多个组织通过Active Directory连接到一个集中式身份中心
0
【以下的问题经过翻译处理】 目前有几个组织A、B和C。IAM用户由组织A的成员账户(同时托管git存储库)创建。这些IAM用户目前使用跨账户Assume Role方式访问其他组织成员账户托管的AWS资源。我知道你们会问为什么不把所有账户都放到一个组织下,这是因为这些组织需要保持独立的计费,因为它们在公司隶属于不同部门运营。
现在,我们要使用组织A的AWS IAM Identity Center并连接到Active Directory。以下是问题:
- 带有活动目录与IAM用户集成的组织A会影响他们对其他组织成员账户的跨账户Assume Role吗?[根据文档,将对AD用户/组进行IAM用户/组的映射]
- 目前,组织B和C的IAM用户在没有AD的情况下使用跨账户Assume Role运作得非常好,但是需要把他们各自的Identity Center连接到相同的Active Directory吗?
- 连接到Active Directory后,组织B和C需要复制在组织A中创建的IAM用户吗?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 当使用AWS IAM Identity Center时,与IAM用户并没有关系。IAM用户与Identity Center用户完全独立。 如果您只想在OrgA中配置Identity Center一次,则可以在OrgB和OrgC的每个帐户中创建新的可被Assume的角色。 但是,如果您已为每个组织分别配置了Identity Center(如果是我的话,我会这么做),那么您可以把这些Identity Center都链接到外部身份提供程序,这样就可以在外部身份提供程序中统一管理用户,并且可以更轻松地管理每个组织中账户之间的细粒度权限,而不是在其他账户中部署唯一的可Assume角色。 您可以将Identity Center与当前的IAM用户方式并行使用,这并且不会产生冲突。直到您的Identity Center配置已经完全满足需求之后,您可以考虑终止IAM用户的控制台访问,之后仅把IAM用户用于程序(非人类)访问的情况。
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 1 年前
- AWS 官方已更新 10 个月前
- AWS 官方已更新 2 年前