我使用我公司的Active Directory帐户登录AWS。我们正在使用联合登录,如here所述:
联合用户和角色
联盟用户在您的AWS账户中没有IAM用户的永久身份。要为联合用户分配权限,您可以创建一个称为角色的实体并定义该角色的权限。当联合用户登录AWS时,该用户与该角色关联,并被授予该角色中定义的权限。有关更多信息,请参阅为第三方身份提供程序创建角色(联合)。
我的公司有一个安全令牌服务(STS),它是一个SAML提供商。
我可以使用它来登录AWS管理控制台,但是我可以通过联合登录登录AWS CLI吗?
答案 0 :(得分:3)
是的,这是可能的,但这并不是直截了当的。 AWS安全博客中有一篇相当长的博客文章,解释了如何将CLI用作SAML联合用户:https://aws.amazon.com/de/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/
答案 1 :(得分:1)
saml2aws可以用于联盟用户的AWS CLI。
请参考https://github.com/Versent/saml2aws,这是基于https://aws.amazon.com/de/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/的python代码
您可以使用以下命令登录默认的IDP AWS帐户,您的组织将为您提供IDP帐户名称。
saml2aws --idp-account="default" --username=USERNAME --password=PASSWORD
要使用联盟用户进行自动化,您需要使用exec
saml2aws --idp-account="default" --username=USERNAME --password=PASSWORD exec command