Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Tutorial: Verwenden von IAM Identity Center zur Ausführung von Amazon S3 S3-Befehlen in AWS CLI
In diesem Thema wird beschrieben, wie Sie die Befehle AWS CLI zur Authentifizierung von Benutzern mit aktuellen AWS IAM Identity Center (IAM Identity Center) zum Abrufen von Anmeldeinformationen zum Ausführen AWS Command Line Interface (AWS CLI) für Amazon Simple Storage Service (Amazon S3) konfigurieren.
**Topics**
+ [Schritt 1: Authentifizierung in IAM Identity Center](#cli-configure-sso-tutorial-authentication)
+ [Schritt 2: Erfassen Ihrer Informationen für IAM Identity Center](#cli-configure-sso-tutorial-gather)
+ [Schritt 3: Erstellen von Amazon-S3-Buckets](#cli-configure-sso-tutorial-buckets)
+ [Schritt 4: Installieren Sie das AWS CLI](#cli-configure-sso-tutorial-install)
+ [Schritt 5: Konfigurieren Sie Ihr AWS CLI Profil](#cli-configure-sso-tutorial-configure)
+ [Schritt 6: Anmelden bei IAM Identity Center](#cli-configure-sso-tutorial-login.title)
+ [Schritt 7: Ausführen von Amazon-S3-Befehlen](#cli-configure-sso-tutorial-commands)
+ [Schritt 8: Abmelden von IAM Identity Center](#cli-configure-sso-tutorial-logout)
+ [Schritt 9: Ressourcen bereinigen](#cli-configure-sso-tutorial-cleanup)
+ [Fehlerbehebung](#cli-configure-sso-tutorial-tshoot)
+ [Weitere Ressourcen](#cli-configure-sso-tutorial-resources.title)
## Schritt 1: Authentifizierung in IAM Identity Center
Besorgen Sie sich Zugriff auf die SSO-Authentifizierung in IAM Identity Center. Wählen Sie eine der folgenden Methoden, um auf Ihre AWS Anmeldeinformationen zuzugreifen.
### Ich habe keinen Zugriff über IAM Identity Center eingerichtet
Folgen Sie den Anweisungen unter [Erste Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) im *AWS IAM Identity Center -Benutzerhandbuch*. Dieser Prozess aktiviert IAM Identity Center, erstellt einen Administratorbenutzer und fügt einen entsprechenden Berechtigungssatz mit der geringsten Berechtigung hinzu.
**Anmerkung**
Erstellen Sie einen Berechtigungssatz, der Berechtigungen mit der geringsten Berechtigung anwendet. Wir empfehlen, den vordefinierten `PowerUserAccess`-Berechtigungssatz zu verwenden, es sei denn, Ihr Arbeitgeber hat zu diesem Zweck einen benutzerdefinierten Berechtigungssatz erstellt.
Verlassen Sie das Portal und melden Sie sich erneut an AWS-Konten, um Ihre programmatischen Zugangsdaten und Optionen für `Administrator` oder `PowerUserAccess` zu sehen. Wählen Sie `PowerUserAccess` aus, wenn Sie mit dem SDK arbeiten.
### Ich habe bereits AWS über einen von meinem Arbeitgeber verwalteten föderierten Identitätsanbieter Zugriff darauf (z. B. Azure AD oder Okta)
Melden Sie sich AWS über das Portal Ihres Identitätsanbieters an. Wenn Ihr Cloud-Administrator Ihnen `PowerUserAccess` (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.
Benutzerdefinierte Implementierungen können zu unterschiedlichen Erfahrungen führen, z. B. zu unterschiedlichen Namen von Berechtigungssätzen. Wenn Sie sich nicht sicher sind, welchen Berechtigungssatz Sie verwenden sollen, wenden Sie sich an Ihr IT-Team.
### Ich habe bereits Zugriff auf AWS das von meinem Arbeitgeber verwaltete AWS Zugangsportal
Melden Sie sich AWS über Ihr AWS Zugangsportal an. Wenn Ihr Cloud-Administrator Ihnen `PowerUserAccess` (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.
