gimme aws creds

gimme-aws-creds ist eine CLI, die einen Okta-IdP über SAML nutzt, um temporäre AWS-Anmeldeinformationen über AWS STS zu erhalten.

Okta ist ein SAML-Identitätsanbieter (IdP), der einfach für SSO mit Ihrer AWS-Konsole eingerichtet werden kann. Okta bietet zwar ein OSS-Java-CLI-Tool an, um temporäre AWS-Anmeldeinformationen zu erhalten, aber ich habe festgestellt, dass es mehr Informationen benötigt, als der durchschnittliche Okta-Benutzer haben würde, und sich nicht gut skalieren lässt, wenn er mehr als eine Okta-App hat.

Bei gimme-aws-creds müssen Sie lediglich Ihren Benutzernamen, Ihr Passwort, Ihre Okta-URL und Ihr MFA-Token kennen, sofern MFA aktiviert ist. gimme-aws-creds bietet Ihnen die Möglichkeit auszuwählen, für welche Okta AWS-Anwendung und -Rolle Sie Anmeldeinformationen benötigen. Alternativ können Sie die App und den Rollennamen vorkonfigurieren, indem Sie -c übergeben oder die Konfigurationsdatei bearbeiten. Dies alles wird im Abschnitt „Nutzung“ behandelt.

Okta ist eine eingetragene Marke von Okta, Inc. und dieses Tool steht in keiner Verbindung zu oder wird von Okta, Inc. gesponsert.

Okta SAML-Integration in AWS mithilfe der AWS-App

Python 3.7+

gimme-aws-creds ist für die WebAuthn-Unterstützung auf die Bibliothek ctap-keyring-device angewiesen. Alle veröffentlichten Versionen von ctap-keyring-device erfordern winRT unter Windows, das nur unter Python 3.9 und niedriger funktioniert und nicht mehr gepflegt wird. Bis eine Version von ctap-keyring-device, die winSDK (den Ersatz für winRT) unterstützt, für PyPi veröffentlicht wird oder eine andere Lösung gefunden wird, ist die WebAuthn-Unterstützung für Benutzer, die Python 3.10+ unter Windows ausführen, nicht verfügbar.

Gimme-creds-lambda kann als Proxy für die von gimme-aws-creds benötigten Okta-APIs verwendet werden. Dadurch entfällt die Anforderung eines Okta-API-Schlüssels. Gimme-aws-creds authentifiziert sich bei gimme-creds-lambda mithilfe von OpenID Connect und das Lambda verarbeitet alle Interaktionen mit den Okta-APIs. Alternativ können Sie die Umgebungsvariable OKTA_API_KEY und den Konfigurationswert gimme_creds_server auf „internal“ setzen, um die Okta-APIs direkt von gimme-aws-creds aus aufzurufen.

Dies ist ein Python 3-Projekt.

Installation/Upgrade von PyPi:

pip3 install --upgrade gimme-aws-creds

ODER

Installieren/aktualisieren Sie das neueste gimme-aws-creds-Paket direkt von GitHub:

pip3 install --upgrade git+git://github.com/Nike-Inc/gimme-aws-creds.git

ODER

Installieren Sie das Paket gimme-aws-creds, wenn Sie die Quelle bereits geklont haben:

python -m pip install .

ODER

Verwenden Sie Homebrew

brew install gimme-aws-creds

ODER

Mit Nix-Flocken verwenden

 # flake.nix
# Use by running `nix develop`
{
  description = " Shell example " ;

  inputs.flake-utils.url = " github:numtide/flake-utils " ;
  inputs.nixpkgs.url = " github:nixos/nixpkgs/nixos-unstable " ;
  inputs.gimme-aws-creds.url = " github:Nike-Inc/gimme-aws-creds " ;

  outputs = {
    self,
    nixpkgs,
    flake-utils,
    gimme-aws-creds,
    ...
  } @ inputs:
    flake-utils.lib.eachDefaultSystem
    (
      system: let
        pkgs = nixpkgs.legacyPackages. ${system} ;
      in {
        devShells.default = pkgs.mkShell {
          packages = [pkgs.bash gimme-aws-creds.defaultPackage. ${system} ] ;
        } ;
      }
    ) ;
}

