Cartography项目中的AWS SSO权限集同步问题解析

问题背景

在Cartography 0.96.2版本中，当同步AWS组织架构下的多账户环境时，发现了一个与AWS Identity Center(原SSO)相关的同步问题。具体表现为：当主账户配置了Identity Center服务而子账户未配置时，Cartography同步过程会因权限检查失败而崩溃，即使执行角色已被明确授予ListPermissionSets权限。

技术细节分析

问题现象

在AWS多账户环境中，当Cartography尝试通过ListPermissionSetsAPI调用获取权限集信息时，对于未配置Identity Center的子账户，AWS会抛出AccessDeniedException异常。这与预期行为不符，因为：

1. 执行角色确实拥有必要的sso:ListPermissionSets权限
2. 理论上，对于未启用Identity Center的账户，AWS应该返回空结果或特定状态码，而非权限拒绝

根本原因

经过分析，这个问题源于AWS API的一个特殊行为：当账户未启用Identity Center服务时，即使调用者有相应权限，AWS SSO API也会返回AccessDeniedException而非更合适的服务不可用状态。这实际上是一个AWS API设计上的边界情况。

影响范围

该问题会影响以下场景：

• 使用Cartography同步AWS组织架构
• 组织中包含未启用Identity Center的子账户
• 同步过程包含AWS SSO/Identity Center资源收集

解决方案

Cartography项目已通过以下方式修复此问题：

1. 异常处理增强：在get_permission_sets函数中添加了对AccessDeniedException的特例处理
2. 优雅降级：当遇到权限拒绝时，返回空列表而非中断整个同步流程
3. 日志记录：添加适当的警告日志，帮助管理员识别哪些账户可能未正确配置Identity Center

最佳实践建议

对于使用Cartography同步AWS多账户环境的用户，建议：

1. 权限配置：确保执行角色在所有账户中都有sso:ListPermissionSets权限，即使某些账户未启用Identity Center
2. 版本升级：升级到包含此修复的Cartography版本
3. 监控日志：定期检查同步日志，识别可能存在的服务配置问题
4. 账户规划：对于确定不需要Identity Center的账户，考虑在同步配置中排除相关模块

技术启示

这个案例展示了云服务API设计中的一些边界情况处理重要性。作为开发者，在集成第三方API时需要考虑：

• 不同服务状态下的API行为差异
• 权限模型与服务可用性的交互
• 异常情况的优雅处理策略

通过这次修复，Cartography在AWS资源同步的健壮性方面又向前迈进了一步，为复杂云环境下的资源发现提供了更可靠的保障。