amazon-web-services - 面向开发人员的 AWS IAM 访问权限（沙盒）

问题描述

我发现了一些讨论这个问题的文章/帖子，但没有明确的解决方案可以满足我的需求。

我的公司使用带有 SSO 的 AWS 登陆区。迄今为止，云团队一直在创建开发人员试验服务和创建概念验证所需的 IAM 角色/策略，但是，开发人员提出这太慢/限制性太强，并要求能够创建 IAM他们在发展账户中需要的政策/角色。我处于一个棘手的境地，既要保持 AWS 环境的完整性，又不妨碍开发人员的实验和创新。

有没有推荐的方法来管理这个？例如，我曾想过只允许传递前缀为“dev/”的角色，但这并没有解决创建新角色或策略的问题，开发人员可以允许 iam: /resource:。我还想提供一个与环境的其余部分（网络、本地 IAM 用户而不是 SSO）断开连接的新沙盒帐户，以减少任何开发人员错误配置的爆炸半径。与公司的唯一联系是计费合并在公司 AWS 组织下。

目前，已为开发人员分配了 PowerUser 访问权限以及一些关键的 IAM 操作，例如他们的开发帐户中的 PassRole。我们的大多数开发人员都是 AWS 新手，因此对于此沙盒帐户（而不是通过 CI/CD 管道），最好通过控制台进行管理。

任何建议表示赞赏！

谢谢，约翰

标签： amazon-web-servicesamazon-iamsandboxprovisioning