我已经设置了Amazon Simple AD并为AD用户分配了特定角色,使他们能够访问AWS控制台。我试图找到一种方法,我可以提供相同的用户编程访问AWS资源。基本上如何才能让这些简单的AD用户成为访问密钥&秘密密钥?
答案 0 :(得分:1)
AWS Simple AD用户不是AWS IAM用户。这就是区别。只有IAM用户才能获取用于访问AWS API的密钥。
上述声明有一个例外 - 如果您在IAM中设置了联合身份提供程序。有许多支持使用SAML的联合身份提供程序(OIDC也可以),但由于您已经有一个简单AD,因此您也可以使用ADFS。设置起来有点痛苦,但AWS最近发布了专门用于部署ADFS的预制CloudFormation模板:http://docs.aws.amazon.com/quickstart/latest/wap-adfs/welcome.html
一旦你设置了ADFS并映射到你的AD用户......他们仍然无法获得API的访问密钥!...但是他们可以使用联合身份验证来自己使用AWS API进行身份验证:
PowerShell(有用的部分超过一半):http://docs.aws.amazon.com/powershell/latest/userguide/saml-pst.html
答案 1 :(得分:0)
您无法使用密钥对(访问密钥和密钥)登录AWS控制台(UI)。您可以为此目的创建用户并生成密码(这些密钥与密钥对不同)。我的理解是密钥对仅用于编程目的,您可以将它们用于SDK,AWS API和AWS CLI。
要允许AD用户(和密码)登录AWS控制台,您必须实施/启用联盟,但这并不像您想象的那么简单。我找到了这个指南,希望它有所帮助! Enabling Federation to AWS Using Windows Active Directory, ADFS, and SAML 2.0