jdc*_*589 8 amazon-web-services amazon-iam amazon-directory-services
我一直在寻求将AWS(Web)控制台连接到AD或ADFS设置以管理用户.在IAM和一些现有ADFS基础架构中使用SAML身份提供程序非常容易.
问题是,与普通AWS用户帐户相反,以这种方式进行身份验证的用户无论如何都无法获得关联的访问密钥.访问密钥是用于验证诸如AWS CLI之类的东西的关键概念,AWS CLI需要绑定到单个用户帐户.
允许通过SAML身份提供程序进行身份验证的用户仍然能够轻松使用aws CLI的解决方法是什么?我唯一想到的就是一些hacky垃圾,它会代理awscli命令,从aws STS服务请求临时的1小时凭证,将它们放入aws凭证文件中,然后将命令转发给正常的AWS CLI.但是,这让我想要一点点; 另外,我不知道如果命令花了一个多小时才能完成(大s3上传等等).
建议?我会尝试正式的目录服务AD连接器,但我的理解是用户仍然只是假设IAM角色,并最终会有同样的问题.
我已通过 ADFS 成功使用适用于 AWS CLI 的aws-adfs
存储库所有者目前也正在添加对 DUO MFA 的支持。它的工作原理是在您用于控制台访问的同一页面上对用户进行身份验证,然后抓取可用的角色。您选择一个角色,然后 aws-adfs 将默认用户设置为 sts 访问所需的凭证集。
设置默认用户后,您可以像平常一样使用 cli:aws s3 ls
https://github.com/venth/aws-adfs
| 归档时间: |
|
| 查看次数: |
1823 次 |
| 最近记录: |