连接 AWS 账户

DynoTable 会读取你现有的 ~/.aws 配置 —— 与你的 aws CLI 使用的是同一批 Profile。不复制、也不重新录入:DynoTable 每次都从你的配置中推导如何认证,因此重新运行 aws configure sso 或轮换密钥都会自动反映出来。所有的凭证解析和任何交互式登录都发生在本地的桌面应用中 —— 绝不会在我们的服务器上进行。

Profile

DynoTable 中的 Profile 是一组命名凭证,绑定到一个 AWS 配置文件和一个默认区域。一个 Profile 可以浏览许多表,但区域是按 Profile 而非按标签页设定的 —— 要浏览另一个区域,请切换到(或创建)一个设为该区域的 Profile。

Settings → Profiles 中创建 Profile(每个 Profile 是一个区块,外加一个添加 Profile 对话框),或在引导过程中创建。给它起个名字、选好颜色和图标,挑选底层的 AWS 配置文件,并选择一个默认区域。侧边栏底部的 Profile 标签会列出你的各个 Profile 并链接到 Settings。

添加 Profile 对话框:名称、AWS 配置文件、默认区域、颜色和图标。
添加 Profile 对话框:名称、AWS 配置文件、默认区域、颜色和图标。

凭证如何解析

DynoTable 会检查你的 ~/.aws 配置并挑选正确的认证路径 —— 沿着完整的 source_profile 链一直走到最终的要求:

配置DynoTable 的处理方式
长期密钥 / 默认链 / web-identity直接使用
进程内设备登录(无需 aws CLI)
Assume-role为你扮演该角色
需要 的 Assume-role提示输入 TOTP 验证码,然后静默刷新
credential_process运行你的外部辅助程序

IAM Identity Center(SSO)

对于 SSO Profile,DynoTable 会在进程内运行标准的 OAuth 设备流程,并打开你的浏览器进行确认。得到的令牌会写入标准的 ~/.aws/sso/cache,因此它与你自己的 aws sso login 双向互通。

受 MFA 保护的角色

如果一个角色的链需要 MFA,DynoTable 会提示你输入一次 6 位 TOTP 验证码,铸造一个会话,并据此静默刷新角色凭证,直到该会话失效。

重新认证

DynoTable 绝不会在后台工作期间弹出浏览器或模态框。当令牌需要重新认证时,Profile 标签上的状态圆点会变成红色,并提供一个内联操作 —— SSO 显示登录,TOTP 角色显示输入 MFA,过期或出错的凭证显示重新连接。点击它(或者直接再次运行查询)即可重新认证。

Profile 切换器

  • ⌘P 打开 Profile 切换器,在各个 Profile 之间跳转。
  • ⌘1⌘9 按位置直接切换到某个 Profile。
⌘P Profile 切换器,列出各个 Profile 及其凭证状态圆点。
⌘P Profile 切换器,列出各个 Profile 及其凭证状态圆点。

更新于