У нас есть 10+ учетных записей, сгруппированных под одной корневой учетной записью, все в одной организации. Наш оперативный персонал получает пользователя в учетной записи root и может получить доступ к любой «вспомогательной» учетной записи в организации, если у указанного пользователя есть необходимые разрешения (acceptRole).
Мне трудно предоставить нашим пользователям правильные разрешения (прикрепить политику), потому что IAM везде ограничен 10 элементами:
У нас более 10 субсчетов. Сначала я попытался прикрепить каждую учетную запись напрямую к пользователям или к группам, которые предоставляют доступ пользователям, но всегда достигал следующих ограничений:
Чтобы предоставить пользователям доступ к произвольному количеству учетных записей, мне нужно создать индивидуальную политику для каждого пользователя. Это единственный способ?
Изменить: перефразировать вариант использования:
У меня более 10 субсчетов в организации. У меня есть группа пользователей в аккаунте AWS для авторизации. Пользователи получают доступ к субсчетам через acceptRole от имени администратора. Мне нужен способ предоставить административный доступ каждому пользователю к подмножеству учетных записей. Список учетных записей, к которым пользователь может получить доступ как администратор, может меняться от пользователя к пользователю.
Я попытался создать группу для каждой учетной записи, к которой привязана нужная политика. Это позволяет мне предоставить пользователям права администратора, просто добавив пользователей с доступом в соответствующую группу. Поскольку у меня более 10 учетных записей, мне нужно, чтобы пользователи могли принадлежать более чем к 10 группам, что невозможно с AWS.