Jogos kérdések, de pont ennek a minimalizálását várnám egy ilyen feature-től. Számtalan service provider kínál managelt cloud-ot és gondolom valahogy ők is megoldják ezt (vagy ez is csak kamu mint a cloud témakörök fele :D).
- auditált identity management nálunk
- principle of least privilege - olyan policy amivel csak azt tudom csinálni az ügyfél account-ban, amire szerződtünk
- IP alapon szűrés honnan jöhet API call (IAM ezt pont tudja), erre a jump host-ra rendszeres audit, a jump host ügyfél sepcifikus
- attribute based access control ahol törölni/módosítani csak olyan objektumot tudok, amin az én tag-em van (tehát én hoztam létre)
Úgy látom válaszok alapján IAM lehet a megoldás, mert Lighthouse-hoz hasonló nincs az AWS/GCP-ben. Beszélek ügyfél security embereivel és ha ők sem tudnak jobbat, akkor marad IAM + RBAC/ABAC.