При создании временных ключей доступа для federeated я - пользователи
Мы настроили, я - роли, которые позволяют федеративным пользователям, которые аутентифицируются с Okta для получения доступа к Консоли AWS.
Некоторым пользователям нужны временные ключи доступа AWS для использования инструментов командной строки AWS локально.
Есть ли какой-либо способ для тех пользователей создать временные ключи доступа в консоли AWS или сценарии оболочки?
. В итоге я создал небольшое веб-приложение , которое мы запустили внутри, и которое будет выдавать временные AWS мандаты для наших пользователей, использующих AssumeRole. У него два режима работы:
Использование SSO: пользователь заходит в url и видит учетные данные, которые он может скопировать.
Клиент командной строки: делает https запрос к веб-приложению (с именем пользователя и паролем Okta). Если аутентификация в Okta прошла успешно, клиент записывает учетные данные в ~/.aws/credentials.
Если я правильно понимаю ваш вариант использования, то это невозможно как таковой, поскольку полученные временные учетные данные, полученные в результате действия API-поддержки GetFederationToken, сами по себе не могут быть использованы для вызова этих STS API, подробнее см. в таблице Сравнение возможностей AWS STS API.
Эта функциональность должна быть предоставлена организацией, отвечающей за долгосрочные мандаты AWS (Okta), которая могла бы предложить раздать полученные временные мандаты триплет для копирования/вставки в сценарии AWS CLI.
.В недавнем проекте мне нужно было дать пользователям возможность использовать Okta для доступа как к консоли AWS, так и к использованию интерфейса командной строки AWS. Итак, я написал инструмент, который будет генерировать временные учетные данные AWS (из STS) с использованием утверждения SAML, сгенерированного из входа в систему Okta, которое можно использовать с CLI.
Это позволяет осуществлять весь доступ к AWS через Okta и позволяет Вход в MFA необходим как для доступа к консоли, так и для доступа к интерфейсу командной строки.
Инструмент okta_aws_login.py можно найти на GitHub , а дополнительные сведения можно найти в этом сообщении в блоге о серии статей о настройке вверх федерация пользователей с Okta и AWS .
У меня есть решение для этого; https://github.com/nathan-v/aws_okta_keyman
Поддержка большинства факторов MFA идет из коробки, и ее легко использовать и развертывать на рабочих станциях разработчиков, не требуя дополнительных услуг или безумных зависимостей. . Вы можете начать использовать его сегодня, используя только Python и pip.
Этот инструмент позволяет разработчикам, у которых доступ к AWS объединен с Okta, извлекать ключи через STS, которые записаны в ~ / .aws / credentials для них под именем профиля, которое они выбирают (необязательно), чтобы вы могли легко управлять ключами из нескольких учетных записей или ролей.