Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfiguration der IAM Identity Center-Authentifizierung mit dem AWS CLI
Dieses Thema enthält Anweisungen zur Konfiguration von AWS CLI with AWS IAM Identity Center (IAM Identity Center) zum Abrufen von Anmeldeinformationen für die Ausführung von Befehlen. AWS CLI Es gibt hauptsächlich zwei Möglichkeiten, Benutzer mit IAM Identity Center zu authentifizieren, um Anmeldeinformationen für die Ausführung von AWS CLI Befehlen über die Datei zu erhalten: `config`
+ **(Empfohlen)** Konfiguration des SSO-Token-Anbieters.
+ Nicht aktualisierbare Legacy-Konfiguration.
Informationen zur Verwendung der Bearer-Authentifizierung, die keine Konto-ID und Rolle verwendet, finden Sie unter [Einrichtung zur Verwendung von AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) im * CodeCatalyst Amazon-Benutzerhandbuch*.
**Anmerkung**
Eine Anleitung zur Verwendung von IAM Identity Center mit AWS CLI Befehlen finden Sie unter. [Tutorial: Verwenden von IAM Identity Center zur Ausführung von Amazon S3 S3-Befehlen in AWS CLI](cli-configure-sso-tutorial.md)
**Topics**
+ [Voraussetzungen](#cli-configure-sso-prereqs)
+ [Konfigurieren Ihres Profils mit dem `aws configure sso`-Assistenten](#cli-configure-sso-configure)
+ [Ausschließliches Konfigurieren des `sso-session`-Abschnitts mit dem `aws configure sso-session`-Assistenten](#cli-configure-sso-session)
+ [Manuelle Konfiguration mithilfe der `config`-Datei](#cli-configure-sso-manual)
+ [Anmelden für eine Sitzung in IAM Identity Center](#cli-configure-sso-login)
+ [Ausführen eines Befehls mit Ihrem Profil für IAM Identity Center](#cli-configure-sso-use)
+ [Abmelden von Ihren Sitzungen im IAM Identity Center](#cli-configure-sso-logout)
+ [Fehlerbehebung](#cli-configure-sso-tshoot)
+ [Zugehörige Ressourcen](#cli-configure-sso-resources)
## Voraussetzungen
+ Installieren Sie die AWS CLI. Weitere Informationen finden Sie unter [Installation oder Aktualisierung auf die neueste Version von AWS CLI](getting-started-install.md).
+ Sie benötigen zunächst Zugriff auf die SSO-Authentifizierung in IAM Identity Center. Wählen Sie eine der folgenden Methoden, um auf Ihre AWS Anmeldeinformationen zuzugreifen.
### Ich habe keinen Zugriff über IAM Identity Center eingerichtet
Folgen Sie den Anweisungen unter [Erste Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) im *AWS IAM Identity Center -Benutzerhandbuch*. Dieser Prozess aktiviert IAM Identity Center, erstellt einen Administratorbenutzer und fügt einen entsprechenden Berechtigungssatz mit der geringsten Berechtigung hinzu.
**Anmerkung**
Erstellen Sie einen Berechtigungssatz, der Berechtigungen mit der geringsten Berechtigung anwendet. Wir empfehlen, den vordefinierten `PowerUserAccess`-Berechtigungssatz zu verwenden, es sei denn, Ihr Arbeitgeber hat zu diesem Zweck einen benutzerdefinierten Berechtigungssatz erstellt.
Verlassen Sie das Portal und melden Sie sich erneut an AWS-Konten, um Ihre programmatischen Zugangsdaten und Optionen für `Administrator` oder `PowerUserAccess` zu sehen. Wählen Sie `PowerUserAccess` aus, wenn Sie mit dem SDK arbeiten.
### Ich habe bereits AWS über einen von meinem Arbeitgeber verwalteten föderierten Identitätsanbieter Zugriff darauf (z. B. Azure AD oder Okta)
Melden Sie sich AWS über das Portal Ihres Identitätsanbieters an. Wenn Ihr Cloud-Administrator Ihnen `PowerUserAccess` (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.
Benutzerdefinierte Implementierungen können zu unterschiedlichen Erfahrungen führen, z. B. zu unterschiedlichen Namen von Berechtigungssätzen. Wenn Sie sich nicht sicher sind, welchen Berechtigungssatz Sie verwenden sollen, wenden Sie sich an Ihr IT-Team.
### Ich habe bereits Zugriff auf AWS das von meinem Arbeitgeber verwaltete AWS Zugangsportal
Melden Sie sich AWS über Ihr AWS Zugangsportal an. Wenn Ihr Cloud-Administrator Ihnen `PowerUserAccess` (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.
### Ich habe bereits AWS über einen föderierten Anbieter für benutzerdefinierte Identitäten, der von meinem Arbeitgeber verwaltet wird, Zugriff darauf
Wenden Sie sich an Ihr IT-Team, um Hilfe zu erhalten.
Nachdem Sie Zugriff auf IAM Identity Center erhalten haben, erfassen Sie Ihre Informationen für IAM Identity Center, indem Sie wie folgt vorgehen:
1. Sammeln Sie Ihre `SSO Region`- und `SSO Start URL`-Werte, die Sie für die Ausführung von `aws configure sso` benötigen.
1. Wählen Sie in Ihrem AWS Zugriffsportal den Berechtigungssatz aus, den Sie für die Entwicklung verwenden, und klicken Sie **auf den Link Zugriffstasten**.
1. Wählen Sie im Dialogfeld **Anmeldeinformationen abrufen** die Registerkarte aus, die Ihrem Betriebssystem entspricht.
1. Wählen Sie die Methode **Anmeldeinformationen für IAM Identity Center** aus, um die Werte für `SSO Start URL` und `SSO Region` abzurufen.
1. Alternativ können Sie ab Version 2.22.0 die Aussteller-URL anstelle der Start-URL verwenden. Die Aussteller-URL befindet sich in der AWS IAM Identity Center Konsole an einem der folgenden Orte:
+ Auf der **Dashboard**-Seite finden Sie die Aussteller-URL in der Einstellungsübersicht.
