Voraussetzungen Automatische Konfiguration für Legacy-Konfigurationen Manuelle Konfiguration für Legacy-Konfigurationen

Nicht aktualisierbare Legacy-Konfiguration für AWS IAM Identity Center

In diesem Thema wird beschrieben, wie die AWS CLI Authentifizierung von Benutzern mit AWS IAM Identity Center (IAM Identity Center) konfiguriert wird, um Anmeldeinformationen für die Ausführung von AWS CLI Befehlen mit der alten Methode zu erhalten. Bei Verwendung der nicht aktualisierbaren Legacy-Konfiguration müssen Sie das Token manuell aktualisieren, da es regelmäßig abläuft.

Bei Verwendung des IAM Identity Center können Sie sich bei Active Directory, einem integrierten IAM-Identity-Center-Verzeichnis oder einem anderen mit dem IAM Identity Center verbundenen IdP anmelden. Sie können diese Anmeldeinformationen einer AWS Identity and Access Management (IAM-) Rolle zuordnen, in der Sie Befehle ausführen können. AWS CLI

Unabhängig davon, welchen IdP Sie verwenden, abstrahiert das IAM Identity Center diese Unterschiede. So können Sie beispielsweise Microsoft Azure AD wie in dem Blogartikel The Next Evolution in IAM Identity Center beschrieben verbinden.

Anmerkung

Informationen zur Verwendung der Bearer-Authentifizierung, die keine Konto-ID und Rolle verwendet, finden Sie unter Einrichtung zur Verwendung von AWS CLI with CodeCatalyst im CodeCatalyst Amazon-Benutzerhandbuch.

Sie können eines oder mehrere Ihrer AWS CLI benannten Profile so konfigurieren, dass sie eine Rolle aus einem älteren IAM Identity Center auf folgende Weise verwenden:

Automatisch mit dem aws configure sso-Befehl.
Manuell durch Bearbeiten der config-Datei, in der die benannten Profile gespeichert sind.

Voraussetzungen

Installieren Sie die AWS CLI. Weitere Informationen finden Sie unter Installieren oder aktualisieren Sie auf die neueste Version von AWS CLI.
Sie benötigen zunächst Zugriff auf die SSO-Authentifizierung in IAM Identity Center. Wählen Sie eine der folgenden Methoden, um auf Ihre AWS Anmeldeinformationen zuzugreifen.

Folgen Sie den Anweisungen unter Erste Schritte im AWS IAM Identity Center -Benutzerhandbuch. Dieser Prozess aktiviert IAM Identity Center, erstellt einen Administratorbenutzer und fügt einen entsprechenden Berechtigungssatz mit der geringsten Berechtigung hinzu.

Anmerkung

Erstellen Sie einen Berechtigungssatz, der Berechtigungen mit den geringsten Rechten anwendet. Wir empfehlen, den vordefinierten PowerUserAccess-Berechtigungssatz zu verwenden, es sei denn, Ihr Arbeitgeber hat zu diesem Zweck einen benutzerdefinierten Berechtigungssatz erstellt.

Verlassen Sie das Portal und melden Sie sich erneut an, um Ihre Optionen AWS-Konten und Optionen für oder zu sehen. Administrator PowerUserAccess Wählen Sie PowerUserAccess aus, wenn Sie mit dem SDK arbeiten. Dies hilft Ihnen auch, Details zum programmgesteuerten Zugriff zu finden.

Melden Sie sich AWS über das Portal Ihres Identitätsanbieters an. Wenn Ihr Cloud-Administrator Ihnen PowerUserAccess (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.

Benutzerdefinierte Implementierungen können zu unterschiedlichen Erfahrungen führen, z. B. zu unterschiedlichen Namen von Berechtigungssätzen. Wenn Sie sich nicht sicher sind, welchen Berechtigungssatz Sie verwenden sollen, wenden Sie sich an Ihr IT-Team.

Melden Sie sich AWS über das AWS Zugangsportal an. Wenn Ihr Cloud-Administrator Ihnen PowerUserAccess (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.

Wenden Sie sich an Ihr IT-Team, um Hilfe zu erhalten.