ODER

Verwendung mit Original-Nix

 # shell.nix
# Use by running `nix-shell`
{pkgs ? import < nixpkgs > {}, ...}:
with pkgs ; let
  gimme-src = fetchgit {
    name = " gimme-aws-creds " ;
    url = " https://github.com/Nike-Inc/gimme-aws-creds " ;
    branchName = " master " ;
    sha256 = "  " ; # nix-prefetch-url --unpack https://github.com/Nike-Inc/gimme-aws-creds/archive/master.tar.gz
  } ;

  gimme-aws-creds = import gimme-src ;
in
  mkShell rec {
    name = " gimme-aws-creds " ;

    buildInputs = [
      bash
      (gimme-aws-creds.default)
    ] ;
  }

ODER

Erstellen Sie das Docker-Image lokal:

docker build -t gimme-aws-creds .

Zur Vereinfachung können Sie mit Docker auch einen Alias ​​für den Befehl gimme-aws-creds erstellen:

 # make sure you have the "~/.okta_aws_login_config" locally first!
touch ~ /.okta_aws_login_config && 
alias gimme-aws-creds= " docker run -it --rm 
  -v ~/.aws/credentials:/root/.aws/credentials 
  -v ~/.okta_aws_login_config:/root/.okta_aws_login_config 
  gimme-aws-creds "

Mit dieser Konfiguration können Sie weitere Befehle nahtlos ausführen!

Wenn Sie Bash oder Zsh verwenden, können Sie eine automatische Vervollständigung für die Befehlszeilenoptionen und Profilnamen von gimme-aws-creds hinzufügen. Um die Autovervollständigungskonfiguration hinzuzufügen, fügen Sie am Ende Ihrer .bashrc- oder .zshrc-Datei Folgendes hinzu:

.bashrc

INSTALL_DIR= $( dirname $( which gimme-aws-creds ) )
source ${INSTALL_DIR} /gimme-aws-creds-autocomplete.sh "

.zshrc

INSTALL_DIR= $( dirname $( which gimme-aws-creds ) )
autoload bashcompinit
bashcompinit
source ${INSTALL_DIR} /gimme-aws-creds-autocomplete.sh

Es gibt zwei Möglichkeiten, gimme-aws-creds mit einer OIE-Domain zu verwenden:

• Geräteautorisierungsablauf
• Erzwingen der Verwendung des Okta Classic-Anmeldeablaufs

Dies ist die empfohlene Methode zur Authentifizierung mit OIE. Es entspricht dem vom AWS-Client von Okta verwendeten Ablauf. Wenn Sie gimme-aws-creds mit dem Geräteautorisierungsablauf verwenden, authentifizieren Sie sich über Ihren Browser. Das Speichern von Anmeldeinformationen im Schlüsselbund oder die Weitergabe von MFA-Codes über die Befehlszeile ist NICHT MÖGLICH.

Um gimme-aws-creds mit einer Okta Identity Engine (OIE)-Domäne zu verwenden, müssen Sie eine neue native OIDC-Anwendung erstellen und diese mit Ihren AWS-Integrations-App(s) verbinden.

Die native OIDC-Anwendung erfordert die Grant-Typen Authorization Code , Device Authorization und Token Exchange . Diese Einstellungen finden Sie in der Okta-Admin-Benutzeroberfläche unter Applications > [the OIDC app] > General Settings > Grant type .

Die Kopplung mit der AWS Federation-Anwendung erfolgt in den Anmeldeeinstellungen der Fed-App. Diese Einstellungen finden Sie in der Okta-Admin-Benutzeroberfläche unter Applications > [the AWS Fed app] > Sign On . Stellen Sie sicher, dass der Wert „ Allowed Web SSO Client auf die Client-ID der nativen OIDC-Anwendung festgelegt ist. Wiederholen Sie diese Einstellung für jede AWS-Anwendung, auf die Sie mit gimme-aws-creds zugreifen möchten.

Legen Sie abschließend die Client-ID in gimme-aws-creds fest ( gimme-aws-creds --action-configure oder aktualisieren Sie den Parameter client_id in Ihrer Konfigurationsdatei).

Stellen Sie sicher, dass Sie für die AWS Federation-Anwendung und die OIDC-Anwendung dieselbe Authentifizierungsrichtlinie verwenden (oder verwenden Sie zumindest für beide gleichwertige Richtlinienregeln). Wenn nicht, erhalten Sie beim Anfordern des Web-SSO-Tokens die Antwort 400 Bad Request .