+ Auf der Seite **Einstellungen** finden Sie die Aussteller-URL in den Einstellungen für die **Identitätsquelle**.
1. Informationen dazu, welcher Bereichswert registriert werden muss, finden Sie unter [OAuth 2.0 Access Scopes](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) im *IAM Identity* Center-Benutzerhandbuch.
## Konfigurieren Ihres Profils mit dem `aws configure sso`-Assistenten
**So konfigurieren Sie ein Profil für IAM Identity Center für Ihre AWS CLI:**
1. Führen Sie den Befehl `aws configure sso` in Ihrem bevorzugten Terminal aus.
------
#### [ (Recommended) IAM Identity Center ]
Erstellen Sie einen Sitzungsnamen, geben Sie Ihre IAM Identity Center-Start-URL oder die Aussteller-URL, die URL, die AWS-Region das IAM Identity Center-Verzeichnis hostet, und den Registrierungsbereich an.
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Verwenden Sie für Dual-Stack-Unterstützung die Dual-Stack-SSO-Start-URL:
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Die Autorisierung mit Proof Key for Code Exchange (PKCE) wird AWS CLI ab Version **2.22.0** standardmäßig verwendet und muss auf Geräten mit einem Browser verwendet werden. Um die Geräteautorisierung weiterhin zu verwenden, fügen Sie die Option `--use-device-code` hinzu.
```
$ aws configure sso --use-device-code
```
------
#### [ Legacy IAM Identity Center ]
Überspringen Sie den Sitzungsnamen und geben Sie Ihre Start-URL für IAM Identity Center sowie die AWS -Region an, in der sich das Identity-Center-Verzeichnis befindet.
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1
```
Für Dual-Stack-Unterstützung:
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]:us-east-1
```
------
1. Die AWS CLI Versuche, Ihren Standardbrowser für den Anmeldevorgang Ihres IAM Identity Center-Kontos zu öffnen. Bei diesem Vorgang werden Sie möglicherweise aufgefordert, den AWS CLI Zugriff auf Ihre Daten zuzulassen. Da AWS CLI das auf dem SDK für Python aufbaut, können Berechtigungsnachrichten Variationen des `botocore` Namens enthalten.
+ **Wenn der Browser AWS CLI nicht geöffnet** werden kann, werden je nach Art der von Ihnen verwendeten Autorisierung Anweisungen zum manuellen Starten des Anmeldevorgangs angezeigt.
------
#### [ PKCE authorization ]
Die Autorisierung mit Proof Key for Code Exchange (PKCE) wird standardmäßig AWS CLI ab Version 2.22.0 verwendet. Die angezeigte URL ist eine eindeutige URL, die beginnt mit:
+ IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
+ Dual-Stack: *https://oidc.us-east-1.api.aws/authorize*
Die PKCE-Autorisierung URLs muss auf demselben Gerät geöffnet werden, auf dem Sie sich anmelden, und für ein Gerät mit einem Browser verwendet werden.
```
Attempting to automatically open the SSO authorization page in your
default browser.
If the browser does not open or you wish to use a different device to
authorize the request, open the following URL:
https://oidc.us-east-1.amazonaws.com/authorize?
```
------
#### [ Device authorization ]
Die OAuth 2.0-Geräteautorisierung wird von allen Versionen verwendet, die AWS CLI älter als 2.22.0 sind. Sie können diese Methode in neueren Versionen mit der Option `--use-device-code` aktivieren.
Die Geräteautorisierung muss URLs nicht auf demselben Gerät geöffnet werden, auf dem Sie sich anmelden. Sie kann für Geräte mit oder ohne Browser verwendet werden. Das Endpunktformat hängt von Ihrer Konfiguration ab:
+ IPv4: *https://device.sso.us-west-2.amazonaws.com/*
+ Dual-Stack: *https://device.sso.us-west-2.api.aws/*
```
If the browser does not open or you wish to use a different device to
authorize this request, open the following URL:
https://device.sso.us-west-2.amazonaws.com/
Then enter the code:
QCFK-N451
```
------
1. Wählen Sie das zu verwendende AWS Konto aus der angezeigten Liste aus. Wenn Sie berechtigt sind, nur ein Konto zu verwenden, wählt das AWS CLI automatisch dieses Konto aus und überspringt die Eingabeaufforderung.
```
There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (123456789011)
ProductionAccount, production-account-admin@example.com (123456789022)
```
1. Wählen Sie die zu verwendende IAM-Rolle aus der angezeigten Liste aus. Wenn nur eine Rolle verfügbar ist, wählt der AWS CLI automatisch diese Rolle aus und überspringt die Eingabeaufforderung.
```
Using the account ID 123456789011
There are 2 roles available to you.
> ReadOnly
FullAccess
```
1. Geben Sie das [Standardausgabeformat](cli-configure-files.md#cli-config-output), die [Standard- AWS-Region](cli-configure-files.md#cli-config-region) für das Senden von Befehlen und einen [Namen für das Profil](cli-configure-files.md) an. Wenn Sie `default` als Profilnamen angeben, wird dieses Profil als Standardprofil verwendet. Im folgenden Beispiel gibt der Benutzer eine Standardregion, ein Standardausgabeformat und den Namen des Profils ein.
```
Default client Region [None]: us-west-2
CLI default output format (json if not specified) [None]: json
Profile name [123456789011_ReadOnly]: my-dev-profile
```
1. Eine abschließende Meldung beschreibt die abgeschlossene Profilkonfiguration. Sie können dieses Profil nun verwenden, um Anmeldeinformationen anzufordern. Verwenden Sie den `aws sso login`-Befehl, um die Anmeldeinformationen, die zum Ausführen von Befehlen erforderlich sind, anzufordern und abzurufen. Detaillierte Anweisungen finden Sie unter [Anmelden für eine Sitzung in IAM Identity Center](#cli-configure-sso-login).
