AWS可以与联邦登录一起使用吗？

Question

我用公司的Active Directory帐户登录AWS。我们使用的是联邦登录，正如所描述的这里

联合用户和角色 联邦用户在AWS帐户中没有IAM用户那样的永久身份。若要向联邦用户分配权限，可以创建一个称为角色的实体，并为该角色定义权限。当联邦用户登录到AWS时，用户将与角色相关联，并被授予角色中定义的权限。有关更多信息，请参见为第三方身份提供程序(联邦)创建角色。

我的公司有一个安全令牌服务(STS)，它是一个SAML提供者。

我可以使用它登录到AWS管理控制台，但我也可以使用联邦登录登录到AWS吗？

Answer 1

是的，这是有可能的，但这并不是直接的。AWS安全博客中有一篇相当长的博客文章，解释如何将CLI作为SAML联邦用户使用：https://aws.amazon.com/de/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/

Answer 2

saml2aws可用于联邦用户的AWS。

参考https://github.com/Versent/saml2aws，这是基于https://aws.amazon.com/de/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/的python代码

您可以使用以下命令登录到默认的IDP帐户，您的组织将向您提供IDP帐户名。

saml2aws --idp-account="default" --username=USERNAME --password=PASSWORD

要将联邦用户用于自动化，您需要使用exec

saml2aws --idp-account="default" --username=USERNAME --password=PASSWORD exec command