Nit*_*sCS 5 amazon-web-services amazon-iam aws-sso aws-iam-identity-center
我有一个高度多帐户的环境,并且为每个帐户分配了多个权限集的用户。
例如,Bob 对于测试和生产帐户都具有管理员帐户和只读帐户。假设我只想删除 Bob 对 Prod 帐户的管理员访问权限,但保留他的只读权限,并保留管理员和只读权限集不变(因为 Alice 仍然是 Prod 中的管理员)。
如何在 IAM 身份中心执行此操作?唯一的选择似乎是删除权限集或禁用/删除用户。我不知道如何删除特定帐户的用户权限集。
我了解到,没有像添加帐户权限那样的“批量删除”。您必须一次删除一个帐户的权限。
对于多个帐户来说有点乏味,但至少这是可能的。
使用DeleteAccountAssignment API,该API “使用指定的权限集从指定的AWS 账户中删除委托人的访问权限”。
这里的关键概念是“帐户分配”。它是 (1) 权限集、(2) 用户或组主体和 (3) 帐户之间的三向关系。
您可以使用相同的参数创建和删除账户分配,所有参数都是必需的:
"InstanceArn": <Identity Center ARN>,
"PermissionSetArn": <Permission Set ARN>,
"PrincipalId": <Identity Center GUID for the User or Group>,
"PrincipalType": "USER" | "GROUP",
"TargetId": <AWS Account ARN>,
"TargetType": "AWS_ACCOUNT"
没有“更新”操作 - 关系要么存在,要么不存在。
| 归档时间: |
|
| 查看次数: |
1071 次 |
| 最近记录: |