问题标签 [aws-sso]

我目前正在从事 AWS SSO 项目。

重要提示：目前 AWS SSO 不支持自定义托管策略。

所以基本上我需要一个 PowerUser 配置文件，但需要进行一些小的调整（例如删除 Guardduty 上的一些操作）

这行得通吗？

内联策略中的拒绝会覆盖所有操作吗？

我是否需要添加目标资源：

AWS 如何解释策略？先管理然后内联可以覆盖它们吗？另一种方式？

我有点失落。

与 IAM 登录不同，当我的 SSO 会话到期时，似乎无法建立新会话并返回到我上次浏览的控制台页面。

作为背景（如果相关），我使用 Azure AD 作为外部 SAML 身份提供者。

当会话到期时，我得到以下 SessionExpiryPage：

单击第一个链接，我被发送到以下页面：

单击此链接，我将返回用户门户，然后在选择帐户和权限集后，我将被发送到控制台主页（不是我上次查看的页面）

AWS 支持似乎表明这是正常行为，但出于以下几个原因，我摸不着头脑：

1. 在到期和用户门户之间有两个页面似乎没有意义 - 它引入了毫无意义的额外鼠标点击。
2. 第二页内容的措辞暗示出了问题，这不是正常或预期工作流程的一部分（而会话预计会过期）
3. SessionExpiryPage 中的链接似乎有一些最终丢失的编码信息（可能是页面状态？）。为什么会在那里？

谁能确认他们是否有同样的经历？有没有办法改变这个？

我创建了一个新的 AWS SSO（使用内部 IDP 作为身份源，因此不使用 Active Directory）。
我能够登录 AWS CLI、AWS GUI，但无法执行任何 kubectl 操作。

我认为这与 RBAC 有关，因为我可以通过 aws eks get-token.

kubeconfig

aws-身份验证

team-sso-devops 用户的 clusterrole 绑定：

我正在尝试让一个测试应用程序与 AWS 单点登录服务一起使用。当我点击 SSO 登录 url 并输入我的凭据时，它登录正常，但随后亚马逊显示错误：

Requeest nameID format does not match our record

我的请求包含：

<samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" AllowCreate="true" />

亚马逊为我的应用程序提供的 IdP 元数据 xml 有一个空白<md:NameIDFormat/>标签。我猜这与它有关。但是，我在 Amazon UI 中的任何地方都没有看到nameIDFormat可以指定的地方。

我的问题：

1. 我如何/在哪里可以指定nameIDFormat我的 AWS SSO 应用程序接受的？这是假设空白<md:NameIDFormat/>是（部分）问题。也许这与问题无关，在这种情况下：
2. 上面的错误信息是什么意思？

“您没有足够的权限执行此操作。”

这是我尝试在 AWS 管理控制台中禁用 AWS Config 中的记录时收到的错误消息，但我将 AdministratorAccess 作为我的策略。

文档讨论了为 Config 授予显式权限，但 AdministratorAccess 已经包含这些权限。

使用该确切错误和短语“aws config”时，我没有找到任何谷歌结果。

我有在 Okta 和 AWS SSO 之间工作的 SAML 联合。一切都很好，只是执行 IdP 发起的 SSO 的用户在登录 AWS 后会在其浏览器中看到一个“不友好”的 URL（“https://d-123456789a.awsapps.com/”）。

通过 IdP 发起的 SSO 登录 AWS 后，是否可以在浏览器中使用友好名称（又名“https://friendly-name.awsapps.com/”），类似于我们在执行 SP 发起的 SSO 时？我相信这需要与 AWS SSO 不同的“颁发者 URL”来进行 SAML 连接，但我在 AWS 控制台中没有看到任何选项。

谢谢，杰弗里

我正在尝试使用 aws sso - saml 2.0 与工具集成，但我不确定如何返回组名而不是组 ID。

我正在使用的映射是 memberOf --> ${user:groups}，我可以看到返回了组 ID，但是，工具集成需要组名，因此它可以在用户登录时进行组映射应用程序。

我想知道是否可以进行配置，以便 saml 发送人类可读的组名？

谢谢。

我在我的 Macbook 上使用指纹扫描仪配置了 AWS SSO WebAuthn。它为我节省了大量时间，而不必复制验证码。适用于 Chrome 无缝。但是，我也需要让它在 Safari 或 Firefox 上运行，因为我想同时打开多个帐户。当我在 Safari 和 Firefox 中打开 SSO 链接时，它会卡在这里。

找不到任何解决方案。有人知道怎么修这个东西吗？

即使我拥有完整的 AWS 访问权限并且能够在 AWS SSO 控制台中创建内容，以下 CLI 命令仍会失败：

在FailureReason描述我收到的请求时：

收到 403 状态错误：用户：arn:aws:iam::xyz:user/ivan.aracki.com 无权执行：sso:CreateAccountAssignment on resource:arn:aws:sso:::account/xyz否定

有没有办法为使用 AWS SSO 登录的用户禁用编程访问？是否可以使用策略或组来控制编程和控制台访问？