主要观点：工程团队在加强 AWS 访问安全同时不影响开发者速度时遇到“速度与控制”的权衡，引入 Okta 驱动的即时（Just-in-Time，JIT）访问。通过 AWS + Okta 集成，为开发者提供按需、有时限的 AWS 访问，分享了设置过程、遇到的问题及经验教训。
关键信息：

• 原有设置存在凭证蔓延、审批延迟、角色过度配置等问题，需要更清洁、自动化、可审计和临时的方式。
• 关键组件包括 Okta（身份提供商）、AWS IAM / IAM Identity Center（服务提供商）、Okta Workflows 或访问请求、AWS STS。
• 设置步骤：在 AWS 中设置为 SAML 服务提供商，在 Okta 中配置 SAML 集成，用 Okta Workflows 自动化审批，为开发者提供访问流程，注重审计和合规，以及总结的经验教训和最佳实践。
  重要细节：
• 在 AWS 中设置 SAML 服务提供商时，要上传 Okta 元数据 XML 并保存 Provider ARN，定义专用角色并注意角色映射不要过于复杂。
• 在 Okta 中配置 SAML 集成时，使用清晰的命名约定，利用组属性动态控制用户可承担的角色。
• Okta Workflows 中的 JIT 流程要测试逻辑，避免出现定时器未触发移除等问题，添加 nightly 清理工作流。
• 开发者访问流程几乎无缝，CLI 用户使用特定工具获取联合凭证，还集成了 Slack 通知。
• 审计和合规方面，利用 Okta 系统日志和 AWS CloudTrail 进行关联查询，创建 CloudWatch 指标过滤器进行异常警报。
• 经验教训包括从简单开始、注意组传播延迟、使用短会话、强制 MFA、统一日志等。最佳实践包括使用短会话、组映射、MFA、自动化清理、统一监控和测试边缘情况。最终实现了安全且无摩擦的访问模型。