大家好,在上一篇文章中,我们探讨了如何用 Python 脚本和 Cognito 来为 AWS CLI 实现 MFA 登录。虽然功能上可行,但每次都要在终端里输入密码和 MFA 码,体验上总觉得差了点意思。今天,我们就来解决这个“遗憾”,实现一个能自动打开浏览器进行认证的、体验丝滑的终极方案。
核心思路:让浏览器和 CLI “对话”
这个方案的魔法在于利用 Cognito 的一个核心功能和一款聪明的“助手工具”:
- Cognito 托管 UI (Hosted UI): Cognito 可以为我们提供一个全功能的、托管在
amazoncognito.com域名下的登录、注册、忘记密码页面。这就是我们需要的浏览器登录界面。 - OAuth2.0 授权码流程 (Authorization Code Grant): 这是 Web 应用的标准登录流程。用户在浏览器登录后,Cognito 不会直接返回密码或凭证,而是会返回一个临时的“授权码 (code)”到一个预先指定的 回调URL (Callback URL)。
- 本地助手工具 (Helper Tool): 我们需要在本地运行一个轻量级的工具。它的核心任务是:
- 在本地启动一个临时的 Web 服务器 (例如,监听
http://localhost:8080)。 - 生成一个包含正确参数的 Cognito 托管 UI 链接,并用浏览器打开它。
- 等待 Cognito 将“授权码”通过重定向发送到本地的 Web 服务器。
- 拿到授权码后,在后台用它换取 Cognito 的令牌 (Token)。
- 最后,用令牌从 Cognito 身份池换取临时的 AWS STS 凭证,并写入
~/.aws/credentials文件。
- 在本地启动一个临时的 Web 服务器 (例如,监听
这个流程听起来复杂,但对于终端用户来说,体验却极其简单:运行一个命令 -> 浏览器弹出 -> 登录 -> 浏览器页面显示成功 -> 返回终端,凭证已就绪。
实战步骤:三步实现无缝体验
预备工作:调整 Cognito 应用客户端设置
这是本方案的关键!我们需要告诉 Cognito,允许将授权码发送回我们的本地电脑。
- 进入我们的 Cognito 用户池,找到“应用集成 (App integration)”标签页。
- 找到我们的“应用客户端 (App client)”。
- 点击“编辑”。找到 “托管 UI (Hosted UI)” 部分,点击“编辑”。
- 在 “允许的回调 URL (Allowed callback URLs)” 中,添加
http://localhost:8080(或我们选择的其他端口)。 - 在 “OAuth 2.0 授权类型 (OAuth 2.0 grant types)” 中,确保勾选了 “授权码授与 (Authorization code grant)”。
- 保存更改。
第 1 步:安装一个开源 CLI 助手工具
社区中有一些优秀的工具可以完成这个任务。它们本质上都是实现了上述逻辑的 CLI 应用。一个常见的选择是基于 Node.js 或 Go 的工具。这里我们以一个假设的、功能完备的工具 cognito-cli-login 为例(真实世界中我们可以搜索 “aws cognito cli login tool” 在 GitHub 上找到类似项目)。
# 假设通过 npm 或 brew 安装
npm install -g aws-cognito-cli-login
# 或者
brew install some-cognito-login-tool
第 2 步:配置助手工具
通常这类工具需要一个配置文件,告诉它我们的 Cognito 信息。我们可以在我们的用户主目录下创建一个 .cognito-login.toml 文件:
# ~/.cognito-login.toml
[default] # 一个配置profile的名称
aws_region = "us-east-1"
cognito_user_pool_id = "us-east-1_xxxxxxxxx"
cognito_app_client_id = "xxxxxxxxxxxxxxxxxxxxxx"
cognito_identity_pool_id = "us-east-1:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# 工具会自动使用 http://localhost:8080 作为回调
第 3 步:登录体验
现在,我们的登录体验变得极其简单:
cognito-cli-login --profile default
运行后:
- 我们的默认浏览器会自动打开一个 Cognito 登录页面。
- 我们输入用户名、密码,然后输入 MFA 码。
- 登录成功后,页面会短暂跳转到
localhost:8080,然后显示一个“登录成功,可以关闭此页面”的消息。 - 同时,我们的终端会显示“凭证已成功获取!”
终极玩法:与 AWS CLI credential_process 无缝集成
上面的方法已经很棒了,但我们还能让它更“原生”。我们可以配置 AWS CLI,让它在需要凭证时,自动调用我们的助手工具!
- 打开我们的
~/.aws/config文件 (注意是config不是credentials)。 - 添加一个新的 profile,内容如下:
[profile cognito]
region = us-east-1
# 关键在这里!
credential_process = cognito-cli-login --json --profile default
这是什么意思?
credential_process 告诉 AWS CLI:当需要 cognito 这个 profile 的凭证时,不要去 credentials 文件里找,而是去执行 cognito-cli-login --json --profile default 这个命令,并期望它以 JSON 格式返回临时的 Access Key, Secret Key 和 Session Token。
现在,见证奇迹的时刻到了:
我们现在可以像使用普通 AWS profile 一样使用它了。打开一个新的终端:
aws s3 ls --profile cognito
- 如果我们的凭证已过期或不存在: 浏览器会自动弹出,要求我们登录。登录成功后,
aws s3 ls命令会自动继续执行并返回结果。 - 如果我们的凭证仍然有效: 命令会直接执行,不会有任何打扰。
这完美复刻了 aws sso login 的按需登录体验!
结论:鱼与熊掌可以兼得
通过“Cognito 托管 UI + 本地助手工具 + credential_process”这套组合拳,我们成功地在受限的单一账户环境中,实现了堪比官方 IAM Identity Center 的 CLI 单点登录体验。
我们不仅解决了个人开发效率和体验的问题,更是掌握了一套企业级的、安全的身份联邦访问模式。这套方案安全、优雅且极大地提升了幸福感,是每一位追求极致的云工程师都应该掌握的技巧。