Я настроил Amazon Simple AD и назначил пользователям AD определенные роли, которые позволяют им получить доступ к консоли AWS. Я пытаюсь найти способ, с помощью которого я могу предоставить программному доступу к ресурсам AWS этого же пользователя. Как эти простые пользователи AD могут получить ключ доступа и секретный ключ?

2
Cheezo 28 Май 2017 в 07:15

2 ответа

Лучший ответ

Пользователи AWS Simple AD не являются пользователями AWS IAM. Это различие. Только пользователи IAM могут получить ключи для доступа к API AWS.

В приведенном выше утверждении есть исключение - если вы устанавливаете федеративный поставщик удостоверений в IAM. Существует много поддерживаемых федеративных поставщиков удостоверений, которые используют SAML (OIDC тоже работает), но, поскольку у вас уже есть Simple AD, вы также можете использовать ADFS. Это немного сложно, но AWS недавно выпустила готовый шаблон CloudFormation специально для развертывания ADFS: http://docs.aws.amazon.com/quickstart/latest/wap-adfs/welcome.html

После того как ADFS настроена и сопоставлена с вашими пользователями AD ... они по-прежнему не могут получить ключи доступа для API! ... но они могут использовать федеративную аутентификацию для аутентификации как себя с API-интерфейсами AWS:

PowerShell (полезная часть находится более чем на полпути): http: //docs.aws.amazon.com/powershell/latest/userguide/saml-pst.html

CLI для Linux: https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and- объявление фс /

1
Jeff 30 Май 2017 в 04:41

Вы не можете использовать пары ключей (ключ доступа и секретный ключ) для входа в консоль AWS. Для этого вы можете создавать пользователей и создавать пароли (они отличаются от пар ключей). Насколько я понимаю, пары ключей используются только для программных целей, их можно использовать для SDK, API-интерфейсов AWS и AWS CLI.

Чтобы разрешить пользователям AD (и паролям) входить в консоль AWS, вам необходимо внедрить / включить федерацию, но это не так просто, как вы думаете. Я нашел это руководство, надеюсь, это поможет! Включение федерации в AWS с использованием Windows Active Directory, ADFS и SAML 2.0

0
Moisés 30 Май 2017 в 04:28