É recomendado usar um repositório de usuários centralizado, como AWS Directory Services (Active Directory / SimpleAD), Okta, PingIdentity, Azure Active Directory ou IBM Cloud Identity, e que esse repositório esteja integrado ao sistema de recursos humanos, assim propagando mudanças com os funcionários, como mudança de área ou rescisão.
Integrando o Okta com o AWS Managed Active Directory
O AWS Single Sign On é um serviço gratuito da AWS que facilita o gerenciamento de identidades em várias contas e se integra com provedores de identidade externos.