Метод аутентификации CLI AWS, ключи AWS или AssumeRoleWithSAML?

Question

В настоящее время мы планируем использовать интерфейс командной строки AWS для различных вариантов использования.Как архитектор I & AM я хотел бы использовать существующие учетные данные Active Directory, а не создавать новых пользователей и ключей IAM.

У нас также есть ADFS и на основе примеров , приведенных для ADFSБлагодаря интеграции с AWS CLI я смог создать примеры сценариев PowerShell, Python и Java для использования учетных данных AD и использования AWS STS для создания временных учетных данных.Работает нормально.Однако я сталкиваюсь с проблемами, чтобы наши команды разработчиков поняли преимущества использования аутентификации на основе SAML вместо постоянных ключей в CLI AWS.

Коллеги-архитекторы и разработчики, я хотел бы услышать от вас, как у васвнедрил аутентификацию CLI AWS в вашей организации.

Answer 1

Мы интегрировали ADFS и сопоставили роли IAM с группами AD.Мы просто добавляем пользователей в определенные группы AD, и они получают доступ к консоли AWS, используя свои учетные данные AD.

Мы используем saml2aws , который обеспечивает программный доступ к AWS с использованием тех же учетных данных AD.Самое приятное, что он может работать с RSA в качестве нашего поставщика MFA.

Пользователь на посадку и на посадку легко, так как нам не нужно ничего делать вне AD.

Раздача ключей постоянного доступа явно небезопасна и ее следует избегать.