Cartography项目中的AWS SSO权限问题分析与解决

问题背景

在Cartography 0.97.0版本中，当使用AWS SSO(Identity Center)进行账户同步时，系统在处理子账户时会遇到权限不足的问题，导致同步过程中断。这个问题表现为当尝试调用sso:ListAccountAssignmentsForPrincipalAPI时，系统抛出AccessDeniedException异常。

技术细节分析

该问题发生在Cartography尝试同步AWS Identity Center(原SSO)数据时。具体来说，当Cartography尝试获取SSO用户的角色分配信息时，它在子账户中执行了以下操作：

1. 首先获取SSO实例中的权限集和用户信息
2. 然后尝试为每个用户获取角色分配信息
3. 在子账户(如示例中的1234账户)中，Cartography使用的IAM角色缺少必要的权限

错误信息明确指出："User: arn:aws:sts::1234:assumed-role/cartography-read-only/botocore-session-1735333435 is not authorized to perform: sso:ListAccountAssignmentsForPrincipal"。

根本原因

这个问题源于AWS SSO权限模型的特殊性。AWS SSO的API操作需要在管理账户(而非子账户)中执行。当Cartography尝试在子账户中调用sso:ListAccountAssignmentsForPrincipal时，即使子账户的IAM角色拥有SSO相关权限，操作仍然会失败，因为：

1. SSO服务是全局服务，其资源(如SSO实例)属于管理账户
2. 子账户中的IAM角色无法直接访问管理账户的SSO资源
3. 需要显式地在管理账户中为这些操作配置权限

解决方案

Cartography项目在后续版本中通过以下方式解决了这个问题：

1. 修改代码逻辑，确保SSO相关的API调用只在管理账户中执行
2. 添加错误处理机制，当在子账户中遇到此类权限问题时优雅地跳过而非中断
3. 更新文档，明确说明需要在管理账户中配置SSO相关权限

对于用户而言，正确的配置方式应该是：

1. 在管理账户中为Cartography使用的IAM角色添加SSO相关权限
2. 确保子账户同步时不会尝试执行SSO相关操作
3. 或者显式地配置资源策略允许跨账户访问SSO资源

最佳实践建议

基于此问题的分析，建议在使用Cartography同步AWS环境时：

1. 区分管理账户和子账户的同步策略
2. 对于全局服务(如IAM、SSO等)的同步，集中在管理账户中完成
3. 仔细规划IAM权限，遵循最小权限原则
4. 定期检查Cartography的更新日志，获取最新的权限要求变化

这个问题也提醒我们，在云环境的多账户架构中，服务边界和权限模型的理解至关重要，特别是在处理全局服务时，需要特别注意操作执行的上下文环境。