Der in Okta Classic verwendete Anmeldeablauf funktioniert derzeit noch mit Okta Identity Engine-Domänen, ABER es gibt ein paar Einschränkungen:

• Der klassische Okta-Flow übergibt den stateToken Parameter, wenn er eine „Step-Up“-Authentifizierung anfordert. Diese Funktion wurde in OIE entfernt. Wenn also die Authentifizierungsrichtlinie Ihrer AWS-App(s) MFA erfordert, die globale Sitzungsrichtlinie jedoch nicht (oder wenn für den Zugriff auf AWS ein höherer MFA-Faktor erforderlich ist), können Sie sich nicht mit der klassischen Authentifizierung authentifizieren Anmeldefluss.
• MFA mit Okta Verify wird nur auf Mobilgeräten unterstützt. Okta Verify unter macOS/Windows wird nicht unterstützt.
• Passwortlose Authentifizierung und Endpunktsicherheitsprüfungen werden nicht unterstützt.

So richten Sie den Konfigurationslauf ein:

gimme-aws-creds --action-configure

Sie können auch verschiedene Okta-Konfigurationsprofile einrichten. Dies ist nützlich, wenn Sie über mehrere Okta-Konten oder Umgebungen verfügen, für die Sie Anmeldeinformationen benötigen. Sie können den Konfigurationsassistenten verwenden oder Folgendes ausführen:

gimme-aws-creds --action-configure --profile profileName

Ein Konfigurationsassistent fordert Sie auf, die notwendigen Konfigurationsparameter einzugeben, damit das Tool ausgeführt werden kann. Der einzige erforderliche Parameter ist okta_org_url . Die Konfigurationsdatei wird in ~/.okta_aws_login_config geschrieben, aber Sie können den Speicherort mit der Umgebungsvariablen OKTA_CONFIG ändern.