### Generierte Konfigurationsdatei
Diese Schritte führen dazu, dass der `sso-session`-Abschnitt und das benannte Profil in der `config`-Datei erstellt werden, die wie folgt aussieht:
------
#### [ IAM Identity Center ]
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Für Dual-Stack-Unterstützung:
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```
------
#### [ Legacy IAM Identity Center ]
```
[profile my-dev-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```
Für Dual-Stack-Unterstützung:
```
[profile my-dev-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```
------
## Ausschließliches Konfigurieren des `sso-session`-Abschnitts mit dem `aws configure sso-session`-Assistenten
**Anmerkung**
Diese Konfiguration ist nicht mit dem älteren IAM Identity Center kompatibel.
Der `aws configure sso-session`-Befehl aktualisiert nur die `sso-session`-Abschnitte in der `~/.aws/config`-Datei. Führen Sie den `aws configure sso-session` Befehl aus und geben Sie Ihre IAM Identity Center-Start-URL oder Aussteller-URL sowie die AWS Region an, in der das IAM Identity Center-Verzeichnis gehostet wird.
```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Verwenden Sie für Dual-Stack-Unterstützung die Dual-Stack-SSO-Start-URL:
```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
## Manuelle Konfiguration mithilfe der `config`-Datei
Die Konfigurationsinformationen für IAM Identity Center werden in der `config`-Datei gespeichert und können mit einem Texteditor bearbeitet werden. Um einem benannten Profil manuell Unterstützung für IAM Identity Center hinzuzufügen, müssen Sie der `config`-Datei Schlüssel und Werte hinzufügen.
### Konfigurationsdatei für IAM Identity Center
Der `sso-session` Abschnitt der `config` Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von Anmeldeinformationen verwendet werden können. AWS Die folgenden Einstellungen werden verwendet:
+ **(Erforderlich)** `sso\$1start\$1url`
+ **(Erforderlich)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`
Sie definieren einen `sso-session`-Abschnitt und ordnen ihn einem Profil zu. Die Einstellungen `sso_region` und `sso_start_url` müssen innerhalb des `sso-session`-Abschnitts festgelegt werden. Normalerweise müssen `sso_account_id` und `sso_role_name` im `profile`-Abschnitt festgelegt werden, damit das SDK SSO-Anmeldeinformationen anfordern kann.
Im folgenden Beispiel wird das SDK für die Anforderung von SSO-Anmeldeinformationen konfiguriert und es wird eine automatische Token-Aktualisierung unterstützt:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```
Verwenden Sie für Dual-Stack-Unterstützung das Dual-Stack-SSO-Start-URL-Format:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```
Dadurch können `sso-session`-Konfigurationen zudem auch in mehreren Profilen wiederverwendet werden:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```
Verwenden Sie für Dual-Stack-Unterstützung das Dual-Stack-SSO-Start-URL-Format:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```
`sso_account_id` und `sso_role_name` sind jedoch nicht für alle Szenarien der SSO-Token-Konfiguration erforderlich. Wenn Ihre Anwendung nur AWS Dienste verwendet, die die Trägerauthentifizierung unterstützen, sind herkömmliche AWS Anmeldeinformationen nicht erforderlich. Bei der Bearer-Authentifizierung handelt es sich um ein HTTP-Authentifizierungsschema, das Sicherheitstoken, sogenannte Bearer-Token, verwendet. In diesem Szenario sind `sso_account_id` und `sso_role_name` nicht erforderlich. Lesen Sie im individuellen Leitfaden für Ihren AWS Dienst nach, ob er die Bearer-Token-Autorisierung unterstützt.
Darüber hinaus können Registrierungsbereiche als Teil von `sso-session` konfiguriert werden. Scope ist ein Mechanismus in OAuth 2.0, mit dem der Zugriff einer Anwendung auf das Konto eines Benutzers beschränkt werden kann. Eine Anwendung kann einen oder mehrere Bereiche anfordern und das an die Anwendung ausgegebene Zugriffstoken ist auf die gewährten Bereiche beschränkt. Diese Bereiche definieren die Berechtigungen, die für die Autorisierung für den registrierten OIDC-Client angefordert werden, und die vom Client abgerufenen Zugriffstoken. Im folgenden Beispiel wird `sso_registration_scopes` so festgelegt, dass der Zugriff zum Auflisten von Konten/Rollen möglich ist:
```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Für Dual-Stack-Unterstützung:
```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```
Das Authentifizierungs-Token wird auf der Festplatte unter dem Verzeichnis `sso/cache` mit einem Dateinamen zwischengespeichert, der auf dem Sitzungsnamen basiert.
### Konfigurationsdatei für das ältere IAM Identity Center
**Anmerkung**
Die automatisierte Token-Aktualisierung wird bei Verwendung der nicht aktualisierbaren Legacy-Konfiguration nicht unterstützt. Wir empfehlen die Verwendung der SSO-Token-Konfiguration.
Um einem benannten Profil manuell Unterstützung für IAM Identity Center hinzuzufügen, müssen Sie der Profildefinition in der `config`-Datei die folgenden Schlüssel und Werte hinzufügen.
+ `sso\$1start\$1url`
+ `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
Sie können auch andere Schlüssel und Werte einschließen, die in der `.aws/config`-Datei gültig sind. Das folgende Beispiel ist ein Profil für IAM Identity Center:
```
[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```
Für Dual-Stack-Unterstützung:
```
[profile my-sso-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```
Um Befehle ausführen zu können, müssen Sie zuerst [Anmelden für eine Sitzung in IAM Identity Center](#cli-configure-sso-login) verwenden, um Ihre temporären Anmeldeinformationen anzufordern und abzurufen.
Weitere Informationen zu den Dateien `config` und `credentials` finden Sie unter [Einstellungen für die Konfiguration und die Anmeldeinformationsdatei in der AWS CLI](cli-configure-files.md).
## Anmelden für eine Sitzung in IAM Identity Center
**Anmerkung**
Beim Anmeldevorgang werden Sie möglicherweise aufgefordert, den AWS CLI Zugriff auf Ihre Daten zu gewähren. Da AWS CLI das auf dem SDK für Python aufbaut, können Berechtigungsnachrichten Variationen des `botocore` Namens enthalten.
