Моя организация использует SSO для доступа к AWS, поэтому имена наших учетных записей выглядят примерно так:
GodSSO/owner@domain.comDevSSO/coder@domain.comDevSSO/writer@domain.comReadSSO/auditor@domain.comReadSSO/marketing@domain.comя owner@domain.com поэтому, когда я вхожу в систему, я использую учетную запись GodSSO/owner@domain.com какая роль имеет разрешение на исполнение quicksight::CreateUser и quicksight::CreateAdmin. Я могу получить доступ к QuickSight и заполнить форму «создать пользователя для себя», которая создает пользователя с правами администратора в QuickSight с именем пользователя. GodSSO/owner@domain.com и электронная почта owner@domain.com.
Если бы я дал DevSSO разрешение роли для создания пользователей, затем coder@domain.com может создать пользователя QuickSight с именем пользователя DevSSO/coder@domain.com и электронная почта coder@domain.com, и доступ к QuickSight через консоль AWS при входе в систему через SSO. Однако я не хочу давать им это разрешение, потому что я не хочу, чтобы они создавали дополнительных пользователей.
Войдя в систему как я, я могу использовать функцию "Пригласить пользователей" интерфейса QuickSight, чтобы отправить приглашение coder@domain.com который создает пользователя QuickSight с именем пользователя и адресом электронной почты coder@domain.com, на который они будут приглашены по электронной почте и будут иметь доступ вне системы единого входа.
Я не могу найти какой-либо интерфейс или процесс, которые позволили бы мне создать учетную запись с возможностью единого входа, которую они могли бы создать для себя, если бы у них было разрешение на это. Является ли это возможным? Как?