当前,我们计划将AWS CLI用于各种用例。作为I&AM架构师,我想使用我们现有的Active Directory凭据,而不是创建新的IAM用户和密钥。
我们也有ADFS,并且基于为AWS CLI的ADFS集成指定的examples,我能够创建PowerShell,Python和Java示例脚本来使用AD凭证,并使用AWS STS创建临时凭证。 。工作正常。但是,要使我们的开发团队理解,我面临着挑战,即使用基于SAML的身份验证而不是AWS CLI中的永久密钥的好处。
资深架构师和开发人员,我想听听您如何在组织中实施AWS CLI身份验证。
答案 0 :(得分:1)
我们已经集成了ADFS,并将IAM角色与AD组映射。我们只需将用户添加到特定的AD组中,他们就可以使用其AD凭证访问AWS Console。
我们使用saml2aws,它允许使用相同的AD凭证以编程方式访问AWS。最好的部分是它能够将RSA作为我们的MFA提供程序。
登机和登机的用户都很容易,因为我们无需在AD之外做任何额外的事情。
分发永久访问密钥显然是不安全的,应该避免。