Ich habe versucht, die AWS (Web) -Konsole mit einem AD- oder ADFS-Setup zur Verwaltung von Benutzern zu verbinden. Es war sehr einfach, mit einem SAML-Identity-Provider in IAM und einer vorhandenen ADFS-Infrastruktur zu arbeiten.AWS-Zugriffsschlüssel (für die CLI-Authentifizierung usw.) für Benutzer von einem SAML-Identitätsanbieter oder AD-Connector?
Das Problem ist, dass Benutzer, die auf diese Weise authentifizieren, im Gegensatz zu normalen AWS-Benutzerkonten, keine Möglichkeit haben, zugeordnete Zugriffsschlüssel zu haben, soweit ich das beurteilen kann. Zugriffsschlüssel sind ein Schlüsselkonzept für die Authentifizierung von Inhalten wie der AWS-CLI, die mit einzelnen Benutzerkonten verknüpft werden muss.
Was sind die Problemumgehungen, damit ein über einen SAML-Identity-Provider authentifizierter Benutzer die aws-CLI weiterhin problemlos verwenden kann? Das Einzige, was mir zu weit gekommen ist, ist ein Hacky-Mist, der den CLI-Befehl aws
ableitet, temporäre 1-stündige Anmeldeinformationen vom aws-STS-Dienst anfordert, sie in die aws-Anmeldedatei legt und den Befehl an den normalen weiterleitet AWS cli. Aber das bringt mich dazu, mich ein wenig zu übergeben; plus, ich habe keine Ahnung, ob es funktionieren würde, wenn ein Befehl eine Stunde dauern würde (große s3 Uploads, etc ..)
Vorschläge? Ich würde versuchen, den offiziellen Directory Service AD-Connector, aber mein Verständnis ist, Benutzer nehmen immer noch nur IAM Rollen und würde letztlich das gleiche Problem haben.
ja. Beide Artikel behandeln denselben Typ von SAML-Setup in IAM für den Zugriff auf Webkonsolen (was gut funktioniert). Die zweite beinhaltet die grundlegende "Hacky" -Methode, die ich vorgeschlagen habe, um die CLI-Authentifizierung zum Laufen zu bringen. aber es ist keine sehr benutzerfreundliche Lösung. Ich versuche speziell zu sehen, ob es verschiedene Lösungen für die CLI-Authentifizierung gibt (oder irgendetwas anderes, das Zugriffsschlüssel benötigt). – jdc0589