Um eine Reihe von Anmeldeinformationen für IAM Identity Center abzurufen und zwischenzuspeichern, führen Sie den folgenden Befehl für die AWS CLI aus, um Ihren Standardbrowser zu öffnen und Ihre Anmeldung bei IAM Identity Center zu überprüfen.
```
$ aws sso login --profile my-dev-profile
SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start
```
Ihre Anmeldeinformationen für die IAM Identity Center-Sitzung werden zwischengespeichert und dann AWS CLI verwendet, um AWS Anmeldeinformationen für die im Profil angegebene IAM-Rolle sicher abzurufen.
### Wenn der Ihren Browser nicht AWS CLI öffnen kann
Wenn Ihr Browser AWS CLI nicht automatisch geöffnet werden kann, werden je nach Art der von Ihnen verwendeten Autorisierung Anweisungen zum manuellen Starten des Anmeldevorgangs angezeigt.
------
#### [ PKCE authorization ]
Die Autorisierung mit Proof Key for Code Exchange (PKCE) wird AWS CLI ab Version 2.22.0 standardmäßig verwendet. Die angezeigte URL ist eine eindeutige URL, die beginnt mit:
+ IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
+ Dual-Stack: *https://oidc.us-east-1.api.aws/authorize*
Die PKCE-Autorisierung URLs muss auf demselben Gerät geöffnet werden, auf dem Sie sich anmelden, und für ein Gerät mit einem Browser verwendet werden.
```
Attempting to automatically open the SSO authorization page in your
default browser.
If the browser does not open or you wish to use a different device to
authorize the request, open the following URL:
https://oidc.us-east-1.amazonaws.com/authorize?
```
------
#### [ Device authorization ]
Die OAuth 2.0-Geräteautorisierung wird von allen Versionen verwendet, die AWS CLI älter als 2.22.0 sind. Sie können diese Methode in neueren Versionen mit der Option `--use-device-code` aktivieren.
Die Geräteautorisierung muss URLs nicht auf demselben Gerät geöffnet werden, auf dem Sie sich anmelden. Sie kann für Geräte mit oder ohne Browser verwendet werden.
```
If the browser does not open or you wish to use a different device to
authorize this request, open the following URL:
https://device.sso.us-west-2.amazonaws.com/
Then enter the code:
QCFK-N451
```
------
Mit dem Parameter `--sso-session` des `aws sso login`-Befehls können Sie auch angeben, welches `sso-session`-Profil bei der Anmeldung verwendet werden soll. Die Option `sso-session` ist für ältere Versionen von IAM Identity Center nicht verfügbar.
```
$ aws sso login --sso-session my-dev-session
```
Ab der Version 2.22.0 ist die PKCE-Autorisierung die Standardeinstellung. Um die Geräteautorisierung für die Anmeldung zu verwenden, fügen Sie die Option `--use-device-code` hinzu.
```
$ aws sso login --profile my-dev-profile --use-device-code
```
Das Authentifizierungstoken wird auf der Festplatte unter dem Verzeichnis `~/.aws/sso/cache` mit einem Dateinamen zwischengespeichert, der auf der `sso_start_url` basiert.
## Ausführen eines Befehls mit Ihrem Profil für IAM Identity Center
Sobald Sie angemeldet sind, können Sie Ihre Anmeldeinformationen verwenden, um AWS CLI Befehle mit dem zugehörigen benannten Profil aufzurufen. Das folgende Beispiel zeigt einen Befehl mit Verwendung eines Profils:
```
$ aws sts get-caller-identity --profile my-dev-profile
```
Solange Sie bei IAM Identity Center angemeldet sind und die zwischengespeicherten Anmeldeinformationen nicht abgelaufen sind, werden abgelaufene Anmeldeinformationen bei AWS CLI Bedarf automatisch erneuert. AWS Wenn Ihre IAM–Identity-Center-Anmeldeinformationen jedoch ablaufen, müssen Sie sie explizit erneuern, indem Sie sich erneut bei Ihrem IAM–Identity-Center-Konto anmelden.
## Abmelden von Ihren Sitzungen im IAM Identity Center
Wenn Sie Ihr Profil für IAM Identity Center nicht mehr verwenden, können Sie Ihre Anmeldeinformationen ablaufen lassen oder den folgenden Befehl ausführen, um Ihre zwischengespeicherten Anmeldeinformationen zu löschen.
```
$ aws sso logout
Successfully signed out of all SSO profiles.
```
## Fehlerbehebung
Wenn Sie bei der Verwendung von auf Probleme stoßen AWS CLI, finden Sie unter Schritte [Behebung von Fehlern für den AWS CLI](cli-chap-troubleshooting.md) zur Fehlerbehebung.
## Zugehörige Ressourcen
Die folgenden zusätzlichen Ressourcen stehen zur Verfügung.
+ [AWS IAM Identity Center-Konzepte für die AWS CLI](cli-configure-sso-concepts.md)
+ [Tutorial: Verwenden von IAM Identity Center zur Ausführung von Amazon S3 S3-Befehlen in AWS CLI](cli-configure-sso-tutorial.md)
+ [Installation oder Aktualisierung auf die neueste Version von AWS CLI](getting-started-install.md)
+ [Einstellungen für die Konfiguration und die Anmeldeinformationsdatei in der AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) in der *Referenz zu AWS CLI Version 2*
+ [Einrichtung für die Verwendung von AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) im * CodeCatalyst Amazon-Benutzerhandbuch*
+ [OAuth 2.0 Zugriffsbereiche](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) im *IAM Identity Center-Benutzerhandbuch*
+ [Tutorials für die ersten Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) im *Benutzerhandbuch zu IAM Identity Center*
# AWS IAM Identity Center-Konzepte für die AWS CLI
In diesem Thema werden die wichtigsten Konzepte von AWS IAM Identity Center (IAM Identity Center) beschrieben. IAM Identity Center ist ein cloudbasierter IAM-Service, der die Benutzerzugriffsverwaltung für mehrere AWS-Konten, Anwendungen, SDKs und Tools vereinfacht, indem er in bestehende Identitätsanbieter (IdP) integriert wird. Er ermöglicht sicheres Single Sign-On, Berechtigungsverwaltung und Auditing über ein zentrales Benutzerportal und optimiert so die Identitäts- und Zugriffsverwaltung für Unternehmen.
