 电子邮件
      • 加入时间
    • 如果有其他人在使用 Payer SSO,客户可以看到其他人的 SSO 用户/用户组/权限集
      • 无法限制客户仅对某几个 SSO 用户/用户组进行操作,因为 SSO 用户/用户组没有 arn 也不能打 tag,因此没办法使用 Resource/Condition 进行限制
        • 可以考虑移除 Policy 中 Delete/Update User/UserGroup 的操作,最大程度保证同时多家客户使用 Payer SSO 时的最低安全性
      • 可以使用 Resource 限制客户仅能更新某几个权限集:
        • 前提是必须先创建出权限集,再修改 IAM Policy
        • 所以创建权限集的操作必须由 Payer 的管理员先进行,再允许客户 Update 权限集

Christina Tii
关注
专栏目录
开启AWS的ubuntu服务器的root用户登录权限
知了只有一夏
11-05 2177
解决报错内容 Please login as the user "ubuntu" rather than the user "root".
terraform-aws-accounts-reference:用于通过Terraform管理AWS账户环境的参考实现
02-04
AWS Organizations是AWS提供的一种集管理服务,允许用户在一个单一的控制台下管理多个AWS账户。通过这个服务,你可以创建组织单元,将账户分组,并应用统一的服务控制策略(SCP)。在“terraform-aws-accounts-...
aws账户 iam用户_在多账户组织管理AWS用户和角色
weixin_26752759的博客
09-16 1893
在多账户组织管理AWS用户和角色 (Managing AWS Users and Roles in a Multi-Account Organization)My last post compared different infrastructure tools for creating users and letting them assume roles for cross-accoun...
[ 云计算 | AWS ] IAM 详解以及如何在 AWS 直接创建 IAM 账号
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
07-03 1万+
AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助你安全地控制对 AWS 资源的访问。借助 IAM,你可以集管理控制用户可访问哪些 AWS 资源的权限。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(拥有权限)来使用资源。IAM 是 Identity and Access Management 的缩写,即身份与访问管理,或称为身份管理与访问控制。IAM 主要为了达到一个目的:让恰当的人或物,有恰当的权限,访问恰当的资源。
AWS账户单点登录 IAM Identity Center(AWS SSO
大鹅的博客
08-03 2340
登录到对应账号即可,其实就是IAM Identity Center 会帮你在对应的账号创建对应IAM角色 然后你使用sso的账号去代入到对应账号的IAM。开启之后可以分配成员账户为IAM Identity Center的委托管理者,即其他账号也能管理这服务控制台。第一步,创建登陆的实体 用户 ,组可以简化我们重复的步骤,给组配权限,再给用户分配对应的组。这个就是登录地址 使用刚创建的用户登录即可。略过,非常简单创建即可,忘记密码重置即可。委托管理员能干的事情。
利用Amazon Bedrock畅玩Claude 3等多种领先模型,抢占AI高地(体验倒计时4小时)
热门推荐
指剑
03-10 24万+
快乐的时间总是短暂的,Claude 3 在亚马逊云科技上限时体验仅剩4小时,上次分享了入门级操作教程,本期给大家带来AWS Lambda + Amazon Bedrock一起构建可以便捷使用的Claude 3接口。
删除AWS绑定的信用卡账户
叱咤少帅的博客
07-01 7174
解绑AWS 信用卡
在Moodle集成ONLYOFFICE:学习管理+文档功能全面指南
颜淡慕潇
08-15 2万+
在Moodle集成ONLYOFFICE后,用户可直接在平台内上传、新建并编辑文档、表格、幻灯片,利用ONLYOFFICE的丰富功能提升工作效率和创作体验。本文将详细指导您如何在Moodle深度集成ONLYOFFICE文档,从安装配置到高效协作,一步步带您领略其强大功能。
AWS(EC2)助我实现项目管理应用上云
小虚竹的专栏
05-23 6万+
AWS(EC2)助我实现项目管理应用上云
纯干货,如何成功使用 Claude 3 Opus模型
学Java,找哪吒
04-18 1万+
AWS是全球最全面、最广泛采纳的云端,包括基础设施即服务(IaaS)和平台即服务(PaaS)产品。AWS 服务提供面向计算、存储、数据库和分析等领域的可扩展解决方案。
cognitex:用于通过AWS Cognito服务管理用户账户的库
02-05
Cognitex 是一个专门针对AWS Cognito服务的Elixir库,它为开发者提供了一种方便的方式来集成和管理Cognito用户账户。Elixir是一种函数式编程语言,常被用于构建高性能、可扩展的Web应用。Cognitex库使得在Elixir应用...
terraform-aws-sso:用于管理AWS Single Sign-On(SSO)资源的Terraform模块
04-19
此模块处理AWS SSO权限集的创建以及对AWS SSO实体和AWS账户的分配。 先决条件 在使用此模块之前,请确保满足以下先决条件: 启用AWS Organizations并添加要由SSO管理AWS账户。 启用AWS SSO。 。 创建AWS SSO...
aws-sso:适用于AWS SSO凭证的命令行工具
05-02
该软件包提供了一个命令行界面,可通过获取AWS凭证。 aws-cli软件包适用于Python版本: 3.7.x及更高版本 注意力! 该软件包依赖和Google Chrome才能工作。 因此,您需要安装和 。 这是在macOS上开发和测试的,...
aws-inventory:发现在AWS账户创建的资源
01-29
该生态系统允许用户将许多不同的服务组合在一起,以形成定制的云体验。 即时大规模扩展服务的能力带来了可管理性成本。 很快就难以对正在使用的资源的AWS账户进行审核。 这不仅对计费很重要,而且对安全性也很重要...
AWS IoT Core for Amazon Sidewalk
最新发布
Victor随笔集
10-01 698
在测试Sidewalk时,device发送数据,网关接收到,网关通过网络发送给NS,而此处用到的NS是AWS IoT,本章介绍NS与本地device绑定时的操作。
解决AWS Organizatiion邀请多个Linker账号数量限额问题
宝耶需努力的技术分享博客
09-30 525
AWS Organizations 是一项账户管理服务,Organizations 是一项物理托管在美国东部(弗吉尼亚北部)区域(us-east-1)的全球服务。使您能够将多个AWS 账户整合到您创建并集管理的组织AWS Organizations 包含账户管理和整合账单功能,可利用这些功能更好地满足企业的预算、安全性和合规性需求。作为组织的管理员,您可以在组织创建账户并邀请现有账户加入组织。集管理您的所有 AWS 账户所有成员账户的整合账单对账户进行分层分组以满足预算、安全性或合规性需求。
誉天Linux云计算课程学什么?为什么保障就业?
09-29 1226
誉天Linux云计算课程学什么?为什么保障就业?
Linux云计算 |【第四阶段】RDBMS1-DAY5
小安的运维专栏
09-29 1178
视图概述(创建视图VIEW、修改、查看、删除)、变量(全局变量、会话变量、用户变量、局部变量)、存储过程(创建、调用、删除存储过程)、流程控制结构(分支结构:if/case、循环结构while/loop/repeat)
探索AWS IAM:用户管理与权限控制实战
身份与访问管理(Identity and Access Management, IAM)是亚马逊网络服务(AWS)提供的一项关键服务,用于在AWS云平台上集管理和控制用户的身份验证、授权以及访问权限。IAM的主要目标是确保组织对AWS资源的访问...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值