1

目前,我们计划将 AWS CLI 用于各种用例。作为 I&AM 架构师,我想使用我们现有的 Active Directory 凭证,而不是创建新的 IAM 用户和密钥。

我们也有 ADFS,并且基于针对 AWS CLI 的 ADFS 集成给出的示例,我能够创建 PowerShell、Python 和 Java 示例脚本来使用 AD 凭证并使用 AWS STS 创建临时凭证。它工作正常。但是,要让我们的开发团队了解使用基于 SAML 的身份验证而不是 AWS CLI 中的永久密钥的好处,我面临着挑战。

各位架构师和开发人员,我想听听您是如何在您的组织中实施 AWS CLI 身份验证的。

4

1 回答 1

1

我们已集成 ADFS 并将 IAM 角色与 AD 组映射。我们只需将用户添加到特定的 AD 组,他们就可以使用其 AD 凭证访问 AWS 控制台。

我们使用saml2aws,它允许使用相同的 AD 凭证以编程方式访问 AWS。最好的部分是它能够处理 RSA 作为我们的 MFA 提供程序。

用户上船和下船很容易,因为我们不需要在 AD 之外做任何额外的事情。

分发永久访问密钥显然是不安全的,应该避免。

于 2018-12-30T12:27:25.203 回答