Amazon-Iam

為聯合 IAM 使用者創建臨時訪問密鑰

  • May 2, 2018

我們設置了 IAM 角色,允許通過 Okta 進行身份驗證的聯合使用者訪問 AWS 控制台。

一些使用者需要臨時 AWS 訪問密鑰才能在本地使用 AWS 命令​​行工具。

這些使用者有什麼方法可以在 AWS 控制台或 shell 腳本中創建臨時訪問密鑰?

在最近的一個項目中,我需要能夠讓使用者使用 Okta 來訪問 AWS 控制台和使用 AWS CLI。因此,我編寫了一個工具,該工具將使用從 Okta 登錄生成的 SAML 斷言(可與 CLI 一起使用)生成臨時 AWS 憑證(來自 STS)。

這允許通過 Okta 代理所有 AWS 訪問,並允許控制台和 CLI 訪問都需要 MFA 登錄。

該工具 okta_aws_login.py 可以在GitHub 上找到,更多詳細資訊可以在我寫的關於使用 Okta 和 AWS 設置使用者聯合的系列文章中找到。

如果我正確理解了您的案例,那麼這是不可能的,因為從支持GetFederationToken API 操作生成的臨時憑證本身不能用於呼叫這些STS API,有關詳細資訊,請參閱表比較 AWS STS API的功能。

此功能需要由負責長期 AWS 憑證 (Okta) 的實體提供,這可以提供分發生成的臨時憑證三元組以將其複制/粘貼到 AWS CLI 場景中。

引用自:https://serverfault.com/questions/652982