### Ich habe bereits AWS über einen föderierten Anbieter für benutzerdefinierte Identitäten, der von meinem Arbeitgeber verwaltet wird, Zugriff darauf
Wenden Sie sich an Ihr IT-Team, um Hilfe zu erhalten.
## Schritt 2: Erfassen Ihrer Informationen für IAM Identity Center
Nachdem Sie Zugriff auf erhalten haben AWS, sammeln Sie Ihre IAM Identity Center-Informationen, indem Sie wie folgt vorgehen:
1. Sammeln Sie Ihre `SSO Region`- und `SSO Start URL`-Werte, die Sie für die Ausführung von `aws configure sso` benötigen.
1. Wählen Sie in Ihrem AWS Zugriffsportal den Berechtigungssatz aus, den Sie für die Entwicklung verwenden, und klicken Sie **auf den Link Zugriffstasten**.
1. Wählen Sie im Dialogfeld **Anmeldeinformationen abrufen** die Registerkarte aus, die Ihrem Betriebssystem entspricht.
1. Wählen Sie die Methode **Anmeldeinformationen für IAM Identity Center** aus, um die Werte für `SSO Start URL` und `SSO Region` abzurufen.
1. Alternativ können Sie ab Version 2.22.0 die neue Aussteller-URL anstelle der Start-URL verwenden. Die Aussteller-URL befindet sich in der AWS IAM Identity Center Konsole an einem der folgenden Orte:
+ Auf der **Dashboard**-Seite finden Sie die Aussteller-URL in der Einstellungsübersicht.
+ Auf der Seite **Einstellungen** finden Sie die Aussteller-URL in den Einstellungen für die **Identitätsquelle**.
1. Informationen dazu, welcher Bereichswert registriert werden muss, finden Sie unter [OAuth 2.0 Access Scopes](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) im *IAM Identity* Center-Benutzerhandbuch.
## Schritt 3: Erstellen von Amazon-S3-Buckets
Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
Erstellen Sie für dieses Tutorial einige Buckets, die später in einer Liste abgerufen werden sollen.
## Schritt 4: Installieren Sie das AWS CLI
Installieren Sie die AWS CLI folgenden Anweisungen für Ihr Betriebssystem. Weitere Informationen finden Sie unter [Installation oder Aktualisierung auf die neueste Version von AWS CLI](getting-started-install.md).
Nach der Installation können Sie die Installation überprüfen, indem Sie Ihr bevorzugtes Terminal öffnen und den folgenden Befehl ausführen. Dies sollte Ihre installierte Version von anzeigen AWS CLI.
```
$ aws --version
```
## Schritt 5: Konfigurieren Sie Ihr AWS CLI Profil
Konfigurieren Sie Ihr Profil mithilfe einer der folgenden Methoden:
### Konfigurieren Ihres Profils mit dem `aws configure sso`-Assistenten
Der `sso-session` Abschnitt der `config` Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von AWS Anmeldeinformationen verwendet werden können. Die folgenden Einstellungen werden verwendet:
+ **(Erforderlich)** `sso\$1start\$1url`
+ **(Erforderlich)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`
Sie definieren einen `sso-session`-Abschnitt und ordnen ihn einem Profil zu. Die Einstellungen `sso_region` und `sso_start_url` müssen innerhalb des `sso-session`-Abschnitts festgelegt werden. Normalerweise müssen `sso_account_id` und `sso_role_name` im `profile`-Abschnitt festgelegt werden, damit das SDK SSO-Anmeldeinformationen anfordern kann.
Im folgenden Beispiel wird das SDK für die Anforderung von SSO-Anmeldeinformationen konfiguriert und es wird eine automatische Token-Aktualisierung unterstützt:
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Für die Dual-Stack-Unterstützung können Sie das Dual-Stack-SSO-Start-URL-Format verwenden:
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Die Autorisierung mit Proof Key for Code Exchange (PKCE) wird ab Version 2.22.0 der AWS CLI standardmäßig verwendet und muss auf Geräten mit einem Browser genutzt werden. Um die Geräteautorisierung weiterhin zu verwenden, fügen Sie die Option `--use-device-code` hinzu.
