Federated access and LakeFormation tag-based access best practice

Hi, We are working on the project where ActiveDirectory users get a federated access to the AWS. I would like to ask about the best practices for how to set up federation and the Tag based access control for users that they can benefit from the flexible permissions. The scenario is: In AD we have users in the group Sales. They get federated access and mapped to the AWS role AWSReservedSSO_AWSSales etc. We give corresponding permissions to this role to the LF tag sales. Then one of the AD users needs to access Marketing domain and he gets added to the new AD group. In AWS he is still federated as the Sales role and so he can't see the data tagged as marketing. What are the options rather than creating a new AWS Role and map that user to the new AWS role which will have a new tag added (..._AWSSalesMarketing) role)

Themen

Sicherheit, Identität & Konformität Analysen

Relevanter Inhalt

Wie vermeide ich den Fehler „Unable to validate the following destination configurations“ bei Lambda-Ereignisbenachrichtigungen in CloudFormation?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie behebe ich den Fehler „The specified queue does not exist or you do not have access to it.“, wenn ich einen AWS Glue Job ausführe, um Nachrichten an Amazon SQS in einer anderen Region zu senden?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie behebe ich den Fehler „The new key policy will not allow you to update the key policy in the future“, wenn ich versuche, mit AWS CloudFormation einen AWS-KMS-Schlüssel zu erstellen?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich den Fehler “Lambda does not have permission to access the ECR image...” (Lambda hat keine Berechtigung, auf das ECR-Image zuzugreifen...) für eine Lambda-Funktion mit einem Container-Image beheben?
AWS OFFICIALAktualisiert vor einem Jahr