SSO federado para AWS usando o CLI

1

Nós configuramos com sucesso um idP externo usando o google e o conectamos à AWS. Nossos usuários agora têm o SSO federado com a AWS e podem fazer login facilmente no console da web com a função de federação SAML 2.0 que criamos. Esse papel também permite acesso programático, mas não consigo encontrar nenhuma documentação sobre como fazer isso. A maneira normal de fazer isso é que criamos um usuário do IAM que usa suas próprias chaves de acesso com a CLI, mas, nesse caso, não temos nenhum usuário do IAM ... eles estão se autenticando fora da AWS. Alguém tem alguma idéia de como configurar isso?

    
por Ryan Ferretti 16.10.2018 / 17:34

1 resposta

2

Isso é factível, mas não muito conveniente. Existe um plug-in do Chrome para extrair os valores de chave de acesso, chave secreta e token de segurança (necessários para um login do STS por meio da CLI) após o login no Console da AWS por meio do SAML. Isso lida com o back-on-forth entre o provedor de identidade e o ponto de extremidade SAML para a AWS.

Para uma solução de CLI pura, receio que você tenha que fazer alguns scripts. A rota está descrita na documentação da AWS , mas envolve:

  1. O cliente envia uma solicitação ao IdP da sua organização.
  2. O servidor IdP envia uma declaração SAML de volta.
  3. O cliente atinge o ponto de extremidade da API do AWS AssumeRoleWithSAML ( aws sts assume-role-with-saml )
  4. O AWS retorna a chave de acesso, a chave secreta e o token de segurança necessários para autenticação.

Nesse ponto, você tem credenciais. Depois de aplicá-las ao seu ambiente, os comandos da CLI funcionam da maneira que sempre foram. Para scripts autônomos, sua capacidade de usar essa rota depende inteiramente da capacidade do seu IdP de permitir esse fluxo de trabalho.

    
por 16.10.2018 / 17:57