Abrufen der IAM Identity Center-Benutzeranmeldedaten für AWS CLI oder AWS SDKs - AWS IAM Identity Center
VoraussetzungenÜberlegungenTemporäre Anmeldeinformationen abrufen und aktualisieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Abrufen der IAM Identity Center-Benutzeranmeldedaten für AWS CLI oder AWS SDKs

Sie können programmgesteuert auf AWS Dienste zugreifen, indem Sie die AWS Command Line Interface oder AWS Software Development Kits (SDKs) mit Benutzeranmeldedaten aus Identity Center verwenden. IAM In diesem Thema wird beschrieben, wie Sie temporäre Anmeldeinformationen für einen Benutzer in IAM Identity Center abrufen.

Das AWS Zugriffsportal bietet IAM Identity Center-Benutzern mit einmaliger Anmeldung Zugriff auf ihre AWS-Konten und Cloud-Anwendungen. Nachdem Sie sich als IAM Identity Center-Benutzer beim AWS Zugriffsportal angemeldet haben, können Sie temporäre Anmeldeinformationen erhalten. Anschließend können Sie die Anmeldeinformationen, auch IAM Identity Center-Benutzeranmeldedaten genannt, im AWS CLI oder verwenden, AWS SDKs um auf Ressourcen in einem zuzugreifen AWS-Konto.

Wenn Sie den für den programmgesteuerten AWS CLI Zugriff auf AWS Dienste verwenden, können Sie die Verfahren in diesem Thema verwenden, um den Zugriff auf die zu initiieren. AWS CLI Informationen zu den AWS CLI finden Sie im AWS Command Line Interface Benutzerhandbuch.

Wenn Sie den für den programmgesteuerten AWS SDKs Zugriff auf AWS Dienste verwenden, wird durch das Befolgen der Verfahren in diesem Thema auch direkt die Authentifizierung für eingerichtet. AWS SDKs Weitere Informationen zu finden Sie im AWS SDKs Referenzhandbuch AWS SDKsund im Tools-Referenzhandbuch.

Anmerkung

Benutzer in IAM Identity Center unterscheiden sich von IAMBenutzern. IAMBenutzern werden langfristige Anmeldeinformationen für AWS Ressourcen gewährt. Benutzern in IAM Identity Center werden temporäre Anmeldeinformationen gewährt. Wir empfehlen Ihnen, temporäre Anmeldeinformationen als bewährte Sicherheitsmethode für den Zugriff auf Ihre zu verwenden, AWS-Konten da diese Anmeldeinformationen bei jeder Anmeldung generiert werden.

Voraussetzungen

Um temporäre Anmeldeinformationen für Ihren IAM Identity Center-Benutzer zu erhalten, benötigen Sie Folgendes:

  • Ein IAM Identity Center-Benutzer — Sie melden sich als dieser Benutzer beim AWS Zugriffsportal an. Sie oder Ihr Administrator können diesen Benutzer erstellen. Informationen zum Aktivieren von IAM Identity Center und zum Erstellen eines IAM Identity Center-Benutzers finden Sie unterErste Schritte mit häufigen Aufgaben in IAM Identity Center.

  • Benutzerzugriff auf AWS-Konto— Um einem IAM Identity Center-Benutzer die Erlaubnis zu erteilen, seine temporären Anmeldeinformationen abzurufen, müssen Sie oder ein Administrator den IAM Identity Center-Benutzer einem Berechtigungssatz zuweisen. Berechtigungssätze werden in IAM Identity Center gespeichert und definieren die Zugriffsebene, auf die ein IAM Identity Center-Benutzer Zugriff hat AWS-Konto. Wenn Ihr Administrator den IAM Identity Center-Benutzer für Sie erstellt hat, bitten Sie ihn, diesen Zugriff für Sie hinzuzufügen. Weitere Informationen finden Sie unter Weisen Sie Benutzerzugriff zu AWS-Konten.

