IAM Identity Center-Anmeldeinformationsanbieter - AWS SDKs und Tools
VoraussetzungenKonfiguration des SSO-Token-AnbietersNicht aktualisierbare Legacy-KonfigurationEinstellungen des IAM Identity Center-AnmeldeinformationsanbietersSupport von AWS SDKs und Tools

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM Identity Center-Anmeldeinformationsanbieter

Anmerkung

Hilfe zum Verständnis des Layouts von Einstellungsseiten oder zur Interpretation der nachfolgenden Tabelle Support by AWS SDKs und Tools finden Sie unterDie Einstellungsseiten dieses Handbuchs verstehen.

Dieser Authentifizierungsmechanismus wird verwendet AWS IAM Identity Center , um Single Sign-On (SSO) -Zugriff auf Ihren Code AWS-Services zu erhalten.

Anmerkung

In der AWS SDK-API-Dokumentation wird der IAM Identity Center-Anmeldeinformationsanbieter als SSO-Anmeldeinformationsanbieter bezeichnet.

Nachdem Sie IAM Identity Center aktiviert haben, definieren Sie ein Profil für die zugehörigen Einstellungen in Ihrer geteilten Datei. AWS config Dieses Profil wird verwendet, um eine Verbindung zum IAM Identity Center-Zugriffsportal herzustellen. Wenn sich ein Benutzer erfolgreich bei IAM Identity Center authentifiziert hat, gibt das Portal kurzfristige Anmeldeinformationen für die diesem Benutzer zugeordnete IAM-Rolle zurück. Informationen darüber, wie das SDK temporäre Anmeldeinformationen aus der Konfiguration erhält und sie für AWS-Service Anfragen verwendet, finden Sie unter. Wie die IAM Identity Center-Authentifizierung gelöst wird AWS SDKs und welche Tools

Es gibt zwei Möglichkeiten, IAM Identity Center über die config Datei zu konfigurieren:

  • (Empfohlen) Konfiguration des SSO-Token-Anbieters — Verlängerte Sitzungsdauer. Beinhaltet Unterstützung für benutzerdefinierte Sitzungsdauern.

  • Legacy-Konfiguration, die nicht aktualisiert werden kann — Verwendet eine feste, achtstündige Sitzung.

In beiden Konfigurationen müssen Sie sich erneut anmelden, wenn Ihre Sitzung abläuft.

Die folgenden beiden Leitfäden enthalten zusätzliche Informationen zu IAM Identity Center:

Ausführliche Informationen darüber, wie die Tools SDKs und die Anmeldeinformationen mithilfe dieser Konfiguration verwenden und aktualisieren, finden Sie unterWie die IAM Identity Center-Authentifizierung gelöst wird AWS SDKs und welche Tools.

Voraussetzungen

Sie müssen zuerst IAM Identity Center aktivieren. Einzelheiten zur Aktivierung der IAM Identity Center-Authentifizierung finden Sie unter Aktivieren AWS IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.

Anmerkung

Alternativ finden Sie die vollständigen Voraussetzungen und die erforderliche Konfiguration für gemeinsam genutzte config Dateien, die auf dieser Seite detailliert beschrieben werden, in der Anleitung zur EinrichtungVerwenden von IAM Identity Center zur Authentifizierung von AWS SDK und Tools.

Konfiguration des SSO-Token-Anbieters

Wenn Sie die Konfiguration des SSO-Token-Anbieters verwenden, aktualisiert Ihr AWS SDK oder Tool Ihre Sitzung automatisch bis zu Ihrem verlängerten Sitzungszeitraum. Weitere Informationen zur Sitzungsdauer und Höchstdauer finden Sie im Benutzerhandbuch unter Konfiguration der Sitzungsdauer des AWS Zugriffsportals und der integrierten IAM Identity AWS IAM Identity Center Center-Anwendungen.

Der sso-session Abschnitt der config Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von AWS Anmeldeinformationen verwendet werden können. Weitere Informationen zu diesem Abschnitt innerhalb einer config Datei finden Sie unterFormat der Konfigurationsdatei.

Im folgenden Beispiel für eine gemeinsam genutzte config Datei wird das SDK oder das Tool mithilfe eines dev Profils konfiguriert, um IAM Identity Center-Anmeldeinformationen anzufordern.

