如何在 IAM 身份中心删除用户的权限集

Nit*_*sCS 5 amazon-web-services amazon-iam aws-sso aws-iam-identity-center

我有一个高度多帐户的环境,并且为每个帐户分配了多个权限集的用户。

例如,Bob 对于测试和生产帐户都具有管理员帐户和只读帐户。假设我只想删除 Bob 对 Prod 帐户的管理员访问权限,但保留他的只读权限,并保留管理员和只读权限集不变(因为 Alice 仍然是 Prod 中的管理员)。

如何在 IAM 身份中心执行此操作?唯一的选择似乎是删除权限集或禁用/删除用户。我不知道如何删除特定帐户的用户权限集。

Nit*_*sCS 5

我了解到,没有像添加帐户权限那样的“批量删除”。您必须一次删除一个帐户的权限。

  • 导航到 IAM Identity Center 控制台,然后在左侧的“多账户权限”下选择“AWS 账户”
  • 单击所需的帐户链接,而不是左侧的复选框。
  • 进入个人帐户后,在“用户和组”选项卡下,您将看到该帐户的用户和组。
  • 选择用户名或组旁边的单选按钮,然后单击屏幕右侧的“更改权限集”按钮。
  • 然后,您可以从此页面取消选中所需的权限集,然后单击“保存更改”。

对于多个帐户来说有点乏味,但至少这是可能的。


fed*_*nev 1

使用DeleteAccountAssignment API,该API “使用指定的权限集从指定的AWS 账户中删除委托人的访问权限”。

这里的关键概念是“帐户分配”。它是 (1) 权限集、(2) 用户或组主体和 (3) 帐户之间的三向关系。

您可以使用相同的参数创建和删除账户分配,所有参数都是必需的:

"InstanceArn": <Identity Center ARN>,
"PermissionSetArn": <Permission Set ARN>,
"PrincipalId": <Identity Center GUID for the User or Group>,
"PrincipalType": "USER" | "GROUP",
"TargetId": <AWS Account ARN>,
"TargetType": "AWS_ACCOUNT"
Run Code Online (Sandbox Code Playgroud)

没有“更新”操作 - 关系要么存在,要么不存在。