ユーザーを管理するために、AWS (ウェブ) コンソールを AD または ADFS セットアップに接続することを検討しています。IAM の SAML ID プロバイダーといくつかの既存の ADFS インフラストラクチャを操作するのはかなり簡単でした。
問題は、通常の AWS ユーザー アカウントとは対照的に、そのように認証するユーザーには、私が知る限りアクセス キーを関連付ける方法がないことです。アクセス キーは、個々のユーザー アカウントに関連付ける必要がある AWS CLI などを認証するための重要な概念です。
SAML ID プロバイダーを介して認証されたユーザーが引き続き aws CLI を簡単に使用できるようにするための回避策は何ですか? 私がこれまでに思いついた唯一のことは、awscli コマンドをプロキシし、aws STS サービスから一時的な 1 時間の資格情報を要求し、それらを aws 資格情報ファイルに入れ、コマンドを通常の AWS に転送するハックがらくたです。 cli。でも、それだとちょっと吐きたくなります。さらに、コマンドの完了に 1 時間以上かかった場合 (大規模な s3 アップロードなど) に機能するかどうかはわかりません。
提案?公式の Directory Service AD コネクタを試してみますが、ユーザーは依然として IAM ロールを想定しているだけで、最終的には同じ問題が発生することを理解しています。