我工作的公司使用 okta for AWS 的舊登入。因此,為了使用 aws-cli,需要 aws-okta 實用程序,該實用程式在執行任何 aws-cli 命令之前需要 okta MFA。
我正在用 terraform 編寫基礎設施,但我還沒有找到如何讓 terraform 使用 okta 來創建 aws 元件。
這可能嗎?
另外,這需要在 ci/cd 管道中運行,由於 MFA,我不確定它在那裡如何工作,您有什麼建議可以告訴我嗎?
答案1
是的...Okta 有很多可用的方法。 Okta 使 SSO/聯合身份變得非常簡單,跨 AWS、第 3 方 SaaS 工具和使用 LDAP 身份驗證的舊工具等,提供廣泛的日誌/審計跟踪
https://github.com/oktadeveloper/okta-aws-cli-assume-role
https://github.com/segmentio/aws-okta
https://bitbucket.org/atlassian/cloudtoken/src/master/
https://github.com/Nike-Inc/gimme-aws-creds
我們對大約 30 個 AWS 帳戶使用 gimme-aws-creds。我們的 devops 團隊和開發團隊在 Mac 和 PC 上使用 docker 容器方法。它允許使用者在特定的 AWS 帳戶中擔任角色,並且您可以在 PC 上執行 terraform。您也可以使用 Terraform AWS 提供者中的代入角色功能
https://www.terraform.io/docs/providers/aws/index.html
從 CI/CD 的角度來看,您不需要 Okta,也不需要 MFA。 jenkins EC2 伺服器或同等伺服器將具有執行個體角色來承擔相同帳戶或其他帳戶中的其他角色。 Terraform 將使用這個假定的角色我們使用 Okta 來保護我們的 Jenkins 伺服器(LDAP 身份驗證)。