【发布时间】:2021-05-11 06:21:42
【问题描述】:
我一直在考虑将 AWS(Web)控制台连接到 AD 或 ADFS 设置以管理用户。在 IAM 和一些现有的 ADFS 基础架构中使用 SAML 身份提供程序是相当容易的。
问题在于,据我所知,以这种方式进行身份验证的用户(与普通 AWS 用户帐户不同)没有任何方法可以拥有关联的访问密钥。访问密钥是对 AWS CLI 等内容进行身份验证的关键概念,需要将其绑定到个人用户账户。
允许通过 SAML 身份提供程序进行身份验证的用户仍然能够轻松使用 aws CLI 的解决方法是什么?到目前为止,我唯一想到的是一些 hacky 废话,它们会代理 aws cli 命令,从 aws STS 服务请求临时 1 小时凭据,将它们放入 aws 凭据文件,然后将命令转发到正常的 AWS cli。但是,这让我想吐一点;另外,如果一个命令需要一个多小时才能完成(大型 s3 上传等),我不知道它是否会起作用。
建议?我会尝试官方的 Directory Service AD 连接器,但我的理解是用户仍然只是承担 IAM 角色,最终会遇到同样的问题。
【问题讨论】:
标签: amazon-web-services amazon-iam amazon-directory-services