Ключи доступа AWS (для аутентификации CLI и т. Д.) Для пользователей от поставщика удостоверений SAML или разъема AD?

Я хотел подключить консоль AWS (веб) к настройкам AD или ADFS для управления пользователями. Работать с провайдером идентификации SAML в IAM и некоторой существующей инфраструктурой ADFS было достаточно просто.

Проблема в том, что пользователи, которые аутентифицируются таким образом, в отличие от обычных учетных записей пользователей AWS, не имеют никакого способа иметь связанные ключи доступа, насколько я могу судить. Ключи доступа являются ключевой концепцией для аутентификации таких вещей, как интерфейс командной строки AWS, который необходимо привязать к отдельным учетным записям пользователей.

Какие обходные пути позволяют пользователю, прошедшему проверку подлинности через поставщика удостоверений SAML, по-прежнему легко использовать интерфейс командной строки aws? Единственное, что я придумал, это какая-то хакерская хрень, которая бы прокси aws Команда cli запрашивает временные учетные данные в течение 1 часа у службы STS aws, помещает их в файл учетных данных aws и перенаправляет команду в обычный клиент AWS. Но это заставляет меня хотеть бросить немного; плюс, я понятия не имею, сработает ли это, если выполнение команды заняло более часа (большие загрузки s3 и т. д.)

Предложения? Я бы попробовал официальный соединитель AD службы каталогов, но, насколько я понимаю, пользователи по-прежнему просто выполняют роли IAM и в конечном итоге сталкиваются с той же проблемой.