问为联邦IAM用户创建临时访问密钥

EN

最后，我创建了我们内部运行的一个小型的网络应用程序，它将为我们的用户发布临时AWS凭据-- ussing。它有两种运作方式：

• 使用SSO:用户访问一个url并查看他可以复制的凭据。
• 命令行客户机:向webapp发出https请求(使用Okta用户名和密码)。如果使用Okta的身份验证成功，则客户端将凭据写入~/..aws/凭据。

在最近的一个项目中，我需要让用户能够使用Okta来访问AWS控制台和使用AWS。因此，我编写了一个工具，该工具将使用从Okta登录名生成的SAML断言生成临时AWS凭据(来自STS)，该断言可以与CLI一起使用。

这允许通过Okta代理所有AWS访问，并允许控制台和CLI访问都需要MFA登录。

这个工具，okta_aws_login.py，可以在GitHub上找到，更多的细节可以在我写的关于设置与Okta和AWS的用户联合的系列博客文章中找到。

如果我正确地理解了您的用例，这是不可能的，因为后台GetFederationToken API操作产生的临时凭据本身不能用于调用这些STS API，有关详细信息，请参阅表AWS STS API特性比较。

这一功能需要由负责长期AWS凭据(Okta)的实体提供，该实体可以为复制/粘贴到AWS CLI场景提供所产生的临时凭据三位一体。