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Die vorherigen Beispiele zeigen, dass Sie einen sso-session Abschnitt definieren und ihn einem Profil zuordnen. In sso_account_id der Regel sso_role_name muss dies in dem profile Abschnitt festgelegt werden, damit das SDK AWS Anmeldeinformationen anfordern kann. sso_regionsso_start_url, und sso_registration_scopes muss innerhalb des sso-session Abschnitts festgelegt werden.

sso_account_idund sso_role_name sind nicht für alle Szenarien der SSO-Token-Konfiguration erforderlich. Wenn Ihre Anwendung nur AWS-Services diese Unterstützung für die Trägerauthentifizierung verwendet, sind herkömmliche AWS Anmeldeinformationen nicht erforderlich. Bei der Bearer-Authentifizierung handelt es sich um ein HTTP-Authentifizierungsschema, das Sicherheitstoken, sogenannte Bearer-Token, verwendet. In diesem Szenario sind sso_account_id und sso_role_name nicht erforderlich. In der jeweiligen AWS-Service Anleitung erfahren Sie, ob der Dienst die Bearer-Token-Autorisierung unterstützt.

Registrierungsbereiche werden als Teil eines konfiguriert. sso-session Geltungsbereich ist ein Mechanismus in OAuth 2.0 um den Zugriff einer Anwendung auf das Konto eines Benutzers einzuschränken. Im vorherigen Beispiel soll der erforderliche sso_registration_scopes Zugriff für die Auflistung von Konten und Rollen bereitgestellt werden.

Das folgende Beispiel zeigt, wie Sie dieselbe sso-session Konfiguration für mehrere Profile wiederverwenden können.

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Das Authentifizierungstoken wird auf der Festplatte unter dem ~/.aws/sso/cache Verzeichnis zwischengespeichert, wobei der Dateiname auf dem Sitzungsnamen basiert.

Nicht aktualisierbare Legacy-Konfiguration

Die automatisierte Token-Aktualisierung wird bei Verwendung der nicht aktualisierbaren Legacy-Konfiguration nicht unterstützt. Wir empfehlen, Konfiguration des SSO-Token-Anbieters stattdessen das zu verwenden.

Um die alte, nicht aktualisierbare Konfiguration zu verwenden, müssen Sie die folgenden Einstellungen in Ihrem Profil angeben:

  • sso_start_url

  • sso_region

  • sso_account_id

  • sso_role_name

Sie geben das Benutzerportal für ein Profil mit den Einstellungen sso_start_url und sso_region an. Sie geben Berechtigungen mit den sso_role_name Einstellungen sso_account_id und an.

Im folgenden Beispiel werden die vier erforderlichen Werte in der config Datei festgelegt.

[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole

Das Authentifizierungstoken wird auf der Festplatte unter dem ~/.aws/sso/cache Verzeichnis zwischengespeichert, dessen Dateiname auf dem sso_start_url basiert.

Einstellungen des IAM Identity Center-Anmeldeinformationsanbieters

Konfigurieren Sie diese Funktionalität wie folgt:

sso_start_url- Einstellung für gemeinsam genutzte AWS config Dateien

Die URL, die auf die IAM Identity Center-Aussteller-URL oder die URL des Zugriffsportals Ihrer Organisation verweist. Weitere Informationen finden Sie im AWS IAM Identity Center Benutzerhandbuch unter Verwenden des AWS Zugriffsportals.

Um diesen Wert zu finden, öffnen Sie die IAM Identity Center-Konsole, sehen Sie sich das Dashboard an und suchen Sie nach der URL des AWS Zugriffsportals.

  • Alternativ können Sie ab Version 2.22.0 von stattdessen den AWS CLI Wert für AWS die Aussteller-URL verwenden.

sso_region- Einstellung für gemeinsam genutzte Dateien AWS config

Die AWS-Region , die Ihren IAM Identity Center-Portalhost enthält, d. h. die Region, die Sie vor der Aktivierung von IAM Identity Center ausgewählt haben. Dies ist unabhängig von Ihrer AWS Standardregion und kann unterschiedlich sein.

Eine vollständige Liste der AWS-Regionen und ihrer Codes finden Sie unter Regionale Endpunkte in der Allgemeine Amazon Web Services-Referenz. Um diesen Wert zu finden, öffnen Sie die IAM Identity Center-Konsole, rufen Sie das Dashboard auf und suchen Sie nach Region.

sso_account_id- Einstellung für gemeinsam genutzte AWS config Dateien

Die numerische ID AWS-Konto , die über den AWS Organizations Dienst hinzugefügt wurde, um sie für die Authentifizierung zu verwenden.

