Management von n-AWS-Accounts … manchmal hilft Aussitzen

Als autorisierter AWS Managed Service Provider verwalten wir inzwischen richtig viele AWS Accounts für unsere Kunden.

Abrechnungs-technisch ist das Handling von n-AWS Accounts im Rahmen von Consolidated Billing kein Problem, wenn man die Feinheiten verstanden hat … dazu vielleicht mal mehr an anderer Stelle.

Unsere Kollegen im Managed Services Team müssen allerdings stets zwischen diversen AWS Accounts hin und her wechseln. Bisher haben wir das so gelöst, dass die Kollegen in jedem AWS Account einen eigenen IAM-User mit entsprechenden Rechten hatten … und durch das hervorragende Tool 1Password war der Login-Prozess für die Kollegen handhabbar, allerdings war die ständige Eingabe der Tokens im Rahmen der Multi-Factor Authentication sehr nervig.

Gewünscht haben wir uns immer eine zentrale Userverwaltung und ein zentraler Login für alle AWS Accounts. Auf reiner API-Ebene war das schon lange möglich … und man hätte sich damit eine Lösung bauen können wie z.B. diese hier … oder man hätte auch 3rd-Party-Tools von z.B. Okta oder PingOne nehmen können. War aber alles nicht perfekt.

Das Gute an AWS ist, das stets was Neues kommt und wenn man wartet, ist irgendwann die Lösung da. Deswegen hilft bei AWS manchmal auch die Strategie des Aussitzens …

Seit dem 7. Januar unterstützt AWS Offiziell Cross-Account Access in the AWS Management Console.

Alle unsere Kollegen sind nun als IAM-User in einem dedizierten Management-Account angelegt und melden sich da natürlich mittels MFA-Token an. Über entsprechende Links und definierte Rollen haben die Kollegen dann einen Zugang zu den anderen AWS Accounts.

Kommt spät, ist aber gut, danke AWS.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.