```
$ aws configure sso --use-device-code
```
### Manuelle Konfiguration mithilfe der `config`-Datei
Der `sso-session` Abschnitt der `config` Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von Anmeldeinformationen verwendet werden können. AWS Die folgenden Einstellungen werden verwendet:
+ **(Erforderlich)** `sso\$1start\$1url`
+ **(Erforderlich)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`
Sie definieren einen `sso-session`-Abschnitt und ordnen ihn einem Profil zu. `sso_region` und `sso_start_url` müssen innerhalb des `sso-session`-Abschnitts festgelegt werden. Normalerweise müssen `sso_account_id` und `sso_role_name` im `profile`-Abschnitt festgelegt werden, damit das SDK SSO-Anmeldeinformationen anfordern kann.
Im folgenden Beispiel wird das SDK für die Anforderung von SSO-Anmeldeinformationen konfiguriert und es wird eine automatische Token-Aktualisierung unterstützt:
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Verwenden Sie für Dual-Stack-Unterstützung das Dual-Stack-SSO-Start-URL-Format:
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```
Das Authentifizierungs-Token wird auf der Festplatte unter dem Verzeichnis `~/.aws/sso/cache` mit einem Dateinamen zwischengespeichert, der auf dem Sitzungsnamen basiert.
## Schritt 6: Anmelden bei IAM Identity Center
**Anmerkung**
Während des Anmeldevorgangs werden Sie möglicherweise aufgefordert, den AWS CLI Zugriff auf Ihre Daten zu gewähren. Da AWS CLI das auf dem SDK für Python aufbaut, können Berechtigungsnachrichten Variationen des `botocore` Namens enthalten.
Um Ihre Anmeldeinformationen für IAM Identity Center abzurufen und zwischenzuspeichern, führen Sie den folgenden Befehl für die AWS CLI aus, um Ihren Standardbrowser zu öffnen und Ihre Anmeldung bei IAM Identity Center zu überprüfen.
```
$ aws sso login --profile my-dev-profile
```
Ab der Version 2.22.0 ist die PKCE-Autorisierung die Standardeinstellung. Um die Geräteautorisierung für die Anmeldung zu verwenden, fügen Sie die Option `--use-device-code` hinzu.
```
$ aws sso login --profile my-dev-profile --use-device-code
```
## Schritt 7: Ausführen von Amazon-S3-Befehlen
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html](https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html), um die Buckets aufzulisten, die Sie zuvor erstellt haben. Das folgende Beispiel listet alle Ihre Amazon-S3-Buckets auf.
```
$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2
```
## Schritt 8: Abmelden von IAM Identity Center
Wenn Sie Ihr Profil für IAM Identity Center nicht mehr verwenden, führen Sie den folgenden Befehl aus, um Ihre zwischengespeicherten Anmeldeinformationen zu löschen.
```
$ aws sso logout
Successfully signed out of all SSO profiles.
```
## Schritt 9: Ressourcen bereinigen
Wenn Sie mit diesem Tutorial fertig sind, bereinigen Sie alle Ressourcen, die Sie in diesem Tutorial erstellt haben und nicht mehr benötigen, einschließlich Amazon-S3-Buckets.
## Fehlerbehebung
Wenn Sie bei der Verwendung von auf Probleme stoßen AWS CLI, finden Sie unter [Behebung von Fehlern für den AWS CLI](cli-chap-troubleshooting.md) Allgemeine Schritte zur Fehlerbehebung.
## Weitere Ressourcen
Die folgenden zusätzlichen Ressourcen stehen zur Verfügung.
+ [AWS IAM Identity Center-Konzepte für die AWS CLI](cli-configure-sso-concepts.md)
+ [Konfiguration der IAM Identity Center-Authentifizierung mit dem AWS CLI](cli-configure-sso.md)
+ [Installation oder Aktualisierung auf die neueste Version von AWS CLI](getting-started-install.md)
+ [Einstellungen für die Konfiguration und die Anmeldeinformationsdatei in der AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) in der *Referenz zu AWS CLI Version 2*
+ [Einrichtung für die Verwendung von AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) im * CodeCatalyst Amazon-Benutzerhandbuch*
+ [OAuth 2.0 Zugriffsbereiche](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) im *IAM Identity Center-Benutzerhandbuch*
+ [Tutorials für die ersten Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) im *Benutzerhandbuch zu IAM Identity Center*