Nós configuramos as funções do IAM que permitem que usuários federados autenticados com o Okta obtenham acesso ao AWS Console.
Alguns dos usuários precisam de chaves de acesso temporárias da AWS para usar localmente as ferramentas de linha de comando da AWS.
Existe alguma maneira de esses usuários criarem chaves de acesso temporário no console da AWS ou em um script de shell?
Acabei criando uma pequena aplicação web que executamos internamente e que emitirá credenciais temporárias da AWS para nossos usuários. AssumeRole. Tem dois modos de operação:
Usando o SSO: o usuário visita um URL e consegue ver as credenciais que ele pode copiar.
Cliente de linha de comando: faz uma solicitação https ao webapp (com nome de usuário e senha do Okta). Se a autenticação com o Okta for bem-sucedida, o cliente gravará as credenciais em ~ / .aws / credentials.
Em um projeto recente, precisei que os usuários utilizassem o Okta para acessar o console da AWS e usar o AWS CLI. Então, eu escrevi uma ferramenta que irá gerar credenciais temporárias da AWS (do STS) usando uma asserção SAML gerada a partir de um login do Okta que pode ser usado com a CLI.
Isso permite que todo o acesso da AWS seja intermediado via Okta e permite que o login do MFA seja necessário para o acesso ao console e à CLI.
A ferramenta, okta_aws_login.py, pode ser encontrada em GitHub e detalhes adicionais podem ser encontrados neste post em uma série Eu escrevi sobre como configurar a federação de usuários com a Okta e AWS .
Se eu entendi seu caso de uso corretamente, isso não é possível como tal, porque as credenciais temporárias resultantes do backing GetFederationToken não pode ser usada para chamar esses STS APIs, consulte a tabela Comparando recursos das APIs do AWS STS para detalhes.
Essa funcionalidade precisaria ser fornecida pela entidade responsável pelas credenciais de longo prazo da AWS (Okta), que poderiam oferecer a distribuição da tripla de credenciais temporárias resultante para copiar / colar nos cenários da AWS CLI.
Eu tenho uma solução para isso; link
O suporte para a maioria dos fatores do MFA vem pronto e é fácil de usar e implantar em estações de trabalho de desenvolvedores sem precisar de serviços adicionais ou dependências malucas. Você pode começar a usá-lo hoje com apenas um Python e um pip.
Essa ferramenta permite que os desenvolvedores onde seu acesso da AWS seja federado com o Okta para puxar chaves via STS que são gravados para ~/.aws/credentials sob um nome de perfil escolhido (opcionalmente) para que você possa gerenciar facilmente chaves de várias contas ou funções .
Tags amazon-iam