Hoe connectie maken tot je AWS account via PAM?
- Payman Mohamdzey (Unlicensed)
- Demi Egghe
- Alessia Krioutchkova (Deactivated)
- Michael H.
Zodra je AWS omgeving geonboard is kun je connectie maken door gebruik te maken van onderstaand stappenplan voor in te loggen via een webbrowser.
Er is ook de mogelijk om aan te melden via de AWS CLI, hierbij wordt er een PowerShell sessie gestart op de PAMaaS server die dan cmdlets gaat uitvoeren.
- 1 1. Connecteer naar pamaas-portaal.vlaanderen.be en log aan via het toegangsbeheer en gebruikersbeheer van de Vlaamse Overheid.
- 2 2. Na het aanloggen kom je op de overzichtspagina van alle accounts waartoe je toegang hebt ontvangen via het gebruikersbeheer.
- 3 3. Voor AWS console accounts zie je 2 connecties per account.
- 4 4a. Om connectie te maken naar de AWS console, klik je op “Connect”.
- 5 4b. Om connectie te maken via AWS CLI, dien je volgende stappen te nemen.
- 5.1 1. Klik op de dropdown bij ‘Connect’ bij het gewenste AWS account en vervolgens op ‘AWS CLI’.
- 5.2 2. Definieer de gewenste sessieduur (minimum 15min, maximum 60min of 240min afhankelijk van de AWS-console session timeout).
- 5.3 3. Klik op “Generate credentials”. Je ziet nu tot welk tijdstip deze geldig zijn. Vervolgens kan je deze credentials bekijken, kopiëren en gebruiken voor de gewenste CLI.
1. Connecteer naar pamaas-portaal.vlaanderen.be en log aan via het toegangsbeheer en gebruikersbeheer van de Vlaamse Overheid.
2. Na het aanloggen kom je op de overzichtspagina van alle accounts waartoe je toegang hebt ontvangen via het gebruikersbeheer.
3. Voor AWS console accounts zie je 2 connecties per account.
Eén hiervan is het logonaccount,. Dit account wordt in de achtergrond door PAMaaS gebruikt voor het opbouwen van de connectie, maar is niet bruikbaar door eindgebruikers! De Connect-knop is hierbij ook uitgegrijsd.
Het ander account is de AWS rol account. Bovendien zie je hier “aws.amazon.com” in de “Adress”-kolom staan. Het is dit account dat gebruikt dient te worden door de eindgebruiker. De Connect-knop is bruikbaar.
4a. Om connectie te maken naar de AWS console, klik je op “Connect”.
4b. Om connectie te maken via AWS CLI, dien je volgende stappen te nemen.
1. Klik op de dropdown bij ‘Connect’ bij het gewenste AWS account en vervolgens op ‘AWS CLI’.
2. Definieer de gewenste sessieduur (minimum 15min, maximum 60min of 240min afhankelijk van de AWS-console session timeout).
Om de connectie naar AWS via CLI te maken na een PAMaaS integratie met Cyberark, worden er credentials met een korte levensduur gegenereerd, die in Command Prompt of PowerShell ingegeven kunnen worden om te connecteren met AWS. Deze credentials verschillen van de Access en Secret Key van het AWS-account. Bijgevolg is er geen risico dat deze blootgesteld worden.
De duur dat deze credentials geldig zijn, kan de klant zelf kiezen. De minimumduur hiervan is 15 minuten en de maximumduur hiervan is dezelfde als de duur van de AWS-console session timeout.
Wanneer de sessieduur verlopen is, zal de gebruiker de volgende foutmelding krijgen: "An error occurred (ExpiredToken) when calling the ListBuckets operation: The provided token has expired".
3. Klik op “Generate credentials”. Je ziet nu tot welk tijdstip deze geldig zijn. Vervolgens kan je deze credentials bekijken, kopiëren en gebruiken voor de gewenste CLI.