• conf_profile – Dies legt den Namen des Okta-Konfigurationsprofils fest, der Standardwert ist DEFAULT.
• okta_org_url – Dies ist die URL Ihrer Okta-Organisation, die normalerweise etwa https://companyname.okta.com lautet.
• okta_auth_server – Okta API-Autorisierungsserver, der für die OpenID Connect-Authentifizierung für gimme-creds-lambda verwendet wird
• client_id – OAuth-Client-ID für die Benutzerauthentifizierung in Okta Identity Engine und gimme-creds-lambda in Okta „classic“
• gib mir_creds_server
  • URL für gimme-creds-lambda
  • „intern“ für die direkte Interaktion mit den Okta-APIs (Umgebungsvariable OKTA_API_KEY erforderlich)
  • „appurl“, um eine Link-URL für eine AWS-Anwendung festzulegen. Durch diese Einstellung entfällt die Notwendigkeit eines OKTA-API-Schlüssels.
• write_aws_creds – True oder False – Wenn True, werden die AWS-Anmeldeinformationen in ~/.aws/credentials geschrieben, andernfalls werden sie in stdout geschrieben.
• cred_profile – Beim Schreiben in die AWS-Cred-Datei wird hierdurch der Name des AWS-Anmeldeinformationsprofils festgelegt.
  • Das reservierte Wort „ role verwendet die Namenskomponente der Rolle „arn“ als Profilnamen. Das heißt, arn:aws:iam::123456789012:role/okta-1234-role wird zum Abschnitt [okta-1234-role] in der AWS-Anmeldeinformationsdatei
  • Das reservierte Wort acc verwendet die Kontonummer (oder den Alias, wenn resolve_aws_alias auf „y“ gesetzt ist) als Profilnamen. Das heißt, arn:aws:iam::123456789012:role/okta-1234-role wird zum Abschnitt [arn:aws:iam::123456789012] oder wenn resolve_aws_alias [okta-1234-role] in der AWS-Anmeldeinformationsdatei.
  • Das reservierte Wort acc-role verwendet die Namenskomponente der Rolle „arn“ mit vorangestellter Kontonummer (oder einen Alias, wenn resolve_aws_alias auf „y“ gesetzt ist), um Kollisionen zu vermeiden, z. B. „arn:aws:iam::123456789012:role/okta-1234-role“. wird zum Abschnitt [123456789012-okta-1234-role], oder wenn resolve_aws_alias [okta-1234-role] in der AWS-Anmeldeinformationsdatei
  • Bei der default werden die temporären Anmeldedaten im Standardprofil gespeichert
  • Hinweis: Wenn mehrere Rollen vorhanden sind und default ausgewählt ist, wird sie mehrmals überschrieben und die letzte Rolle hat Vorrang. Das Gleiche passiert, wenn role ausgewählt ist und Sie viele Konten mit denselben Rollennamen haben. Erwägen Sie in diesem Fall die Verwendung von acc-role .
• aws_appname – Dies ist optional. Der Name der Okta AWS-App, die die Rolle hat, die Sie übernehmen möchten.
• aws_rolename – Dies ist optional. Der ARN der Rolle, für die Sie temporäre AWS-Anmeldeinformationen benötigen. Das reservierte Wort „all“ kann verwendet werden, um Anmeldeinformationen für jede Rolle abzurufen und zu speichern, für die der Benutzer berechtigt ist.
• aws_default_duration = Dies ist optional. Lebensdauer für temporäre Anmeldeinformationen in Sekunden. Standardmäßig 1 Stunde (3600)
• app_url – Wenn Sie die Einstellung „appurl“ für gimme_creds_server verwenden, wird dadurch die URL auf die in Okta konfigurierte AWS-Anwendung festgelegt. Normalerweise ist es so etwas wie https://something.okta[preview].com/home/amazon_aws/app_instance_id/something
• okta_username – verwenden Sie diesen Benutzernamen zur Authentifizierung
• enable_keychain – aktiviert die Verwendung des System-Schlüsselbunds zum Speichern des Benutzerkennworts
• Preferred_mfa_type – Wählen Sie automatisch ein bestimmtes Gerät aus, wenn Sie zur MFA aufgefordert werden:
  • Push – Okta Verify App Push oder DUO Push (abhängig vom von Okta bereitgestellten Anbietertyp)
  • token:software:totp – OTP mit der Okta Verify App
  • token:hardware – OTP mit Hardware wie Yubikey
  • Anruf – OTP per Sprachanruf
  • sms – OTP per SMS-Nachricht
  • E-Mail – OTP per E-Mail
  • web – DUO verwendet den Localhost-Webbrowser zur Unterstützung von Push|Call|Passcode
  • Passcode – DUO verwendet OKTA_MFA_CODE oder --mfa-code , falls festgelegt, oder fordert den Benutzer zur Eingabe des Passcodes (OTP) auf.
  • Claims_Provider – DUO Universal Prompt
• Preferred_mfa_provider – (optional) wählt automatisch einen bestimmten Anbieter aus, wenn Sie zur MFA aufgefordert werden:
  • GOOGLE
  • OKTA
  • DUO
• duo_universal_factor – (optional) Konfigurieren Sie, welcher Faktortyp mit Duo Universal Prompt verwendet werden soll. Muss einer der folgenden sein (Groß- und Kleinschreibung beachten):
  • Duo Push (Standard)
  • Passcode
  • Phone Call
• „resolve_aws_alias“ – y oder n. Wenn ja, versucht gimme-aws-creds, AWS-Konto-IDs mit entsprechenden Aliasnamen aufzulösen (Standard: n). Diese Option kann auch interaktiv in der Befehlszeile mit den Parametern -r oder --resolve festgelegt werden
• include_path – (optional) Enthält den vollständigen Rollenpfad zum Rollennamen im Namen des AWS-Anmeldeinformationsprofils. (Standard: n). Wenn y : -/some/path/administrator . Wenn n : -administrator
• Remember_device – y oder n. Wenn ja, wird das MFA-Gerät für eine begrenzte Zeit vom Okta-Dienst gespeichert. Diese Option kann auch interaktiv in der Kommandozeile mit -m oder --remember-device gesetzt werden
• Ausgabeformat – json , export oder windows , bestimmt das Standard-Ausgabeformat für Anmeldeinformationen, kann auch durch --output-format FORMAT und -o FORMAT angegeben werden.
• open-browser – Öffnen Sie den Geräteauthentifizierungslink automatisch im Standard-Webbrowser (nur Okta Identity Engine-Domänen).
• force-classic – Erzwingen Sie die Verwendung des Okta Classic-Anmeldevorgangs (nur Okta Identity Engine-Domänen)

Die Konfigurationsdatei folgt einem Konfigurationsdateiformat. Standardmäßig befindet es sich in $HOME/.okta_aws_login_config

Beispieldatei:

 [myprofile]
client_id = myclient_id

Konfigurationen können von anderen Konfigurationen erben, um gemeinsame Konfigurationsparameter zu nutzen.