  • AWS CLI installiert — Um die temporären Anmeldeinformationen zu verwenden, müssen Sie den installieren AWS CLI. Weitere Anweisungen finden Sie unter Installation oder Aktualisierung der aktuellen Version der AWS CLI im Benutzerhandbuch zu AWS CLI .

Überlegungen

Bevor Sie die Schritte zum Abrufen temporärer Anmeldeinformationen für Ihren IAM Identity Center-Benutzer ausführen, sollten Sie die folgenden Überlegungen berücksichtigen:

  • IAMIdentity Center erstellt IAM Rollen — Wenn Sie einen Benutzer in IAM Identity Center einem Berechtigungssatz zuweisen, erstellt IAM Identity Center aus dem Berechtigungssatz eine entsprechende IAM Rolle. IAMRollen, die durch Berechtigungssätze erstellt wurden, unterscheiden sich von IAM Rollen, die auf folgende Weise erstellt wurden: AWS Identity and Access Management

    • IAMIdentity Center besitzt und schützt die Rollen, die durch Berechtigungssätze erstellt wurden. Nur IAM Identity Center kann diese Rollen ändern.

    • Nur Benutzer in IAM Identity Center können die Rollen übernehmen, die ihren zugewiesenen Berechtigungssätzen entsprechen. Sie können IAM Benutzern, IAM Verbundbenutzern oder Dienstkonten keinen Zugriff auf Berechtigungssätze zuweisen.

    • Sie können eine Rollenvertrauensrichtlinie für diese Rollen nicht ändern, um den Zugriff auf Prinzipale außerhalb von IAM Identity Center zu ermöglichen.

    Informationen zum Abrufen temporärer Anmeldeinformationen für eine Rolle, in der Sie sie erstellenIAM, finden Sie unter Verwenden temporärer Sicherheitsanmeldedaten mit dem AWS CLI im AWS Identity and Access Management Benutzerhandbuch.

  • Sie können die Sitzungsdauer für Berechtigungssätze festlegen. Nachdem Sie sich beim AWS Access Portal angemeldet haben, wird der Berechtigungssatz, dem Ihr IAM Identity Center-Benutzer zugewiesen ist, als verfügbare Rolle angezeigt. IAMIdentity Center erstellt eine separate Sitzung für diese Rolle. Diese Sitzung kann je nach der für den Berechtigungssatz konfigurierten Sitzungsdauer zwischen einer und 12 Stunden dauern. Die Standardsitzungsdauer beträgt eine Stunde. Weitere Informationen finden Sie unter Legen Sie die Sitzungsdauer fest für AWS-Konten.

Temporäre Anmeldeinformationen abrufen und aktualisieren

Sie können temporäre Anmeldeinformationen für Ihren IAM Identity Center-Benutzer automatisch oder manuell abrufen und aktualisieren.

Automatische Aktualisierung der Anmeldeinformationen (empfohlen)

Die automatische Aktualisierung der Anmeldeinformationen verwendet den Gerätecode-Autorisierungsstandard Open ID Connect (OIDC). Mit dieser Methode initiieren Sie den Zugriff direkt, indem Sie den aws configure sso Befehl in der AWS CLI verwenden. Sie können diesen Befehl verwenden, um automatisch auf jede Rolle zuzugreifen, die einem beliebigen Berechtigungssatz zugeordnet ist, dem Sie für eine Rolle zugewiesen sind AWS-Konto.

Um auf die Rolle zuzugreifen, die für Ihren IAM Identity Center-Benutzer erstellt wurde, führen Sie den aws configure sso Befehl AWS CLI aus und autorisieren Sie ihn dann in einem Browserfenster. Solange Sie über eine aktive AWS Access-Portal-Sitzung verfügen, ruft das AWS CLI automatisch temporäre Anmeldeinformationen ab und aktualisiert die Anmeldeinformationen automatisch.

