Prerequisiti Configurazione automatica per la configurazione precedente Configurazione manuale per la configurazione precedente

Configurazione legacy non aggiornabile per AWS IAM Identity Center

Questo argomento descrive come configurare l'autenticazione degli utenti con AWS IAM Identity Center (IAM Identity Center) AWS CLI per ottenere le credenziali per eseguire AWS CLI i comandi utilizzando il metodo legacy. Quando si utilizza la configurazione precedente non aggiornabile, è necessario aggiornare manualmente il token man mano che scade periodicamente.

Quando utilizzi IAM Identity Center, puoi accedere ad Active Directory, a una directory IAM Identity Center integrata o a un altro IdP connesso a IAM Identity Center. Puoi mappare queste credenziali a un ruolo AWS Identity and Access Management (IAM) in cui puoi eseguire AWS CLI comandi.

Indipendentemente dall'IdP utilizzato, IAM Identity Center elimina queste distinzioni. Ad esempio, puoi connettere Microsoft Azure AD come descritto nell'articolo del blog The Next Evolution in IAM Identity Center.

Nota

Per informazioni sull'utilizzo dell'autenticazione del portatore, che non utilizza l'ID e il ruolo dell'account, consulta Configurazione per l'utilizzo di AWS CLI with CodeCatalyst nella Amazon CodeCatalyst User Guide.

Puoi configurare uno o più profili AWS CLI denominati per utilizzare un ruolo di un IAM Identity Center legacy nei seguenti modi:

Automaticamente, utilizzando il aws configure sso comando.
Manualmente, modificando il config file che memorizza i profili denominati.

Prerequisiti

Installa il AWS CLI. Per ulteriori informazioni, consulta Installa o aggiorna alla versione più recente di AWS CLI.
Devi prima avere accesso all'autenticazione SSO all'interno di IAM Identity Center. Scegli uno dei seguenti metodi per accedere alle tue AWS credenziali.

Segui le istruzioni riportate in Guida introduttiva nella Guida AWS IAM Identity Center per l'utente. Questo processo attiva IAM Identity Center, crea un utente amministrativo e aggiunge un set di autorizzazioni con privilegi minimi appropriati.

Nota

Crea un set di autorizzazioni che applichi le autorizzazioni con privilegi minimi. Si consiglia di utilizzare il set di PowerUserAccess autorizzazioni predefinito, a meno che il datore di lavoro non abbia creato un set di autorizzazioni personalizzato per questo scopo.

Esci dal portale e accedi nuovamente per visualizzare le tue opzioni Account AWS e le opzioni relative a Administrator oPowerUserAccess. Seleziona PowerUserAccess quando lavori con l'SDK. Questo ti aiuta anche a trovare dettagli sull'accesso programmatico.

Accedi AWS tramite il portale del tuo provider di identità. Se il tuo amministratore cloud ti ha concesso le autorizzazioni PowerUserAccess (sviluppatore), vedi quelle a Account AWS cui hai accesso e il tuo set di autorizzazioni. Accanto al nome del set di autorizzazioni, vengono visualizzate le opzioni per accedere agli account manualmente o programmaticamente utilizzando quel set di autorizzazioni.

Le implementazioni personalizzate potrebbero dare luogo a esperienze diverse, ad esempio nomi di set di autorizzazioni diversi. Se non sei sicuro del set di autorizzazioni da utilizzare, contatta il tuo team IT per ricevere assistenza.

Accedi AWS tramite il portale di AWS accesso. Se il tuo amministratore cloud ti ha concesso le autorizzazioni PowerUserAccess (sviluppatore), vedi quelle a Account AWS cui hai accesso e il tuo set di autorizzazioni. Accanto al nome del set di autorizzazioni, vengono visualizzate le opzioni per accedere agli account manualmente o programmaticamente utilizzando quel set di autorizzazioni.

Contatta il tuo team IT per ricevere assistenza.

