Fórumok
Egyre többször és többen használunk aws-t és felmerült, hogy hogy lehetne optimálisabban kezelni a felhasználókat és projekteket aws-ben.
Jelenleg 1 fiók alatt van minden és mindenki és elég káosz az egész fiók. Ennek kapcsán kezdtem körülnézni, hogy milyen megoldások vannak.
Két opció tűnt járhatónak:
1. több organization-t létrehozni, amiből egy dedikáltan a felhasználók menedzsmentjére van, a többi pedig projekteknek
2. aws sso-t használni
Ezekből az aws sso tűnik célszerűbbnek, de furcsa, hogy csak kézzel, kattingatva lehet felhasználókat létrehozni, ami 100 felhasználónál elég gáz. Ennek vajon mi az oka, ezt mégsem arra találták ki, hogy felhasználókat kezeljen?
Nálatok mi a bevett gyakorlat?
Hozzászólások
:D
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_sam…
https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.ht…
https://docs.aws.amazon.com/singlesignon/latest/developerguide/createus…
Ezt a részt terraformban néztem, és ott nincs implementálva. Direkt api híváson keresztül elég körülményesnek tűnik.
Mi is terraformmal manageljük az aws -t. Mindenre próbálunk standard terraform objektumokat használni. Amire pedig nincs, arra shell scriptet irunk, ami a megfelelő api hivásokat ellövi. Ezeket a shell scripteket pedig betesszük a terraformba (local-exec). Csúnya, de van egy csomó cucc ami csak igy megy le.
Kérdés hogy az user fiókok amikről beszélsz aws userek (fejlesztők, devops, társai), vagy az aws-en hostolt szolgáltatásaid userei-e? Utóbbi esetre az aws cognito -t keresd, végtelen sokmindent tud, például külső providereket is bele tudsz húzni, akár egy AD -t, facebookot, google -t, stb -t. Nem kell feltétlenül kézzel kattogtatni.