**Topics**
+ [
## Was ist das IAM Identity Center
](#cli-configure-sso-concepts-what)
+ [
## Bedingungen
](#cli-configure-sso-terms)
+ [
## Funktionsweise von IAM Identity Center
](#cli-configure-sso-concepts-process)
+ [
## Weitere Ressourcen
](#cli-configure-sso-concepts-resources)
## Was ist das IAM Identity Center
IAM Identity Center ist ein cloudbasierter Service für das Identitäts- und Zugriffsmanagement (IAM), mit dem Sie den Zugriff auf mehrere AWS-Konten und Geschäftsanwendungen zentral verwalten können.
Er bietet ein Benutzerportal, über das autorisierte Benutzer mit ihren vorhandenen Unternehmensanmeldeinformationen auf die AWS-Konten und Anwendungen zugreifen können, für die ihnen die entsprechenden Berechtigungen erteilt wurden. Auf diese Weise können Unternehmen konsistente Sicherheitsrichtlinien durchsetzen und die Verwaltung des Benutzerzugriffs optimieren.
Unabhängig davon, welchen IdP Sie verwenden, abstrahiert das IAM Identity Center diese Unterschiede. So können Sie beispielsweise Microsoft Azure AD wie in dem Blogartikel [The Next Evolution in IAM Identity Center](https://aws.amazon.com/blogs/aws/the-next-evolution-in-aws-single-sign-on/) beschrieben verbinden.
**Anmerkung**
Informationen zur Verwendung der Bearer-Authentifizierung, bei der keine Konto-ID und Rolle verwendet werden, finden Sie unter [Einrichtung für die Verwendung der AWS CLI mit CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) im *Amazon-CodeCatalyst-Benutzerhandbuch*.
## Bedingungen
Im Folgenden finden Sie einige allgemeine Begriffe für die Verwendung von IAM Identity Center:
**Identitätsanbieter (IdP)**
Ein Identitätsverwaltungssystem wie IAM Identity Center, Microsoft Azure AD, Okta oder der eigene Directory Service Ihres Unternehmens.
**AWS IAM Identity Center**
IAM Identity Center ist der IdP-Service im Besitz von AWS. SDKs und Tools, die früher als AWS Single Sign-On bekannt waren, behalten die `sso`-API-Namespaces aus Gründen der Abwärtskompatibilität bei. Weitere Informationen finden Sie unter [Umbenennung von IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) im *Benutzerhandbuch zu AWS IAM Identity Center*.
**AWS-Zugangsportal-URL, SSO-Start-URL, Start-URL**
Die eindeutige URL für das IAM Identity Center Ihres Unternehmens für den Zugriff auf Ihre autorisierten AWS-Konten, Services und Ressourcen.
**URL des Ausstellers**
Die eindeutige Aussteller-URL für das IAM Identity Center Ihres Unternehmens für den programmgesteuerten Zugriff auf Ihre autorisierten AWS-Konten, Services und Ressourcen. Ab Version 2.22.0 der AWS CLI kann die Aussteller-URL synonym mit der Start-URL verwendet werden.
**Verbund**
Der Prozess der Vertrauensbildung zwischen IAM Identity Center und einem Identitätsanbieter, um Single Sign-On (SSO) zu ermöglichen.
**AWS-Konten**
Die AWS-Konten, über die Sie Benutzern per AWS IAM Identity Center Zugriff gewähren.
**Berechtigungssätze, AWS-Anmeldeinformationen, Anmeldeinformationen, sigv4-Anmeldeinformationen**
Vordefinierte Sammlungen von Berechtigungen, die Benutzern oder Gruppen zugewiesen werden können, um ihnen Zugriff auf AWS-Services zu gewähren.
**Registrierungsbereiche, Zugriffsbereiche, Bereiche**
Bereiche sind ein Mechanismus in OAuth 2.0, um den Zugriff einer Anwendung auf ein Benutzerkonto zu beschränken. Eine Anwendung kann einen oder mehrere Bereiche anfordern und das an die Anwendung ausgegebene Zugriffstoken ist auf die gewährten Bereiche beschränkt. Weitere Informationen zu Bereichen finden Sie unter [Zugriffsbereiche](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) im *Benutzerhandbuch zu IAM Identity Center*.
**Token, Aktualisierungstoken, Zugriffstoken**
Token sind temporäre Sicherheitsnachweise, die Ihnen bei der Authentifizierung ausgestellt werden. Diese Token enthalten Informationen über Ihre Identität und die Berechtigungen, die Ihnen erteilt wurden.
Wenn Sie über das IAM Identity Center-Portal auf eine AWS-Ressource oder -Anwendung zugreifen, wird Ihr Token AWS zur Authentifizierung und Autorisierung vorgelegt. Damit kann AWS Ihre Identität überprüfen und sicherstellen, dass Sie über die erforderlichen Berechtigungen verfügen, um die angeforderten Aktionen durchzuführen.
Das Authentifizierungstoken wird auf der Festplatte unter dem Verzeichnis `~/.aws/sso/cache` mit einem JSON-Dateinamen zwischengespeichert, der auf dem Sitzungsnamen basiert.
**Sitzung**
Eine IAM Identity Center-Sitzung bezieht sich auf den Zeitraum, in dem ein Benutzer authentifiziert und autorisiert ist, auf AWS-Ressourcen oder -Anwendungen zuzugreifen. Wenn sich ein Benutzer beim IAM Identity Center-Portal anmeldet, wird eine Sitzung eingerichtet, und das Token des Benutzers ist für eine bestimmte Dauer gültig. Weitere Informationen zum Festlegen der Sitzungsdauer finden Sie unter [Festlegen der Sitzungsdauer](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) im *Benutzerhandbuch zu AWS IAM Identity Center*.
Während der Sitzung können Sie zwischen verschiedenen AWS-Konten und -Anwendungen wechseln, ohne sich erneut authentifizieren zu müssen, solange die jeweilige Sitzung aktiv bleibt. Wenn die Sitzung abläuft, melden Sie sich erneut an, um Ihren Zugriff zu erneuern.
