O controle de acesso é recomendado para aplicativos críticos com várias camadas para garantir que não haja erros de configuração que deixem os recursos expostos, para limitar o acesso somente de onde esperamos que o acesso deva alcançar e somente aos destinos mínimos exigidos.
A AWS armazena informações na sessão que são úteis para uso nas condições do IAM, para que você possa conceder acesso nas circunstâncias certas.
Critérios como se a solicitação (API Call) vem de um intervalo de IPs ou se está sendo chamada de uma conta pertencente à sua organização, são condições que você pode anexar às políticas do IAM.
Para outras aplicações que você precisa gerenciar em escala, uma boa prática é usar Attribute Based Access Controls (ABAC). Se eles usam AWS IAM Identity Center (sucessor do AWS Single Sign-On) (serviço gratuito) pode tirar proveito de seu suporte a tags de sessão para mover atributos de seu diretório para a AWS e usar esses atributos para determinar o acesso a vários recursos.
O AWS IAM Identity Center (sucessor do AWS Single Sign-On) pode usar seu próprio repositório de usuários, permite que você se integre a diretórios como o Microsoft Active Directory ou provedores de identidade externos, como: Okta, Ping Identity, OneLogin e Azure AD.
Attribute-Based Access Control with AWS IAM Identity Center (sucessor do AWS Single Sign-On)
O serviço AWS IAM e AWS IAM Identity Center (sucessor do AWS Single Sign-On) são gratuitos e a configuração de políticas de recursos (como políticas de bucket) é gratuita.