我们正在将GoogleColab用于我们的Python DataScience工具(因为Google有非常不错的硬件免费提供)。我们的大多数脚本也需要访问AWS账户的资源。例如,触发lambda,访问S3文件,与DynamoDB表进行通信等。
因此,我们需要AWS访问密钥才能访问AWS资源。另外,我们希望我们组织的经过域验证的用户仅能访问AWS(xyz @ abc.com )。就是说,我们不希望人们通过其xyz**@gmail.com**帐户登录GoogleColab并仍然能够访问AWS资源。
当前,我们实施的解决方案是,我们已经在Google帐户中创建了一个项目。然后,我们将该项目与AWS Cognito身份池关联。为了进行身份验证,我们访问了(该Google Project的)URL,该URL要求我们登录。当我们使用相应的域电子邮件地址登录时,我们会将用户重定向到GoogleColab。重定向页面的URL包含代码,然后可以与Google交换该代码以获取OpenConnect ID令牌。然后可以将OpenID Connect令牌与AWS Cognito交换以获得临时AWS凭证。
我的问题:这是解决问题的正确方法吗?如果没有,我们还有什么其他方式?