IAM Identity Center-Sitzungen sorgen für eine reibungslose Benutzererfahrung und setzen gleichzeitig bewährte Sicherheitsverfahren durch, indem die Gültigkeit von Anmeldeinformationen für den Benutzerzugriff eingeschränkt wird.
**Erteilung eines Autorisierungscodes mit PKCE, PKCE, Proof Key for Code Exchange**
Ab Version 2.22.0 ist Proof Key for Code Exchange (PKCE) ein OAuth 2.0-Verfahren für die Erteilung einer Authentifizierung für Geräte mit einem Browser. PKCE ist eine einfache und sichere Methode, um sich zu authentifizieren und die Zustimmung für den Zugriff auf Ihre AWS-Ressourcen von Desktops und Mobilgeräten mit Webbrowsern einzuholen. Dies ist das standardmäßige Autorisierungsverhalten. Weitere Informationen zu PKCE finden Sie unter [Erteilung eines Autorisierungscodes mit PKCE](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#auth-code-grant-pkce) im *Benutzerhandbuch zu AWS IAM Identity Center*.
**Erteilung der Geräteautorisierung**
Ein OAuth 2.0-Verfahren für die Erteilung einer Authentifizierung für Geräte mit oder ohne Webbrowser. Weitere Informationen zum Festlegen der Sitzungsdauer finden Sie unter [Erteilung der Autorisierung für Geräte](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#device-auth-grant) im *Benutzerhandbuch zu AWS IAM Identity Center*.
## Funktionsweise von IAM Identity Center
IAM Identity Center lässt sich in den Identitätsanbieter Ihres Unternehmens integrieren, z. B. IAM Identity Center, Microsoft Azure AD oder Okta. Benutzer authentifizieren sich bei diesem Identitätsanbieter und IAM Identity Center ordnet diese Identitäten dann den entsprechenden Berechtigungen und Zugriffen in Ihrer AWS-Umgebung zu.
Beim folgenden Workflow in IAM Identity Center wird davon ausgegangen, dass Sie Ihre AWS CLI bereits für die Verwendung von IAM Identity Center konfiguriert haben:
1. Führen Sie den Befehl `aws sso login` in Ihrem bevorzugten Terminal aus.
1. Melden Sie sich bei Ihrem AWS-Zugangsportal an, um eine neue Sitzung zu starten.
+ Wenn Sie eine neue Sitzung starten, erhalten Sie ein Aktualisierungstoken und ein Zugriffstoken, die zwischengespeichert werden.
+ Wenn Sie bereits eine aktive Sitzung haben, wird die bestehende Sitzung wiederverwendet und läuft ab, wenn die bestehende Sitzung abläuft.
1. Basierend auf dem Profil, das Sie in Ihrer `config`-Datei eingerichtet haben, geht IAM Identity Center von den entsprechenden Berechtigungssätzen aus und gewährt Zugriff auf die relevanten AWS-Kontenund Anwendungen.
1. Die AWS CLI, SDKs und Tools verwenden Ihre angenommene IAM-Rolle, um Aufrufe an AWS-Services durchzuführen, beispielsweise für die Erstellung von Amazon-S3-Buckets, bis diese Sitzung abläuft.
1. Das Zugriffstoken von IAM Identity Center wird stündlich überprüft und mit dem Aktualisierungstoken automatisch aktualisiert.
+ Wenn das Zugriffstoken abgelaufen ist, verwendet das SDK oder das Tool das Aktualisierungstoken, um ein neues Zugriffstoken abzurufen. Die Sitzungsdauer dieser Token wird dann verglichen. Wenn das Aktualisierungstoken nicht abgelaufen ist, stellt IAM Identity Center ein neues Zugriffstoken bereit.
+ Wenn das Aktualisierungstoken abgelaufen ist, werden keine neuen Zugriffstoken bereitgestellt und Ihre Sitzung ist beendet.
1. Sitzungen enden nach Ablauf der Aktualisierungstoken oder wenn Sie sich mithilfe des Befehls `aws sso logout` manuell abmelden. Die zwischengespeicherten Anmeldeinformationen werden entfernt. Um weiterhin über IAM Identity Center auf Services zugreifen zu können, müssen Sie mit dem Befehl `aws sso login` eine neue Sitzung starten.
## Weitere Ressourcen
Die folgenden zusätzlichen Ressourcen stehen zur Verfügung.
+ [Konfiguration der IAM Identity Center-Authentifizierung mit dem AWS CLI](cli-configure-sso.md)
+ [Tutorial: Verwenden von IAM Identity Center zur Ausführung von Amazon S3 S3-Befehlen in AWS CLI](cli-configure-sso-tutorial.md)
+ [Installation oder Aktualisierung auf die neueste Version von AWS CLI](getting-started-install.md)
+ [Einstellungen für die Konfiguration und die Anmeldeinformationsdatei in der AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) in der *Referenz zu AWS CLI Version 2*
+ [Einrichtung für die Verwendung der AWS CLI mit CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) im *Benutzerhandbuch zu Amazon CodeCatalyst*
+ [Umbenennung von IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) im *Benutzerhandbuch zu AWS IAM Identity Center*
+ [OAuth 2.0-Zugriffsbereiche](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) im *Benutzerhandbuch zu IAM Identity Center*
+ [Festlegen der Sitzungsdauer](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) im *Benutzerhandbuch zu AWS IAM Identity Center*
+ [Tutorials für die ersten Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) im *Benutzerhandbuch zu IAM Identity Center*
# Tutorial: Verwenden von IAM Identity Center zur Ausführung von Amazon S3 S3-Befehlen in AWS CLI
In diesem Thema wird beschrieben, wie Sie die Befehle AWS CLI zur Authentifizierung von Benutzern mit aktuellen AWS IAM Identity Center (IAM Identity Center) zum Abrufen von Anmeldeinformationen zum Ausführen AWS Command Line Interface (AWS CLI) für Amazon Simple Storage Service (Amazon S3) konfigurieren.
