问题标签 [aws-sso]

我有多个与我一起工作的不同客户，它们彼此完全独立。如果与我合作的客户已经拥有 AWS 账户，我可以在他们现有的 AWS 账户中开发软件，但如果他们没有账户，那么我将创建一个新的 AWS 账户。

今天，我将客户的 AWS 用户名/密码存储在不同文件夹和/或 LastPass 身份中的 LastPass 中。但是，我想知道是否有更好/更简单的方法来做到这一点，以及推荐的方法是什么。

我知道 AWS SSO 可用于管理一个组织下的多个 AWS 账户（例如，对于一家大公司），但 AWS SSO 是否可以用于管理多个完全独立的客户账户，这些账户要么不在 AWS 组织中，要么不在单独的 AWS 中组织？

对于为完全独立的公司管理多个 AWS 账户的方案，最佳实践是什么？是否有 AWS 推荐的白皮书？

这个 SO 问题是相关的，但它也有 6 年历史了： AWS：如何管理多个帐户的身份验证

谢谢！

我一直使用 aws 作为云服务，使用 terraform 作为 IaC。经常复制粘贴凭据非常烦人。是否有任何可用的解决方案或任何其他使用 aws sso 的解决方案？

我已经创建了AWS SSO permission sets通过CloudFormation并且用户成功地在下游帐户中担任角色。我在这里看到的问题是当一个新的更改被添加到代码中时，假设 IAM 内联策略被编辑了一些额外的权限，我需要登录到帐户并手动将更改从主帐户配置到下游帐户。

我找到了provision-permission-setAWS CLI 调用，但看起来没有CloudFormation选项。

我正在考虑将此步骤作为我的部署管道的一部分，如果我不必创建将使用 AWS CLI 来完成这项工作的自定义脚本，那将是非常棒的。

谢谢大家

我为我的 AWS 组织账户配置了 SSO。已创建两个帐户（一个是 dev，另一个是 prod）。如何限制我的 prod 账户 SSO 用户的 AWS CLI 访问。尝试在他们的文档中查找，但找不到任何内容。

有人能帮我吗？

当您在浏览器中通过 SSO 登录时，如果您打开一个帐户然后担任角色，则单击“管理控制台”后会打开一个新选项卡。该链接的 url 语法类似于https://my-sso-portal.awsapps.com/start/#/saml/custom/my-account-name/base-64-string

如果您对 url 中的 base 64 字符串进行解码，您会注意到有 3 个数字，具有以下结构：number1 _ins- number2 _p- number3第一个数字是您的 AWS 组织编号，第二个数字标识帐户，第三个数字假定的角色。

即使我弄清楚了这个字符串的结构，我仍然不知道用户是否可以获得第二个和第三个数字（当然，不使用 url）。我基本上想以编程方式构造该 url，但看起来这两个数字是 AWS 为自己保留的 ID，不过我不确定。还有其他人对此了解更多吗？

在过去的几年里，我们的一切都运行良好，然后在上周我们突然无法使用 Google SSO 登录 AWS。

我们正在再次为用户设置角色（根据https://aws.amazon.com/blogs/security/how-to-set-up-federated-single-sign-on-to-aws-using-google -apps/），但是当我们使用以下调用进入 users.patch（或 users.update）部分时（<role ARN>,<provider ARN> 的值替换为实际...）：

我们收到以下错误：

任何想法都会很棒......

当我跑

在我的机器上，如果我的 .aws/config 文件未设置为us-east-1的默认区域，当浏览器打开以进行身份​​验证时，我会收到“无效授权”。当我将配置区域设置为us-west-2时，我可以进行身份​​验证。

问题是我需要登录 CodeArtifact，如果我不将配置文件更改为 us-west-2，我会得到：

我需要能够登录到 docker 容器内的 CodeArtifact，并且手动更改区域不是一个选项。请指教。谢谢！

鉴于登录aws login sso成功。

从这里我想启动我的服务，该服务需要设置以下环境变量和 AWS 凭证：

• AWS_ACCESS_KEY_ID
• AWS_SECRET_ACCESS_KEY
• AWS_SESSION_TOKEN

如何将这些变量提取到当前 shell 中？

我目前正在使用的解决方法：

我找到了一种可能的解决方法，对我有用：我注意到在我登录并运行aws sts get-caller-identity它后，它会在目录中创建文件~/.aws，从那里可以使用如下脚本对其进行解析：

在设置环境变量评估此脚本的输出后，我可以使用 AWS 凭证启动我的服务。eval $(./parse-aws-cache.sh)

它今天对我有用，但我对这个解决方案有一些疑问：

• 我看不到这种行为在 AWS 中的记录位置；
• 还从一个名为something cache的目录中读取数据似乎并不可靠；
• 我不知道在具有不同配置的其他机器上工作有多便携。

理想情况下，我希望得到一个答案：

• 提供另一种更可靠的方式来获取这些环境变量；
• 或者给出一个合理的确认，从缓存文件中解析这些变量的方法实际上是可以使用的。

查看本指南： https ://aws.amazon.com/blogs/security/use-new-account-assignment-apis-for-aws-sso-to-automate-multi-account-access/

它仅显示如何将权限集分配给现有用户。还查看了 cloudformation 文档，它没有提及有关用户的任何内容。

有没有办法通过 cloudformation 或 cdk 创建 aws sso 用户？

在默认情况下配置 AWS SSO SAML 2.0 应用程序时，它不包括，NameIdFormat如果我们为我们的服务提供商使用此默认元数据，Sustainsys/Saml2 会给出如下错误。我们可以使用哪种配置使其在没有任何定义的情况下工作NameIdFormat？

身份提供者提供的元数据

请注意元数据中的 <md:NameIDFormat />

Sustainsys/Saml2 返回错误