 [my-base-profile]
client_id = myclient_id
[myprofile]
inherits = my-base-profile
aws_rolename = my-role

Wenn Sie weder gimme-creds-lambda noch appurl-Einstellungen verwenden, stellen Sie sicher, dass Sie die Umgebungsvariable OKTA_API_KEY festlegen.

Führen Sie nach dem Ausführen von --action-configure einfach gimme-aws-creds aus. Sie werden zur Eingabe der erforderlichen Informationen aufgefordert.

$ ./gimme-aws-creds
Username: [email protected]
Password for [email protected]:
Authentication Success ! Calling Gimme-Creds Server...
Pick an app:
[ 0 ] AWS Test Account
[ 1 ] AWS Prod Account
Selection: 1
Pick a role:
[ 0 ]: OktaAWSAdminRole
[ 1 ]: OktaAWSReadOnlyRole
Selection: 1
Multi-factor Authentication required.
Pick a factor:
[ 0 ] Okta Verify App: SmartPhone_IPhone: iPhone
[ 1 ] token:software:totp: [email protected]
Selection: 0
Okta Verify push sent...
export AWS_ACCESS_KEY_ID=AQWERTYUIOP
export AWS_SECRET_ACCESS_KEY=T ! # $JFLOJlsoddop1029405-P

Sie können die Erstellung von Umgebungsvariablen automatisieren, indem Sie $(gimme-aws-creds) unter Linux oder gimme-aws-creds | iex ausführen gimme-aws-creds | iex mit Windows Powershell

Sie können ein bestimmtes Konfigurationsprofil mit dem Parameter --profile ausführen:

./gimme-aws-creds --profile profileName

Der Benutzername und das Passwort, nach denen Sie gefragt werden, sind diejenigen, mit denen Sie sich bei Okta anmelden. Sie können Ihren Benutzernamen vordefinieren, indem Sie die Umgebungsvariable OKTA_USERNAME festlegen oder den Parameter -u username verwenden.

Wenn Sie keine Okta-App oder -Rolle konfiguriert haben, werden Sie aufgefordert, eine auszuwählen.

Wenn alles gut geht, erhalten Sie Ihren temporären AWS-Zugriff, den geheimen Schlüssel und das Token. Diese werden entweder nach stdout oder ~/.aws/credentials geschrieben.

Sie können jederzeit gimme-aws-creds --help für alle verfügbaren Optionen ausführen.

Alternativ können Sie Werte im Konfigurationsabschnitt mit Umgebungsvariablen überschreiben, wenn Sie beispielsweise die Gültigkeitsdauer Ihres Tokens ändern möchten. Eine Liste der Werte, die mit Umgebungsvariablen geändert werden sollen, ist:

• AWS_DEFAULT_DURATION – entspricht der aws_default_duration Konfiguration
• AWS_SHARED_CREDENTIALS_FILE – Datei, in die Anmeldeinformationen geschrieben werden sollen, verweist standardmäßig auf ~/.aws/credentials
• GIMME_AWS_CREDS_CLIENT_ID – entspricht der client_id Konfiguration
• GIMME_AWS_CREDS_CRED_PROFILE – entspricht der cred_profile -Konfiguration
• GIMME_AWS_CREDS_OUTPUT_FORMAT – entspricht der Konfiguration output_format und der CLI-Option --output-format .
• OKTA_AUTH_SERVER – entspricht der okta_auth_server -Konfiguration
• OKTA_DEVICE_TOKEN – entspricht der device_token Konfiguration, kann in CI verwendet werden
• OKTA_MFA_CODE – entspricht der CLI-Option --mfa-code
• OKTA_PASSWORD – stellt das Passwort während der Authentifizierung bereit, kann in CI verwendet werden
• OKTA_USERNAME – entspricht der okta_username -Konfiguration und der CLI-Option --username
• AWS_STS_REGION – erzwingt die Verwendung des STS in einer bestimmten Region ( us-east-1 , eu-north-1 usw.)

Beispiel: GIMME_AWS_CREDS_CLIENT_ID='foobar' AWS_DEFAULT_DURATION=12345 gimme-aws-creds

Um darüber hinausgehende Variablen zu ändern, müssten Sie mit gimme-aws-creds --action-configure --profile profileName ein separates Profil erstellen

gimme-aws-creds --action-list-profiles geht zu Ihrer Okta-Konfigurationsdatei und druckt alle erstellten Profile und ihre Einstellungen aus.

gimme-aws-creds --action-list-roles gibt alle verfügbaren Rollen auf STDOUT aus, ohne ihre Anmeldeinformationen abzurufen.