Automatische Konfiguration für Legacy-Konfigurationen

Um ein IAM Identity Center-Profil für Ihr AWS CLI

Führen Sie den aws configure sso Befehl aus und geben Sie Ihre IAM Identity Center-Start-URL und die AWS Region an, in der das Identity Center-Verzeichnis gehostet wird.
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1
```
Die AWS CLI Versuche, Ihren Standardbrowser zu öffnen und den Anmeldevorgang für Ihr IAM Identity Center-Konto zu starten.
```
SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.
```
Wenn der Browser AWS CLI nicht geöffnet werden kann, wird die folgende Meldung mit Anweisungen zum manuellen Starten des Anmeldevorgangs angezeigt.
```
Using a browser, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451
```
Das IAM Identity Center verwendet den Code, um die IAM–Identity-Center-Sitzung Ihrer aktuellen AWS CLI -Sitzung zuzuordnen. Auf der Browserseite des IAM Identity Center werden Sie aufgefordert, sich mit Ihren IAM-Identity-Center-Anmeldeinformationen anzumelden. Dadurch erhalten Sie die Erlaubnis, AWS CLI die AWS Konten und Rollen abzurufen und anzuzeigen, für deren Verwendung Sie mit IAM Identity Center autorisiert sind.
Als Nächstes AWS CLI werden die AWS Konten angezeigt, die Sie verwenden können. Wenn Sie berechtigt sind, nur ein Konto zu verwenden, AWS CLI wählt das Konto automatisch für Sie aus und überspringt die Aufforderung. Welche AWS Konten Ihnen zur Verfügung stehen, hängt von Ihrer Benutzerkonfiguration in IAM Identity Center ab.
```
There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (123456789011) 
  ProductionAccount, production-account-admin@example.com (123456789022)
```
Wählen Sie mit den Pfeiltasten das Konto aus, das Sie mit diesem Profil verwenden möchten. Das Zeichen „>“ auf der linken Seite zeigt auf die aktuelle Auswahl. Betätigen Sie die EINGABETASTE, um Ihre Auswahl zu treffen.
Als Nächstes AWS CLI bestätigt der Ihre Kontoauswahl und zeigt die IAM-Rollen an, die Ihnen im ausgewählten Konto zur Verfügung stehen. Wenn das ausgewählte Konto nur eine Rolle auflistet, AWS CLI wählt es diese Rolle automatisch für Sie aus und überspringt die Aufforderung. Die Rollen, die Ihnen zur Verwendung zur Verfügung stehen, werden durch Ihre Benutzerkonfiguration im IAM Identity Center bestimmt.
```
Using the account ID 123456789011
There are 2 roles available to you.
> ReadOnly
  FullAccess
```
Verwenden Sie die Pfeiltasten, um die IAM-Rolle auszuwählen, die Sie mit diesem Profil verwenden möchten. und drücken Sie die <EINGABETASTE>.
Das AWS CLI bestätigt Ihre Rollenauswahl.
```
Using the role name "ReadOnly"
```
Schließen Sie die Konfiguration Ihres Profils ab, indem Sie das Standardausgabeformat angeben, AWS-Region an das Befehle gesendet werden, und einen Namen für das Profil angeben, sodass Sie von allen auf dem lokalen Computer definierten Profilen auf dieses Profil verweisen können. Im folgenden Beispiel gibt der Benutzer eine Standardregion, ein Standardausgabeformat und den Namen des Profils ein. Sie können alternativ <ENTER> betätigen, um alle Standardwerte auszuwählen, die zwischen den eckigen Klammern angezeigt werden. Der vorgeschlagene Profilname ist die Konto-ID-Nummer gefolgt von einem Unterstrich und dem Rollennamen.
```
CLI default client Region [None]: us-west-2<ENTER>
CLI default output format [None]: json<ENTER>
CLI profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>
```
Anmerkung
Wenn Sie default als Profilnamen angeben, wird dieses Profil immer dann verwendet, wenn Sie einen AWS CLI Befehl ausführen und keinen Profilnamen angeben.
Eine abschließende Meldung beschreibt die abgeschlossene Profilkonfiguration.

Um dieses Profil zu verwenden, geben Sie den Profilnamen mit --profile wie gezeigt an:
```
aws s3 ls --profile my-dev-profile
```
Die vorherigen Beispieleinträge würden zu einem benannten Profil in ~/.aws/config führen, das wie das folgende Beispiel aussieht.
```
[profile my-dev-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```
An dieser Stelle verfügen Sie über ein Profil, mit dem Sie temporäre Anmeldeinformationen anfordern können. Sie müssen den aws sso login-Befehl verwenden, um die temporären Anmeldeinformationen, die zum Ausführen von Befehlen erforderlich sind, tatsächlich anzufordern und abzurufen. Anweisungen finden Sie unter Verwenden eines benannten IAM-Identity-Center-Profils .

Manuelle Konfiguration für Legacy-Konfigurationen

Die automatisierte Token-Aktualisierung wird bei Verwendung der nicht aktualisierbaren Legacy-Konfiguration nicht unterstützt. Wir empfehlen die Verwendung der SSO-Token-Konfiguration.

Um einem benannten Profil manuell IAM–Identity-Center-Support hinzuzufügen, müssen Sie der Profildefinition in der Datei ~/.aws/config (Linux oder macOS) oder %USERPROFILE%/.aws/config (Windows) die folgenden Schlüssel und Werte hinzufügen.

Sie können auch andere Schlüssel und Werte einschließen, die in der Datei .aws/config gültig sind, wie etwa region, output oder s3. Um Fehler zu vermeiden, geben Sie keine Werte an, die sich auf Anmeldeinformationen beziehen, wie z. B. role_arn oder aws_secret_access_key.

Im Folgenden finden Sie ein Beispiel für ein IAM-Identity-Center-Profil in .aws/config:


[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json

Ihr Profil für temporäre Anmeldeinformationen ist vollständig.

Um Befehle ausführen zu können, müssen Sie zuerst den aws sso login-Befehl verwenden, um Ihre temporären Anmeldeinformationen anzufordern und abzurufen. Anweisungen finden Sie im nächsten Abschnitt, Verwenden eines benannten IAM-Identity-Center-Profils . Das Authentifizierungs-Token wird auf der Festplatte unter dem Verzeichnis ~/.aws/sso/cache mit einem auf der sso_start_url basierenden Dateinamen zwischengespeichert.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Automatische Token-Aktualisierung konfigurieren

Verwenden eines Profils von IAM Identity Center