6

Ho cercato di ottenere la console AWS (web) collegata a un'installazione AD o ADFS per la gestione degli utenti. È stato ragionevolmente facile lavorare con un provider di identità SAML in IAM e alcune infrastrutture ADFS esistenti.Chiavi di accesso AWS (per l'autenticazione CLI, ecc.) Per gli utenti di un provider di identità SAML o connettore AD?

Il problema è che gli utenti che effettuano l'autenticazione in questo modo, in contrapposizione ai normali account utente AWS, non hanno alcun modo di avere le chiavi di accesso associate per quanto posso dire. Le chiavi di accesso sono un concetto chiave per l'autenticazione di elementi come la CLI di AWS, che deve essere legata ai singoli account utente.

Quali sono le soluzioni alternative per consentire a un utente autenticato tramite un provider di identità SAML di essere ancora in grado di utilizzare facilmente la CLI aws? L'unica cosa che mi è venuta in mente è una cazzata hacky che dovrebbe delegare il comando cli aws, richiedere credenziali temporanee di 1 ora dal servizio AWS di aws, metterle nel file delle credenziali aws e inoltrare il comando al normale AWS cli. Ma questo mi fa venir voglia di vomitare un po '; Inoltre, non ho idea se funzionasse se un comando impiegasse più di un'ora per completare (grandi caricamenti s3, ecc.)

Suggerimenti? Proverei il connettore AD ufficiale del servizio di directory, ma la mia comprensione è che gli utenti assumono ancora solo ruoli IAM e alla fine avrebbero lo stesso problema.

risposta

0
+0

sì. Entrambi gli articoli riguardano lo stesso tipo di configurazione SAML in IAM per l'accesso alla console Web (che funziona correttamente). Il secondo include il metodo di base "hacky" che ho suggerito/menzionato per il funzionamento dell'autenticazione CLI; ma, non è una soluzione molto facile da usare. Sto specificatamente cercando di capire se ci sono soluzioni diverse per l'autenticazione CLI (o qualsiasi altra cosa che richiede le chiavi di accesso) – jdc0589

0

Ho avuto successo con aws-adfs per AWS CLI tramite ADFS

Il proprietario repo sta attualmente aggiungendo il supporto per DUO MFA pure. Funziona autenticando l'utente alla stessa pagina che si utilizzerà per l'accesso alla console e quindi raschiando i ruoli disponibili. Scegli un ruolo e quindi aws-adfs imposta l'utente predefinito sul set di credenziali necessario per l'accesso a sts.

Dopo che l'utente di default è impostato è possibile cli come normale: aws s3 ls

https://github.com/venth/aws-adfs

+0

aws-adfs è stato aggiornato per gestire le richieste push DUO. –

Problemi correlati