AWS SSO: ฉันควรใช้ชุดสิทธิ์หรือบทบาท IAM หรือทั้งสองอย่าง

เรามีบัญชี AWS สำหรับ ผู้พัฒนา, จัดฉาก, และ แยง. เราใช้ AWS SSO ผ่าน Okta และกำหนดกลุ่มเช่น "นักพัฒนา" และ "การสนับสนุน" ใน Okta

กลุ่มนักพัฒนาควรมีสิทธิ์เข้าถึง AWS ของเราในวงกว้าง ผู้พัฒนา บัญชี แต่จำกัดการเข้าถึงใน จัดฉาก และ แยง. กลุ่มสนับสนุนควรมีสิทธิ์เข้าถึง AWS เช่นกัน แต่ยังมีสิทธิ์ที่แตกต่างกันตามบัญชี

ฉันจะอนุญาตให้สมาชิกกลุ่มเข้าสู่ระบบ แล้วมีสิทธิ์ที่เหมาะสมได้อย่างไร โดยขึ้นอยู่กับว่าพวกเขาเข้าถึงบัญชีใด

รายละเอียด:

AWS SSO ชุดสิทธิ์ เชื่อมโยงกับหน้าเริ่มต้นของ AWS ซึ่งแสดงรายการบัญชีที่ผู้ใช้มีสิทธิ์เข้าถึง และแสดงชุดสิทธิ์หนึ่งชุดขึ้นไปที่สามารถใช้ได้ ดูเหมือนว่าชุดสิทธิ์อนุญาตจะมุ่งเน้นไปที่การให้สิทธิ์ผู้ใช้ในการเข้าสู่ระบบหลายบัญชีด้วยสิทธิ์การเข้าถึงเดียวกัน ผู้ดูแลระบบอาจมี AWSAdministratorAccess ทั้งหมด และคนอื่นๆ อาจมี ReadOnlyAccess เป็นต้น

กรณีการใช้งานของฉันแตกต่างออกไป: ฉันต้องการสร้างการเข้าถึงที่แตกต่างกันโดยขึ้นอยู่กับบัญชีที่ผู้ใช้ระบุเข้าสู่ระบบ

ฉันคิดว่ามัน เป็นไปได้ ทำสิ่งนี้ด้วยชุดสิทธิ์ - เช่น นักพัฒนาซอฟต์แวร์, การแสดงละครของนักพัฒนา, นักพัฒนาผลิตภัณฑ์. แต่มันดูยุ่งสำหรับฉัน นอกจากนี้ ในความเป็นจริง เราจะมีหลายกลุ่ม (ทีมนักพัฒนา A, B, C) ซึ่งทุกคนต้องการการเข้าถึงที่แตกต่างกัน ดังนั้นจึงมีชุดสิทธิ์และบัญชีจำนวนมากระเบิด

ฉันต้องการให้นักพัฒนาเข้าสู่ระบบในชื่อ "นักพัฒนา" และขึ้นอยู่กับว่าบัญชีใดที่พวกเขาลงชื่อเข้าใช้เพื่อรับสิทธิ์ที่ถูกต้อง ที่ฉันสามารถทำได้ ที่สุด โดยใช้บทบาท IAM มาตรฐาน บทบาท "นักพัฒนา" ในการผลิตอาจเป็น การเข้าถึงแบบอ่านอย่างเดียวโดยที่ใน Staging อาจมีสิทธิ์เพิ่มเติม และใน dev อาจมี PowerUserAccess. เราจัดการสิ่งเหล่านี้โดยใช้ Terraform อยู่แล้ว

ฉันชอบหน้าเข้าสู่ระบบหลายบัญชี SSO ฉันชอบที่สามารถสลับบทบาท (และบัญชี) จาก AWS Console มีวิธีง่าย ๆ ที่ฉันเข้าใจผิดที่จะให้ฉันทำทั้งสองอย่างหรือไม่?