Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

多个组织通过Active Directory连接到一个集中式身份中心

0

【以下的问题经过翻译处理】 目前有几个组织A、B和C。IAM用户由组织A的成员账户(同时托管git存储库)创建。这些IAM用户目前使用跨账户Assume Role方式访问其他组织成员账户托管的AWS资源。我知道你们会问为什么不把所有账户都放到一个组织下,这是因为这些组织需要保持独立的计费,因为它们在公司隶属于不同部门运营。

现在,我们要使用组织A的AWS IAM Identity Center并连接到Active Directory。以下是问题:

  • 带有活动目录与IAM用户集成的组织A会影响他们对其他组织成员账户的跨账户Assume Role吗?[根据文档,将对AD用户/组进行IAM用户/组的映射]
  • 目前,组织B和C的IAM用户在没有AD的情况下使用跨账户Assume Role运作得非常好,但是需要把他们各自的Identity Center连接到相同的Active Directory吗?
  • 连接到Active Directory后,组织B和C需要复制在组织A中创建的IAM用户吗?
Themen
Sicherheit, Identität & KonformitätManagement & Unternehmensführung
Tags
AWS Directory ServiceAWS OrganisationenAWS IAM Identitätszentrum
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten36 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 当使用AWS IAM Identity Center时,与IAM用户并没有关系。IAM用户与Identity Center用户完全独立。 如果您只想在OrgA中配置Identity Center一次,则可以在OrgB和OrgC的每个帐户中创建新的可被Assume的角色。 但是,如果您已为每个组织分别配置了Identity Center(如果是我的话,我会这么做),那么您可以把这些Identity Center都链接到外部身份提供程序,这样就可以在外部身份提供程序中统一管理用户,并且可以更轻松地管理每个组织中账户之间的细粒度权限,而不是在其他账户中部署唯一的可Assume角色。 您可以将Identity Center与当前的IAM用户方式并行使用,这并且不会产生冲突。直到您的Identity Center配置已经完全满足需求之后,您可以考虑终止IAM用户的控制台访问,之后仅把IAM用户用于程序(非人类)访问的情况。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt