Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Aturan klaim AD FS dan setelan SAMP
ActiveDirectory Aturan klaim Federation Services (AD FS) dan pengaturan SAMP untuk AWS Managed Services (AMS)
Untuk step-by-step petunjuk terperinci tentang cara menginstal dan mengonfigurasi AD FS, lihat Mengaktifkan Federasi ke AWS Menggunakan Windows Active Directory, ADFS, dan SAMP
Konfigurasi aturan klaim ADFS
Jika Anda sudah memiliki implementasi ADFS, konfigurasikan berikut:
Mengandalkan kepercayaan partai
Aturan klaim
Langkah-langkah aturan kepercayaan dan klaim pihak yang mengandalkan diambil dari Mengaktifkan Federasi ke AWS Menggunakan Windows Active Directory, AD FS, dan blog SAMP 2.0
Aturan klaim:
Nameid: Konfigurasi per posting blog
RoleSessionName: Konfigurasikan sebagai berikut
Nama aturan klaim:
RoleSessionNameToko atribut:
Active DirectoryAtribut LDAP:
SAM-Account-NameJenis Klaim Keluar:
https://aws.amazon.com/SAML/Attributes/RoleSessionNameDapatkan Grup AD: Konfigurasi per posting blog
Klaim peran: Konfigurasikan sebagai berikut
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
Konsol web
Anda dapat mengakses konsol Web AWS dengan menggunakan tautan di bawah ini menggantikan [ADFS-FQDN] FQDN implementasi ADFS Anda.
https://[ADFS-FQDN]/.aspx adfs/ls/IdpInitiatedSignOn
Departemen TI Anda dapat menerapkan tautan di atas ke populasi pengguna melalui Kebijakan Grup.
Akses API dan CLI dengan SAMP
Cara mengkonfigurasi akses API dan CLI dengan SAMP.
Paket python bersumber dari posting blog di bawah ini:
Konfigurasi skrip
Menggunakan Notepad ++, ubah wilayah default ke wilayah yang benar
Menggunakan Notepad ++, nonaktifkan verifikasi SSL untuk lingkungan pengujian dan dev
Menggunakan Notepad ++, konfigurasikan idpentryurl
https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices
Konfigurasi Windows
Petunjuk di bawah ini adalah untuk paket python. Kredensi yang dihasilkan akan berlaku selama 1 jam.
Instal AMS CLI:
Unduh file zip yang dapat didistribusikan AMS yang disediakan oleh manajer pengiriman layanan cloud (CSDM) Anda dan unzip.
Beberapa direktori dan file tersedia.
Buka Managed Cloud Distributables -> CLI -> Windows atau Managed Cloud Distributables -> CLI -> Linux/macOS direktori, tergantung pada sistem operasi Anda, dan:
Untuk Windows, jalankan penginstal yang sesuai (metode ini hanya berfungsi pada sistem Windows 32 atau 64 bit):
32 Bit: ManagedCloud API_x86.msi
64 Bit: ManagedCloud API_x64.msi
Untuk Mac/Linux, jalankan file bernama: MC_CLI.sh. Anda dapat melakukan ini dengan menjalankan perintah ini:
sh MC_CLI.sh. Perhatikan bahwa direktori amscm dan amsskms dan isinya harus berada di direktori yang sama dengan file MC_CLI.sh.Jika kredensi perusahaan Anda digunakan melalui federasi dengan AWS (konfigurasi default AMS), Anda harus menginstal alat manajemen kredensi yang dapat mengakses layanan federasi Anda. Misalnya, Anda dapat menggunakan AWS Security Blog Cara Menerapkan API Federasi dan Akses CLI Menggunakan SAMP 2.0 dan AD
FS untuk bantuan mengonfigurasi alat manajemen kredensi Anda. Setelah instalasi, jalankan
aws amscm helpdanaws amsskms helpuntuk melihat perintah dan opsi.
Unduh skrip SAMP yang diperlukan
Unduh ke c:\aws\scripts
-
Unduh ke c:\aws\downloads
Menggunakan PowerShell, instal PIP
<pythondir>. \ python.exe c:\aws\downloads\get -pip.py
Menggunakan PowerShell, instal modul boto
<pythondir\ scripts>pip instal boto
Menggunakan PowerShell, menginstal modul permintaan
permintaan<pythondir\ scripts> pemasangan pip
Menggunakan PowerShell, menginstal modul keamanan permintaan
<pythondir\ scripts>permintaan pemasangan pip [keamanan]
Menggunakan PowerShell, instal modul beautifulsoup
<pythondir\ scripts>pip install beautifulsoup4
Menggunakan PowerShell, buat folder bernama .aws di profil pengguna (%userprofile%\ .aws)
mkdir .aws
Menggunakan PowerShell, buat file kredensi di folder.aws
Kredensi Baru-Item -type file —force
File kredensial tidak boleh memiliki ekstensi file
Nama file harus semua huruf kecil dan memiliki kredenal nama
Buka file kredensil dengan notepad dan tempel di data berikut, tentukan wilayah yang benar
[default] output = json region = us-east-1 aws_access_key_id = aws_secret_access_key =Menggunakan PowerShell, skrip SAMP dan logon
<pythondir>. \ python.exe c:\aws\scripts\samlapi.py
Nama Pengguna: [NAMA PENGGUNA] @upn
Pilih peran yang ingin Anda asumsikan
Konfigurasi Linux
Kredensi yang dihasilkan akan berlaku selama 1 jam.
Menggunakan WinSCP, transfer skrip SAMP
Menggunakan WinSCP, transfer sertifikat Root CA (abaikan untuk pengujian dan dev)
Tambahkan ROOT CA ke sertifikat root tepercaya (abaikan untuk pengujian dan dev)
$ openssl x509 -inform der -in [certname] .cer -out certificate.pem (abaikan untuk pengujian dan dev)
Tambahkan konten certificate.pem ke akhir file/etc/ssl/certs/ca-bundle.crt ((abaikan untuk test dev)
Buat folder.aws di rumah/ec2-user 5
[default] output = json region = us-east-1 aws_access_key_id = aws_secret_access_key =Menggunakan WinSCP, transfer file kredensial ke folder.aws
Instal modul boto
$ sudo pip instal boto
Instal modul permintaan
Permintaan instal $ sudo pip
Instal modul beautifulsoup
$ sudo pip instal beautifulsoup4
Salin skrip ke rumah/ec2-user
Tetapkan izin yang diperlukan
Jalankan skrip: samlapi.py
