AWS SSO +身份策略创建

Question

我们在组织根帐户中启用并配置了SSO (Azure AD)身份验证。我正在处理其中一个子帐户中的Terraform模块，该模块需要将它创建的EC2实例的权限授予一组SSO用户(在本例中为ssm:StartSession)。但是，我不能将新策略附加到用户的SSO角色，因为这些角色是由AWS SSO创建的，不能直接修改。

如何向特定用户/组添加标识策略？如果需要的话，我确实可以访问根组织帐户，但是我想要一种完全自动化的方式(当然是使用Terraform )。

Answer 1

但是，我不能将新策略附加到用户的SSO角色，因为这些角色是由AWS SSO创建的，不能直接修改。

Terraform aws提供程序具有将托管策略或内联策略(在用例中需要)附加到权限集的资源：

• 附件
• 政策

权限集和内联策略必须在SSO管理帐户下创建。创建一个新的权限集和内联策略，并使用分配分配具有新权限的组

如果要在多个帐户上部署资源，可以为Terraform创建多个帐户设置。实现这一目标的一种方法是描述这里。