**Topics**
+ [
## Schritt 1: Authentifizierung in IAM Identity Center
](#cli-configure-sso-tutorial-authentication)
+ [
## Schritt 2: Erfassen Ihrer Informationen für IAM Identity Center
](#cli-configure-sso-tutorial-gather)
+ [
## Schritt 3: Erstellen von Amazon-S3-Buckets
](#cli-configure-sso-tutorial-buckets)
+ [
## Schritt 4: Installieren Sie das AWS CLI
](#cli-configure-sso-tutorial-install)
+ [
## Schritt 5: Konfigurieren Sie Ihr AWS CLI Profil
](#cli-configure-sso-tutorial-configure)
+ [
## Schritt 6: Anmelden bei IAM Identity Center
](#cli-configure-sso-tutorial-login.title)
+ [
## Schritt 7: Ausführen von Amazon-S3-Befehlen
](#cli-configure-sso-tutorial-commands)
+ [
## Schritt 8: Abmelden von IAM Identity Center
](#cli-configure-sso-tutorial-logout)
+ [
## Schritt 9: Ressourcen bereinigen
](#cli-configure-sso-tutorial-cleanup)
+ [
## Fehlerbehebung
](#cli-configure-sso-tutorial-tshoot)
+ [
## Weitere Ressourcen
](#cli-configure-sso-tutorial-resources.title)
## Schritt 1: Authentifizierung in IAM Identity Center
Besorgen Sie sich Zugriff auf die SSO-Authentifizierung in IAM Identity Center. Wählen Sie eine der folgenden Methoden, um auf Ihre AWS Anmeldeinformationen zuzugreifen.
### Ich habe keinen Zugriff über IAM Identity Center eingerichtet
Folgen Sie den Anweisungen unter [Erste Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) im *AWS IAM Identity Center -Benutzerhandbuch*. Dieser Prozess aktiviert IAM Identity Center, erstellt einen Administratorbenutzer und fügt einen entsprechenden Berechtigungssatz mit der geringsten Berechtigung hinzu.
**Anmerkung**
Erstellen Sie einen Berechtigungssatz, der Berechtigungen mit der geringsten Berechtigung anwendet. Wir empfehlen, den vordefinierten `PowerUserAccess`-Berechtigungssatz zu verwenden, es sei denn, Ihr Arbeitgeber hat zu diesem Zweck einen benutzerdefinierten Berechtigungssatz erstellt.
Verlassen Sie das Portal und melden Sie sich erneut an AWS-Konten, um Ihre programmatischen Zugangsdaten und Optionen für `Administrator` oder `PowerUserAccess` zu sehen. Wählen Sie `PowerUserAccess` aus, wenn Sie mit dem SDK arbeiten.
### Ich habe bereits AWS über einen von meinem Arbeitgeber verwalteten föderierten Identitätsanbieter Zugriff darauf (z. B. Azure AD oder Okta)
Melden Sie sich AWS über das Portal Ihres Identitätsanbieters an. Wenn Ihr Cloud-Administrator Ihnen `PowerUserAccess` (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.
Benutzerdefinierte Implementierungen können zu unterschiedlichen Erfahrungen führen, z. B. zu unterschiedlichen Namen von Berechtigungssätzen. Wenn Sie sich nicht sicher sind, welchen Berechtigungssatz Sie verwenden sollen, wenden Sie sich an Ihr IT-Team.
### Ich habe bereits Zugriff auf AWS das von meinem Arbeitgeber verwaltete AWS Zugangsportal
Melden Sie sich AWS über Ihr AWS Zugangsportal an. Wenn Ihr Cloud-Administrator Ihnen `PowerUserAccess` (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.
### Ich habe bereits AWS über einen föderierten Anbieter für benutzerdefinierte Identitäten, der von meinem Arbeitgeber verwaltet wird, Zugriff darauf
Wenden Sie sich an Ihr IT-Team, um Hilfe zu erhalten.
## Schritt 2: Erfassen Ihrer Informationen für IAM Identity Center
Nachdem Sie Zugriff auf erhalten haben AWS, sammeln Sie Ihre IAM Identity Center-Informationen, indem Sie wie folgt vorgehen:
1. Sammeln Sie Ihre `SSO Region`- und `SSO Start URL`-Werte, die Sie für die Ausführung von `aws configure sso` benötigen.
1. Wählen Sie in Ihrem AWS Zugriffsportal den Berechtigungssatz aus, den Sie für die Entwicklung verwenden, und klicken Sie **auf den Link Zugriffstasten**.
1. Wählen Sie im Dialogfeld **Anmeldeinformationen abrufen** die Registerkarte aus, die Ihrem Betriebssystem entspricht.
1. Wählen Sie die Methode **Anmeldeinformationen für IAM Identity Center** aus, um die Werte für `SSO Start URL` und `SSO Region` abzurufen.
1. Alternativ können Sie ab Version 2.22.0 die neue Aussteller-URL anstelle der Start-URL verwenden. Die Aussteller-URL befindet sich in der AWS IAM Identity Center Konsole an einem der folgenden Orte:
+ Auf der **Dashboard**-Seite finden Sie die Aussteller-URL in der Einstellungsübersicht.
+ Auf der Seite **Einstellungen** finden Sie die Aussteller-URL in den Einstellungen für die **Identitätsquelle**.
1. Informationen dazu, welcher Bereichswert registriert werden muss, finden Sie unter [OAuth 2.0 Access Scopes](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) im *IAM Identity* Center-Benutzerhandbuch.
## Schritt 3: Erstellen von Amazon-S3-Buckets
Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
Erstellen Sie für dieses Tutorial einige Buckets, die später in einer Liste abgerufen werden sollen.
## Schritt 4: Installieren Sie das AWS CLI
Installieren Sie die AWS CLI folgenden Anweisungen für Ihr Betriebssystem. Weitere Informationen finden Sie unter [Installation oder Aktualisierung auf die neueste Version von AWS CLI](getting-started-install.md).
