Acabei criando uma pequena aplicação web que executamos internamente e que emitirá credenciais temporárias da AWS para nossos usuários. AssumeRole. Tem dois modos de operação:
-
Usando o SSO: o usuário visita um URL e consegue ver as credenciais que ele pode copiar.
-
Cliente de linha de comando: faz uma solicitação https ao webapp (com nome de usuário e senha do Okta). Se a autenticação com o Okta for bem-sucedida, o cliente gravará as credenciais em ~ / .aws / credentials.