Configurazione automatica per la configurazione precedente

Per configurare un profilo IAM Identity Center sul tuo AWS CLI

Esegui il aws configure sso comando e fornisci l'URL di avvio del tuo IAM Identity Center e la AWS regione che ospita la directory dell'Identity Center.
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1
```
I AWS CLI tentativi di aprire il browser predefinito e avviare la procedura di accesso per l'account IAM Identity Center.
```
SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.
```
Se AWS CLI non riescono ad aprire il browser, viene visualizzato il seguente messaggio con le istruzioni su come avviare manualmente la procedura di accesso.
```
Using a browser, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451
```
IAM Identity Center utilizza il codice per associare la sessione IAM Identity Center alla AWS CLI sessione corrente. La pagina del browser IAM Identity Center richiede di accedere con le credenziali IAM Identity Center. Ciò consente di recuperare e visualizzare AWS CLI gli AWS account e i ruoli che sei autorizzato a utilizzare con IAM Identity Center.
Successivamente, AWS CLI vengono visualizzati gli AWS account disponibili da utilizzare. Se sei autorizzato a utilizzare un solo account, lo AWS CLI seleziona automaticamente e salta la richiesta. Gli AWS account disponibili per l'uso sono determinati dalla configurazione utente in IAM Identity Center.
```
There are 2 AWS accounts available to you.
> DeveloperAccount, [email protected] (123456789011) 
  ProductionAccount, [email protected] (123456789022)
```
Utilizza i tasti freccia per selezionare l'account che desideri utilizzare con questo profilo. Il carattere ">" sulla sinistra punta alla scelta corrente. Premi INVIO per effettuare la selezione.
Successivamente, AWS CLI conferma la scelta dell'account e visualizza i ruoli IAM disponibili nell'account selezionato. Se l'account selezionato elenca solo un ruolo, lo AWS CLI seleziona automaticamente e salta la richiesta. I ruoli disponibili per l'uso sono determinati dalla configurazione utente in IAM Identity Center.
```
Using the account ID 123456789011
There are 2 roles available to you.
> ReadOnly
  FullAccess
```
Usa i tasti freccia per selezionare il ruolo IAM che desideri utilizzare con questo profilo e premi<ENTER>.
AWS CLI Conferma la selezione del ruolo.
```
Using the role name "ReadOnly"
```
Completate la configurazione del profilo specificando il formato di output predefinito, Regione AWS quello a cui inviare i comandi e fornendo un nome per il profilo in modo da poter fare riferimento a questo profilo tra tutti quelli definiti nel computer locale. Nell'esempio seguente l'utente immette una regione predefinita, un formato di output predefinito e il nome del profilo. In alternativa, puoi premere <ENTER> per selezionare i valori predefiniti visualizzati tra parentesi quadre. Il nome profilo suggerito è il numero ID account seguito da un carattere di sottolineatura seguito dal nome ruolo.
```
CLI default client Region [None]: us-west-2<ENTER>
CLI default output format [None]: json<ENTER>
CLI profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>
```
Nota
Se si specifica default come nome del profilo, questo profilo diventa quello utilizzato ogni volta che si esegue un AWS CLI comando e non si specifica un nome di profilo.
Un messaggio finale descrive la configurazione del profilo completata.

Per usare questo profilo, specifica il nome del profilo usando --profile, come mostrato:
```
aws s3 ls --profile my-dev-profile
```
Le voci di esempio precedenti restituirebbero un profilo denominato in ~/.aws/config il cui aspetto è simile a quello dell'esempio seguente:
```
[profile my-dev-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```
A questo punto, disponi di un profilo che puoi utilizzare per richiedere credenziali temporanee. Utilizza il comando aws sso login per richiedere e recuperare di fatto le credenziali temporanee necessarie per eseguire i comandi. Per istruzioni, consulta Usa un profilo denominato IAM Identity Center .

Configurazione manuale per la configurazione precedente

L'aggiornamento automatico dei token non è supportato utilizzando la configurazione legacy non aggiornabile. Si consiglia di utilizzare la configurazione del token SSO.

Per aggiungere manualmente il supporto IAM Identity Center a un profilo denominato, devi aggiungere le seguenti chiavi e valori alla definizione del profilo nel file ~/.aws/config (Linux o macOS) o %USERPROFILE%/.aws/config (Windows).

Puoi includere qualsiasi altra chiave e valore valido nel .aws/config file, ad esempio regionoutput, o s3. Per evitare errori, non includere valori relativi alle credenziali, ad esempio role_arn oaws_secret_access_key.

Di seguito è riportato un esempio di profilo IAM Identity Center in.aws/config:


[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json

Il tuo profilo per le credenziali temporanee è completo.

Per eseguire i comandi, è necessario innanzitutto utilizzare il aws sso login comando per richiedere e recuperare le credenziali temporanee. Per istruzioni, consultate la sezione successiva, Usa un profilo denominato IAM Identity Center .Il token di autenticazione viene memorizzato nella cache su disco all'interno della ~/.aws/sso/cache directory con un nome di file basato su. sso_start_url

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configura l'aggiornamento automatico dei token

Utilizzando un profilo IAM Identity Center