Um die Liste der verfügbaren Konten zu sehen, gehen Sie zur IAM Identity Center-Konsole und öffnen Sie die AWS-KontenSeite. Die Liste der verfügbaren Konten, die die ListAccountsAPI-Methode verwenden, finden Sie auch in der AWS IAM Identity Center Portal-API-Referenz. Sie können beispielsweise die AWS CLI Methode list-accounts aufrufen.

sso_role_name- Einstellung für gemeinsam genutzte Dateien AWS config

Der Name eines als IAM-Rolle bereitgestellten Berechtigungssatzes, der die daraus resultierenden Berechtigungen des Benutzers definiert. Die Rolle muss in dem von AWS-Konto angegebenen Namen existieren. sso_account_id Verwenden Sie den Rollennamen, nicht den Amazon Resource Name (ARN) der Rolle.

Mit den Berechtigungssätzen sind IAM-Richtlinien und benutzerdefinierte Berechtigungsrichtlinien verknüpft. Sie definieren die Zugriffsebene, die Benutzer auf die ihnen zugewiesenen AWS-Konten Rechte haben.

Um die Liste der verfügbaren Berechtigungssätze pro zu sehen AWS-Konto, gehen Sie zur IAM Identity Center-Konsole und öffnen Sie die AWS-KontenSeite. Wählen Sie den richtigen Namen für den Berechtigungssatz aus, der in der AWS-Konten Tabelle aufgeführt ist. Die Liste der verfügbaren Berechtigungssätze, die die ListAccountRolesAPI-Methode verwenden, finden Sie auch in der AWS IAM Identity Center Portal-API-Referenz. Sie können die AWS CLI Methode beispielsweise aufrufen list-account-roles.

sso_registration_scopes- Einstellung für gemeinsam genutzte AWS config Dateien

Eine durch Kommas getrennte Liste gültiger Bereichszeichenfolgen, für die autorisiert werden sollen. sso-session Eine Anwendung kann einen oder mehrere Bereiche anfordern, und das für die Anwendung ausgegebene Zugriffstoken ist auf die gewährten Bereiche beschränkt. Ein Mindestumfang von sso:account:access muss gewährt werden, um ein Aktualisierungstoken vom IAM Identity Center-Dienst zurückzuerhalten. Eine Liste der verfügbaren Optionen für den Zugriffsbereich finden Sie im AWS IAM Identity Center Benutzerhandbuch unter Zugriffsbereiche.

Diese Bereiche definieren die Berechtigungen, die für die Autorisierung für den registrierten OIDC-Client angefordert werden, und die vom Client abgerufenen Zugriffstoken. Bereiche autorisieren den Zugriff auf über IAM-Identity-Center-Bearer-Token autorisierte Endpunkte.

Diese Einstellung gilt nicht für die Legacy-Konfiguration, die nicht aktualisiert werden kann. Token, die mit der Legacy-Konfiguration ausgegeben wurden, sind implizit auf den Gültigkeitsbereich sso:account:access beschränkt.

Support von AWS SDKs und Tools

Im Folgenden werden die in diesem Thema beschriebenen Funktionen und Einstellungen SDKs unterstützt. Alle teilweisen Ausnahmen werden vermerkt. Alle Einstellungen für JVM-Systemeigenschaften werden AWS SDK for Kotlin nur von AWS SDK for Java und vom unterstützt.

SDK Unterstützt Hinweise oder weitere Informationen
AWS CLI v2 Ja
SDK for C++ Ja
SDK for Go V2 (1.x) Ja
SDK for Go 1.x (V1) Ja Um die Einstellungen für gemeinsam genutzte config Dateien zu verwenden, müssen Sie das Laden aus der Konfigurationsdatei aktivieren; siehe Sessions.
SDK for Java 2.x Ja Konfigurationswerte werden auch in der credentials Datei unterstützt.
SDK for Java 1.x Nein
SDK für 3.x JavaScript Ja
SDK für 2.x JavaScript Ja
SDK für Kotlin Ja
SDK for .NET 3.x Ja
SDK for PHP 3.x Ja
SDK for Python (Boto3) Ja
SDK for Ruby 3.x Ja
SDK für Rust Teilweise Nur ältere, nicht aktualisierbare Konfiguration.
SDK für Swift Ja
Tools für PowerShell Ja