How to limit access to specific Identity Center groups?

I have multiple groups in my default Identity Center directory. I want members of a specific group manage users of other groups except a couple of administrator-managed groups. Simple use case is to "Allow team leaders manage limited number of teams by adding/removing users" sso-directory does not support (have) any ARNs and does not have any specific Conditions. Global conditions does not allow to filter by resource ARN or, in my case, group_id. Tags cannot be added to Identity Center groups to allow for aws:ResourceTag/... filtering.

Are there any feasible way to resolve my use-case?

Sujets

Sécurité, identité et conformité Gestion et gouvernance

Balises

Sécurité, identité et conformité Gestion des identités et des accès AWS AWS Account Management

Langue

English

Maksym

demandé il y a un mois172 vues

1 réponse

Le plus récent
Le plus de votes
La plupart des commentaires

Ces réponses sont-elles utiles ? Votez pour la bonne réponse pour aider la communauté à bénéficier de vos connaissances.

Réponse acceptée

Hello.

As stated in the document below, there are no condition keys, so I don't think it is currently possible to manage only specific groups.
https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycentersuccessortoawssinglesign-ondirectory.html

EXPERT

Riku_Kobayashi

répondu il y a un mois

Maksym
il y a un mois
Thank you @Riku_Kobayashi. I read this doc. I was hoping people may know an indirect way to make it work. For example, since the privilege is for Console sessions, I am trying to explore if there are relevant condition filters available.
Riku_Kobayashi EXPERT
il y a un mois
I thought that there was no key for narrowing down to a specific group in the global condition key. https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys

Contenus pertinents

My account is not recognized
juan ortega
demandé il y a un an
Amazon SES - 4.4.1 Unable to connect to remote host de la part d'Orange.fr
Lionel
demandé il y a 11 jours
[ACTION REQUIRED] Update your TLS connections to 1.2 : quelles applications sont concernées ?
rePost-User-7550145
demandé il y a un an
account is currently blocked and not recognized as a valid account
Yves Boah
demandé il y a un an
Comment résoudre l'erreur RegexSerDe « Number of matching groups doesn't match the number of columns (Le nombre de groupes correspondants n'est pas équivalent au nombre de colonnes) » dans Amazon Athena ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment intégrer IAM Identity Center à un groupe d'utilisateurs Amazon Cognito ?
AWS OFFICIELA mis à jour il y a un an
Comment résoudre l'erreur « One or more of your origins or origin groups do not exist » (Un ou plusieurs de vos groupes d'origine ou origines n'existent pas) dans AWS CloudFormation ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment modifier les attributs d'un groupe d'utilisateurs Amazon Cognito après sa création ?
AWS OFFICIELA mis à jour il y a 2 ans