问题标签 [aws-sso]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-web-services - 适用于不在组织中的外部客户 AWS 账户的 AWS SSO - 最佳实践
我有多个与我一起工作的不同客户,它们彼此完全独立。如果与我合作的客户已经拥有 AWS 账户,我可以在他们现有的 AWS 账户中开发软件,但如果他们没有账户,那么我将创建一个新的 AWS 账户。
今天,我将客户的 AWS 用户名/密码存储在不同文件夹和/或 LastPass 身份中的 LastPass 中。但是,我想知道是否有更好/更简单的方法来做到这一点,以及推荐的方法是什么。
我知道 AWS SSO 可用于管理一个组织下的多个 AWS 账户(例如,对于一家大公司),但 AWS SSO 是否可以用于管理多个完全独立的客户账户,这些账户要么不在 AWS 组织中,要么不在单独的 AWS 中组织?
对于为完全独立的公司管理多个 AWS 账户的方案,最佳实践是什么?是否有 AWS 推荐的白皮书?
这个 SO 问题是相关的,但它也有 6 年历史了: AWS:如何管理多个帐户的身份验证
谢谢!
terraform-provider-aws - 如何为 terraform 配置 aws sso?
我一直使用 aws 作为云服务,使用 terraform 作为 IaC。经常复制粘贴凭据非常烦人。是否有任何可用的解决方案或任何其他使用 aws sso 的解决方案?
amazon-web-services - 通过 cloudformation 自动设置 AWS SSO 预置权限
我已经创建了AWS SSO permission sets
通过CloudFormation
并且用户成功地在下游帐户中担任角色。我在这里看到的问题是当一个新的更改被添加到代码中时,假设 IAM 内联策略被编辑了一些额外的权限,我需要登录到帐户并手动将更改从主帐户配置到下游帐户。
我找到了provision-permission-set
AWS CLI 调用,但看起来没有CloudFormation
选项。
我正在考虑将此步骤作为我的部署管道的一部分,如果我不必创建将使用 AWS CLI 来完成这项工作的自定义脚本,那将是非常棒的。
谢谢大家
amazon-web-services - 如何限制 SSO 用户的 AWS CLI 访问
我为我的 AWS 组织账户配置了 SSO。已创建两个帐户(一个是 dev,另一个是 prod)。如何限制我的 prod 账户 SSO 用户的 AWS CLI 访问。尝试在他们的文档中查找,但找不到任何内容。
有人能帮我吗?
amazon-web-services - 访问管理控制台时如何生成 AWS SSO url?
当您在浏览器中通过 SSO 登录时,如果您打开一个帐户然后担任角色,则单击“管理控制台”后会打开一个新选项卡。该链接的 url 语法类似于https://my-sso-portal.awsapps.com/start/#/saml/custom/my-account-name/base-64-string
如果您对 url 中的 base 64 字符串进行解码,您会注意到有 3 个数字,具有以下结构:number1 _ins- number2 _p- number3第一个数字是您的 AWS 组织编号,第二个数字标识帐户,第三个数字假定的角色。
即使我弄清楚了这个字符串的结构,我仍然不知道用户是否可以获得第二个和第三个数字(当然,不使用 url)。我基本上想以编程方式构造该 url,但看起来这两个数字是 AWS 为自己保留的 ID,不过我不确定。还有其他人对此了解更多吗?
google-admin-sdk - 使用 Google Apps 联合单点登录到 AWS
在过去的几年里,我们的一切都运行良好,然后在上周我们突然无法使用 Google SSO 登录 AWS。
我们正在再次为用户设置角色(根据https://aws.amazon.com/blogs/security/how-to-set-up-federated-single-sign-on-to-aws-using-google -apps/),但是当我们使用以下调用进入 users.patch(或 users.update)部分时(<role ARN>,<provider ARN> 的值替换为实际...):
我们收到以下错误:
任何想法都会很棒......
amazon-web-services - AWS SSO 和 CodeArtifact 登录需要手动更改区域的配置文件
当我跑
在我的机器上,如果我的 .aws/config 文件未设置为us-east-1的默认区域,当浏览器打开以进行身份验证时,我会收到“无效授权”。当我将配置区域设置为us-west-2时,我可以进行身份验证。
问题是我需要登录 CodeArtifact,如果我不将配置文件更改为 us-west-2,我会得到:
我需要能够登录到 docker 容器内的 CodeArtifact,并且手动更改区域不是一个选项。请指教。谢谢!
amazon-web-services - AWS SSO 作为环境变量登录凭证
鉴于登录aws login sso
成功。
从这里我想启动我的服务,该服务需要设置以下环境变量和 AWS 凭证:
AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_SESSION_TOKEN
如何将这些变量提取到当前 shell 中?
我目前正在使用的解决方法:
我找到了一种可能的解决方法,对我有用:我注意到在我登录并运行aws sts get-caller-identity
它后,它会在目录中创建文件~/.aws
,从那里可以使用如下脚本对其进行解析:
在设置环境变量评估此脚本的输出后,我可以使用 AWS 凭证启动我的服务。eval $(./parse-aws-cache.sh)
它今天对我有用,但我对这个解决方案有一些疑问:
- 我看不到这种行为在 AWS 中的记录位置;
- 还从一个名为something cache的目录中读取数据似乎并不可靠;
- 我不知道在具有不同配置的其他机器上工作有多便携。
理想情况下,我希望得到一个答案:
- 提供另一种更可靠的方式来获取这些环境变量;
- 或者给出一个合理的确认,从缓存文件中解析这些变量的方法实际上是可以使用的。
amazon-web-services - 有没有办法通过 cloudformation/cdk 配置 aws sso 用户?
它仅显示如何将权限集分配给现有用户。还查看了 cloudformation 文档,它没有提及有关用户的任何内容。
有没有办法通过 cloudformation 或 cdk 创建 aws sso 用户?
.net-core - AWS SSO 与 Sustainsys/Saml2
在默认情况下配置 AWS SSO SAML 2.0 应用程序时,它不包括,NameIdFormat
如果我们为我们的服务提供商使用此默认元数据,Sustainsys/Saml2 会给出如下错误。我们可以使用哪种配置使其在没有任何定义的情况下工作NameIdFormat
?
身份提供者提供的元数据
请注意元数据中的 <md:NameIDFormat />
Sustainsys/Saml2 返回错误