我正在尝试使用此文档中的aws sts assume-role-with-saml生成AWS凭据
但是,我会遇到错误,但我不太了解,流程。通常,我有一个主帐户 account_a she saml_provider 居住在其中,然后将角色切换到帐户 Account_B 。因此,从我的理解中,语法应该看起来像:
aws sts assume-role-with-saml --role-arn arn:aws:iam::ACCOUNT_B:role/IAM_ROLE --principal-arn arn:aws:iam::ACCOUNT_A:saml-provider/SAML_PROVIDER --saml-assertion BASE64_ENCODED_RESPONSE
但是,当我尝试上述方式时,我会收到错误:
呼叫时发生错误(验证) AutherolewithsAML操作:校长存在于帐户之外 担任的角色
然后如果尝试这样的话:
aws sts assume-role-with-saml --role-arn arn:aws:iam::ACCOUNT_B:role/IAM_ROLE --principal-arn arn:aws:iam::ACCOUNT_B:saml-provider/SAML_PROVIDER --saml-assertion BASE64_ENCODED_RESPONSE
我有错误:
调用该错误时发生错误 AutherolewithSAML操作:不存在指定的提供商 (服务:AwsopenidDiscoveryService;状态代码:400;错误代码: authsamlmanifestNotFoundException;请求ID: 3565C77A-44B6-11E9-A384-B1F45948A767)
我认为该文档在功能方面尚不清楚,并且在Google上还没有很明显的示例...所以我的问题是:
- 我应该在语法中的这两个地方使用什么帐号?
- 我需要在account_b帐户中创建SAML IDP吗?
实际上,我认为saml部分使我感到困惑,如果那是您绕过弹跳的其他帐户(councel_b) 户(account_a),它失去了其兴趣和安全目的。但是,您必须使用 SAML IDP 在 Account_a 上使用的凭证,以生成凭证,然后将其从A到B切换到B,完全像没有委托书
<</p>