Nach der Installation können Sie die Installation überprüfen, indem Sie Ihr bevorzugtes Terminal öffnen und den folgenden Befehl ausführen. Dies sollte Ihre installierte Version von anzeigen AWS CLI.
```
$ aws --version
```
## Schritt 5: Konfigurieren Sie Ihr AWS CLI Profil
Konfigurieren Sie Ihr Profil mithilfe einer der folgenden Methoden:
### Konfigurieren Ihres Profils mit dem `aws configure sso`-Assistenten
Der `sso-session` Abschnitt der `config` Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von AWS Anmeldeinformationen verwendet werden können. Die folgenden Einstellungen werden verwendet:
+ **(Erforderlich)** `sso\$1start\$1url`
+ **(Erforderlich)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`
Sie definieren einen `sso-session`-Abschnitt und ordnen ihn einem Profil zu. Die Einstellungen `sso_region` und `sso_start_url` müssen innerhalb des `sso-session`-Abschnitts festgelegt werden. Normalerweise müssen `sso_account_id` und `sso_role_name` im `profile`-Abschnitt festgelegt werden, damit das SDK SSO-Anmeldeinformationen anfordern kann.
Im folgenden Beispiel wird das SDK für die Anforderung von SSO-Anmeldeinformationen konfiguriert und es wird eine automatische Token-Aktualisierung unterstützt:
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Für die Dual-Stack-Unterstützung können Sie das Dual-Stack-SSO-Start-URL-Format verwenden:
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Die Autorisierung mit Proof Key for Code Exchange (PKCE) wird ab Version 2.22.0 der AWS CLI standardmäßig verwendet und muss auf Geräten mit einem Browser genutzt werden. Um die Geräteautorisierung weiterhin zu verwenden, fügen Sie die Option `--use-device-code` hinzu.
```
$ aws configure sso --use-device-code
```
### Manuelle Konfiguration mithilfe der `config`-Datei
Der `sso-session` Abschnitt der `config` Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von Anmeldeinformationen verwendet werden können. AWS Die folgenden Einstellungen werden verwendet:
+ **(Erforderlich)** `sso\$1start\$1url`
+ **(Erforderlich)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`
Sie definieren einen `sso-session`-Abschnitt und ordnen ihn einem Profil zu. `sso_region` und `sso_start_url` müssen innerhalb des `sso-session`-Abschnitts festgelegt werden. Normalerweise müssen `sso_account_id` und `sso_role_name` im `profile`-Abschnitt festgelegt werden, damit das SDK SSO-Anmeldeinformationen anfordern kann.
Im folgenden Beispiel wird das SDK für die Anforderung von SSO-Anmeldeinformationen konfiguriert und es wird eine automatische Token-Aktualisierung unterstützt:
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Verwenden Sie für Dual-Stack-Unterstützung das Dual-Stack-SSO-Start-URL-Format:
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```
Das Authentifizierungs-Token wird auf der Festplatte unter dem Verzeichnis `~/.aws/sso/cache` mit einem Dateinamen zwischengespeichert, der auf dem Sitzungsnamen basiert.
## Schritt 6: Anmelden bei IAM Identity Center
**Anmerkung**
Während des Anmeldevorgangs werden Sie möglicherweise aufgefordert, den AWS CLI Zugriff auf Ihre Daten zu gewähren. Da AWS CLI das auf dem SDK für Python aufbaut, können Berechtigungsnachrichten Variationen des `botocore` Namens enthalten.
Um Ihre Anmeldeinformationen für IAM Identity Center abzurufen und zwischenzuspeichern, führen Sie den folgenden Befehl für die AWS CLI aus, um Ihren Standardbrowser zu öffnen und Ihre Anmeldung bei IAM Identity Center zu überprüfen.
```
$ aws sso login --profile my-dev-profile
```
Ab der Version 2.22.0 ist die PKCE-Autorisierung die Standardeinstellung. Um die Geräteautorisierung für die Anmeldung zu verwenden, fügen Sie die Option `--use-device-code` hinzu.
```
$ aws sso login --profile my-dev-profile --use-device-code
```
## Schritt 7: Ausführen von Amazon-S3-Befehlen
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html](https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html), um die Buckets aufzulisten, die Sie zuvor erstellt haben. Das folgende Beispiel listet alle Ihre Amazon-S3-Buckets auf.
```
$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2
```
## Schritt 8: Abmelden von IAM Identity Center
Wenn Sie Ihr Profil für IAM Identity Center nicht mehr verwenden, führen Sie den folgenden Befehl aus, um Ihre zwischengespeicherten Anmeldeinformationen zu löschen.
```
$ aws sso logout
Successfully signed out of all SSO profiles.
```
## Schritt 9: Ressourcen bereinigen
Wenn Sie mit diesem Tutorial fertig sind, bereinigen Sie alle Ressourcen, die Sie in diesem Tutorial erstellt haben und nicht mehr benötigen, einschließlich Amazon-S3-Buckets.
## Fehlerbehebung
Wenn Sie bei der Verwendung von auf Probleme stoßen AWS CLI, finden Sie unter [Behebung von Fehlern für den AWS CLI](cli-chap-troubleshooting.md) Allgemeine Schritte zur Fehlerbehebung.
## Weitere Ressourcen
Die folgenden zusätzlichen Ressourcen stehen zur Verfügung.
+ [AWS IAM Identity Center-Konzepte für die AWS CLI](cli-configure-sso-concepts.md)
+ [Konfiguration der IAM Identity Center-Authentifizierung mit dem AWS CLI](cli-configure-sso.md)
+ [Installation oder Aktualisierung auf die neueste Version von AWS CLI](getting-started-install.md)
+ [Einstellungen für die Konfiguration und die Anmeldeinformationsdatei in der AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) in der *Referenz zu AWS CLI Version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) in der *Referenz zu AWS CLI Version 2*
+ [Einrichtung für die Verwendung von AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) im * CodeCatalyst Amazon-Benutzerhandbuch*
+ [OAuth 2.0 Zugriffsbereiche](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) im *IAM Identity Center-Benutzerhandbuch*
+ [Tutorials für die ersten Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) im *Benutzerhandbuch zu IAM Identity Center*