【问题标题】:AWS access keys (for CLI authentication, etc..) for users from a SAML identity provider, or AD connector?来自 SAML 身份提供商或 AD 连接器的用户的 AWS 访问密钥(用于 CLI 身份验证等)?
【发布时间】:2021-05-11 06:21:42
【问题描述】:

我一直在考虑将 AWS(Web)控制台连接到 AD 或 ADFS 设置以管理用户。在 IAM 和一些现有的 ADFS 基础架构中使用 SAML 身份提供程序是相当容易的。

问题在于,据我所知,以这种方式进行身份验证的用户(与普通 AWS 用户帐户不同)没有任何方法可以拥有关联的访问密钥。访问密钥是对 AWS CLI 等内容进行身份验证的关键概念,需要将其绑定到个人用户账户。

允许通过 SAML 身份提供程序进行身份验证的用户仍然能够轻松使用 aws CLI 的解决方法是什么?到目前为止,我唯一想到的是一些 hacky 废话,它们会代理 aws cli 命令,从 aws STS 服务请求临时 1 小时凭据,将它们放入 aws 凭据文件,然后将命令转发到正常的 AWS cli。但是,这让我想吐一点;另外,如果一个命令需要一个多小时才能完成(大型 s3 上传等),我不知道它是否会起作用。

建议?我会尝试官方的 Directory Service AD 连接器,但我的理解是用户仍然只是承担 IAM 角色,最终会遇到同样的问题。

【问题讨论】:

    标签: amazon-web-services amazon-iam amazon-directory-services


    【解决方案1】:

    https://github.com/Versent/saml2aws 就是为了解决这个问题而创建的,它背后有一个充满活力的开源社区。​​p>

    【讨论】:

      【解决方案2】:

      我通过 ADFS 为 AWS CLI 使用 aws-adfs 取得了成功

      回购所有者目前也在添加对 DUO MFA 的支持。 它的工作原理是将用户验证到您用于控制台访问的同一页面,然后抓取可用的角色。您选择一个角色,然后 aws-adfs 将默认用户设置为 sts 访问所需的凭据集。

      设置默认用户后,您可以正常cli:aws s3 ls

      https://github.com/venth/aws-adfs

      【讨论】:

      • aws-adfs 已更新以处理 DUO 推送请求。
      猜你喜欢
      • 2013-05-12
      • 2018-12-27
      • 1970-01-01
      • 2020-04-25
      • 2018-12-08
      • 2018-11-06
      • 2021-03-22
      • 2016-08-13
      • 1970-01-01
      相关资源
      最近更新 更多