Здесь я пытаюсь создать временные учетные данные (Access / Secret Key) для федеративных пользователей, которые входят в систему через приложение GSuite SAML для AWS.
Настройка консоли AWS в порядке и работает правильно.Тем не менее, когда речь заходит о ключах для доступа к API / CLI, нам приходится управлять другим списком пользователей IAM, который не справляется с задачей единого входа.
Согласно моему разговору со службой поддержки AWS, мытребуется SAML Response для генерации учетных данных через aws-cli:
aws sts assume-role-with-saml \
--role-arn arn:aws:iam::000000000000:role/saml-role \
--principal-arn arn:aws:iam::000000000000:saml-provider/GoogleApps \
--saml-assertion "<SAML_ASSERTION>" \
--policy '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":"*","Resource":"*"}]}' \
--output json \
--duration-seconds 28800
Приведенная выше команда сгенерирует JSON с соответствующими учетными данными, как показано ниже:
{
"PackedPolicySize": 4,
"SubjectType": "<SOMETHING>",
"AssumedRoleUser": {
"AssumedRoleId": "<SOMETHING>:xxx@xxx.in",
"Arn": "arn:aws:sts::000000000000:assumed-role/saml-role/xxx@xxx.in"
},
"Audience": "<SOMETHING>",
"NameQualifier": "<SOMETHING>",
"Credentials": {
"SecretAccessKey": "tbCsSecretAccessKeyGM6D/p9yPn",
"SessionToken": "FQoDYXdzEO3//////////wEaDFUtc0bSMkDKMOZutgF",
"Expiration": "2018-05-30T19:36:35Z",
"AccessKeyId": "ASIAAccessKeyId5V2Q"
},
"Issuer": "<SOMETHING>",
"Subject": "xxx@xxx.in"
}
В приведенной выше команде: Мы получаемКодированный в base64 код из URL-адреса единого входа ( LINK )
Моя основная проблема: как мне получить SAMLResponse через командную строку, чтобы я мог получить скрипт для автоматизации создания учетных данных.