8

我一直在寻找将 AWS(Web)控制台连接到 AD 或 ADFS 设置以管理用户。在 IAM 和一些现有的 ADFS 基础设施中使用 SAML 身份提供程序是相当容易的。

问题在于,据我所知,以这种方式进行身份验证的用户,与普通的 AWS 用户帐户相比,没有任何方法可以拥有关联的访问密钥。访问密钥是对 AWS CLI 等内容进行身份验证的关键概念,需要将其绑定到个人用户账户。

允许通过 SAML 身份提供程序进行身份验证的用户仍然能够轻松使用 aws CLI 的解决方法是什么?到目前为止,我唯一想到的是一些 hacky 废话,它们会代理awscli 命令,从 aws STS 服务请求临时 1 小时凭证,将它们放入 aws 凭证文件,然后将命令转发到普通 AWS cli。但是,这让我想吐一点;另外,我不知道如果一个命令需要一个多小时才能完成(大型 s3 上传等),它是否会起作用

建议?我会尝试官方的目录服务 AD 连接器,但我的理解是用户仍然只是承担 IAM 角色并且最终会遇到同样的问题。

4

2 回答 2

1

https://github.com/Versent/saml2aws was created to address this, and has a vibrant open source community behind it.

于 2021-05-10T22:21:42.780 回答
0

我通过 ADFS 为 AWS CLI使用aws-adfs取得了成功

回购所有者目前也在增加对 DUO MFA 的支持。它的工作原理是将用户验证到您用于控制台访问的同一页面,然后抓取可用的角色。您选择一个角色,然后 aws-adfs 将默认用户设置为 sts 访问所需的凭据集。

设置默认用户后,您可以像往常一样使用 cli:aws s3 ls

https://github.com/venth/aws-adfs

于 2017-03-21T14:40:05.080 回答