Beim Schreiben in die AWS-Anmeldeinformationsdatei wird der Wert x_security_token_expires im RFC3339-Format enthalten. Dadurch können Tools überprüfen, ob die Anmeldeinformationen ablaufen oder bald ablaufen, und den Benutzer warnen oder eine Aktualisierung auslösen.

gimme-aws-creds -o json druckt Anmeldeinformationen im JSON-Format aus – 1 Eintrag pro Zeile

gimme-aws-creds --action-store-json-creds speichert JSON-formatierte Anmeldeinformationen von stdin in der AWS-Anmeldeinformationsdatei, z. B.: gimme-aws-creds -o json | gimme-aws-creds --action-store-json-creds . Daten können unterwegs durch Skripte geändert werden.

Konfiguration und Interaktionen können mit gimme_aws_creds.ui konfiguriert werden. UserInterfaces unterstützen alle Arten von Interaktionen innerhalb der Bibliothek, einschließlich: Eingabeaufforderung, sys.argv und os.environ -Überschreibungen.

 import sys
import gimme_aws_creds . main
import gimme_aws_creds . ui

account_ids = sys . argv [ 1 :] or [
  '123456789012' ,
  '120123456789' ,
]

pattern = "|" . join ( sorted ( set ( account_ids )))
pattern = '/:({}):/' . format ( pattern )
ui = gimme_aws_creds . ui . CLIUserInterface ( argv = [ sys . argv [ 0 ], '--roles' , pattern ])
creds = gimme_aws_creds . main . GimmeAWSCreds ( ui = ui )

# Print out all selected roles:
for role in creds . aws_selected_roles :
    print ( role )

# Generate credentials overriding profile name with `okta-`
for data in creds . iter_selected_aws_credentials ():
    arn = data [ 'role' ][ 'arn' ]
    account_id = None
    for piece in arn . split ( ':' ):
        if len ( piece ) == 12 and piece . isdigit ():
            account_id = piece
            break

    if account_id is None :
        raise ValueError ( "Didn't find aws_account_id (12 digits) in {}" . format ( arn ))

    data [ 'profile' ][ 'name' ] = 'okta-{}' . format ( account_id )
    creds . write_aws_creds_from_data ( data )

gimme-aws-creds funktioniert sowohl auf FIDO1-aktivierten Organisationen als auch auf WebAuthN-aktivierten Organisationen

Beachten Sie, dass FIDO1 wahrscheinlich in naher Zukunft veraltet sein wird, da die Standards auf WebAuthN umgestellt werden

WebAuthN-Unterstützung ist für USB-Sicherheitsschlüssel verfügbar (gimme-aws-creds basiert auf der Yubico Fido2-Bibliothek).

Um Ihren lokalen Computer zusammen mit Touch ID oder Windows Hello (falls verfügbar) als Authentifikator zu verwenden, müssen Sie einen neuen Authentifikator über gimme-aws-creds registrieren, indem Sie Folgendes verwenden:

gimme-aws-creds --action-setup-fido-authenticator

Anschließend können Sie den neu registrierten Authentifikator aus der Faktorenliste auswählen.

Sie können alle Komponententests mit Pytest ausführen. Bei den meisten Tests handelt es sich um Spott.

pytest -vv tests

Dieses Projekt wird von Eric Pierce betreut

Ich bin auf okta_aws_login von Joe Keegan gestoßen, als ich nach einem CLI-Tool suchte, das AWS-Tokens über Okta generiert. Leider wurde es seit 2015 nicht mehr aktualisiert und schien mit der aktuellen Okta-Version nicht zu funktionieren. Aber es gab immer noch großartigen Code, den ich unter der MIT-Lizenz für gimme-aws-creds wiederverwenden konnte. Ich habe in den Kommentaren vermerkt, wo ich seinen Code verwendet habe, um sicherzustellen, dass er die richtige Anerkennung erhält.

okta-aws-cli

okta-aws-cli-assume-role

AWS – So implementieren Sie Federated API und CLI-Zugriff mithilfe von SAML 2.0 und AD FS

Gimme AWS Creds wird unter der Apache-Lizenz, Version 2.0, veröffentlicht