问题标签 [aws-sso]

目前，我在另一个账户中有一堆 IAM 用户（未绑定到 AWS SSO）。

我最近开始使用 AWS-SSO 来管理多个账户和用户。我发现它非常有效且易于管理。

问：如何将用户从另一个 AWS 账户移动/迁移到我当前账户中的 AWS SSO？

我找到了一些关于如何将账户移动到组织单位 (OU) 的资源，但我在 AWS SSO 账户中看不到任何本地用户。

我正在按照本教程在 AWS 中创建 EUC 仪表板。要登录仪表板，您应该链接 SSO 和 Cognito。不幸的是，我的环境与教程中的环境不同：

我的用户管理在 Microsoft Azure 上运行，AWS SSO 检查 Azure 进行身份验证。用户只有一个用户名（以电子邮件的形式），而不是电子邮件。在本教程中，（在模块 2，步骤 4，§18）SSO 应用程序的属性映射通过将 ${user.email} 映射到此模式来完成http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress。

相反，我想映射我的用户名。

我已经阅读了 AWS 文档中的属性映射，但这还不足以让我解决这个问题。

如何使这项工作适用于我的设置？

为什么在通过 AWS Control Tower Account Factory 创建新的 AWS 账户时还需要创建 SSO 用户？已经有一封用于 root 用户的电子邮件，AWS SSO无论如何您都可以分配用户/组，那么创建 SSO 用户的目的是什么？您可能不想要新用户，还是我应该简单地输入现有 SSO 用户的电子邮件？

有没有人找到在 SCIM 访问令牌到期日期临近时自动收到通知的方法？这是为了帮助将外部身份提供程序用于带有 Azure AD 的 SSO。AzureAD 在 SAML 证书到期前 90、60、30 和 7 天自动通知您，但是对于在 AWS 端使用访问令牌生成的 SSO 配置，似乎没有一种方法可以自动通知该令牌即将到期时的用户。任何帮助将不胜感激。

我正在尝试使用 azure ad 登录来访问 AWS 管理控制台。我已更改所有配置，但找不到更改 AWS 使用的门户 URL 的选项。

谁能帮我理解，我如何修改门户 URL 以使用我的自定义域名（如 sso.example.com）？

[注意：我已经浏览了 AWS 文档。在文档中，提到我们可以更改 awsapps.com 域的子域，但我看不到如何将域从 awsapps.com 更改为 example.com]

我正在使用下面的 PowerShell (v7) 脚本来自定义 AWS SSO 登录流程。它基于有效的 .net 实现：

错误

当我在 Powershell (v7) 中运行此脚本时，出现异常：

此线程中没有可用于运行脚本的运行空间。 您可以在 System.Management.Automation.Runspaces.Runspace 类型的 DefaultRunspace 属性中提供一个。您尝试调用的脚本块是： param($x) ...cationUriComplete

看起来在调用我的脚本委托时出现问题$ssoCredentials.Options.SsoVerificationCallback

问题

如何配置我的脚本/PowerShell 会话，以便我的SsoVerificationCallback委托执行而不会引发错误？

研究

我猜这个问题与调用 SsoVerificationCallback 委托的 C# 代码有关，它现在是一个 PSScriptBlock(?)，并且在 C# 和 PowerShell 之间来回编组出现问题。

环顾 SO，SsoVerificationCallback调用不是 Async，尽管它是在 async method 内部调用的GetSsoTokenAsync，所以我不认为Runspace issus using async APIs from Powershell适用。

而且我没有直接拨打网络电话，因此请在博客中提供提示，例如https://www.agilepointnxblog.com/powershell-error-there-is-no-runspace-available-to-run-scripts-in-this -thread/推荐的设置[System.Net.ServicePointManager]::ServerCertificateValidationCallback = $null也没有产生任何影响。

我的公司目前设置为使用 AWS SSO 来访问查询 AWS Athena。我已将 Simba Athena ODBC 驱动程序配置为使用从控制台获得的 IAM 凭证，但每次会话到期时复制和粘贴它们是令人讨厌的过程。

“IAM 配置文件”或“实例配置文件”身份验证选项都没有使用我在 ~/.aws/config 中设置的命名配置文件。

是否有任何人都知道的解决方法？

我正在迁移到 AWS SSO 以进行 cli 访问，到目前为止，它适用于除 kubectl 之外的所有内容。在对其进行故障排除时，我遵循了一些指南，这意味着我最终做出了一些货物崇拜行为，而且我显然在我的心智模型中遗漏了一些东西。

kubectl 获取 pod

调用 AssumeRole 操作时发生错误 (AccessDenied)：用户：arn:aws:sts:::assumed-role/AWSReservedSSO_DeveloperReadonly_a6a1426b0fdf9f87/ 无权执行：sts:AssumeRole on resource:arn:aws:iam:::role/ aws-reserved/sso.amazonaws.com/us-east-2/AWSReservedSSO_DeveloperReadonly_a6a1426b0fdf9f87

有趣的是，它似乎试图承担它已经使用的相同角色，但我不知道如何解决它。

~/.aws/config （子集 - 我有其他配置文件，但它们在这里不相关）

~/.kube/config（删除了集群）

aws-auth mapRoles 片段

我错过了什么明显的东西？我已经查看了具有类似问题的其他 stackoverflow 帖子，但没有一个具有arn:aws:sts:::assumed-role -> arn:aws:iam:::role路径。

以下是我为 AWS SSO 权限集添加/更新内联策略的 Python 代码：

我收到错误消息：

"errorMessage": "调用 PutInlinePolicyToPermissionSet 操作时发生错误 (AccessDeniedException)：用户：arn:aws:sts::ddddddd:assumed-role/Modify_Permission_Set-role-ssss/Modify_Permission_Set 无权执行：sso:PutInlinePolicyToPermissionSet on resource : arn:aws:sso:::permissionSet/ssoins-sssss/ps-sssss"

我尝试为执行该函数的 Lambda 角色添加管理员策略，但仍然被拒绝权限。

是否有与常规 IAM 权限不同的方式来处理 SSO 权限集？

附加到 Lambda 的管理策略

我实际上之前已经这样做过，但无法弄清楚我使用的设置）：

基本上我想将 AWS SSO 设置为 Cognito 的外部 IdP。我之前通过 SAML 完成了此操作，但我不记得我在 AWS SSO 部分的应用程序设置中使用了哪些值，我认为是：

• 应用 ACS URL：https://{full custom domain}/saml2/idpresponse
• 应用程序 SAML 受众 {cognito userpool id}

但这行不通。