Weitere Informationen finden Sie unter Konfigurieren Ihres Profils mit dem aws configure sso wizard im AWS Command Line Interface Benutzerhandbuch.

Um temporäre Anmeldeinformationen zu erhalten, die automatisch aktualisiert werden

  1. Melden Sie sich mit der spezifischen Anmeldung, die Sie von Ihrem Administrator URL erhalten haben, beim AWS Zugriffsportal an. Wenn Sie den IAM Identity Center-Benutzer erstellt haben, AWS haben Sie eine E-Mail-Einladung gesendet, die Ihre Anmeldung URL enthält. Weitere Informationen finden Sie unter Anmelden im AWS Access-Portal im AWS Anmelde-Benutzerhandbuch.

  2. Suchen Sie auf der Registerkarte Konten nach dem Konto, AWS-Konto von dem Sie die Anmeldeinformationen abrufen möchten. Wenn Sie das Konto auswählen, werden der Kontoname, die Konto-ID und die E-Mail-Adresse angezeigt, die dem Konto zugeordnet sind.

    Anmerkung

    Wenn Sie nichts in der AWS-KontenListe sehen, wurde Ihnen wahrscheinlich noch kein Berechtigungssatz für dieses Konto zugewiesen. Wenden Sie sich in diesem Fall an Ihren Administrator und bitten Sie ihn, diesen Zugriff für Sie hinzuzufügen. Weitere Informationen finden Sie unter Weisen Sie Benutzerzugriff zu AWS-Konten.

  3. Unter dem Namen des Kontos wird der Berechtigungssatz, dem Ihr IAM Identity Center-Benutzer zugewiesen ist, als verfügbare Rolle angezeigt. Wenn Ihrem IAM Identity Center-Benutzer beispielsweise der PowerUserAccessBerechtigungssatz für das Konto zugewiesen ist, wird die Rolle im AWS Zugriffsportal als angezeigt PowerUserAccess.

  4. Abhängig von Ihrer Option neben dem Rollennamen wählen Sie entweder Zugriffstasten oder Befehlszeilen- oder programmgesteuerten Zugriff.

  5. Wählen Sie im Dialogfeld Anmeldeinformationen abrufen entweder macOS und Linux, Windows oder PowerShell, je nach dem Betriebssystem, auf dem Sie das installiert haben AWS CLI.

  6. Unter AWS IAMIdentity Center-Anmeldeinformationen (empfohlen) SSO Region werden Ihr SSO Start URL und angezeigt. Diese Werte sind erforderlich, um sowohl ein IAM Identity Center-fähiges Profil als auch sso-session für Ihr Profil zu konfigurieren AWS CLI. Um diese Konfiguration abzuschließen, folgen Sie den Anweisungen unter Konfigurieren Sie Ihr Profil mit dem aws configure sso wizard im AWS Command Line Interface Benutzerhandbuch.

Verwenden Sie das AWS CLI so lange, wie es für Sie erforderlich ist, AWS-Konto bis die Anmeldeinformationen abgelaufen sind.

Manuelle Aktualisierung der Anmeldeinformationen

Sie können die Methode zur manuellen Aktualisierung von Anmeldeinformationen verwenden, um temporäre Anmeldeinformationen für eine Rolle abzurufen, die mit einem bestimmten Berechtigungssatz in einer bestimmten Rolle verknüpft ist. AWS-Konto Dazu kopieren Sie die erforderlichen Befehle für die temporären Anmeldeinformationen und fügen sie ein. Bei dieser Methode müssen Sie die temporären Anmeldeinformationen manuell aktualisieren.

Sie können AWS CLI Befehle ausführen, bis Ihre temporären Anmeldeinformationen ablaufen.

Um Anmeldeinformationen abzurufen, die Sie manuell aktualisieren

  1. Melden Sie sich mit der spezifischen Anmeldung, die Sie von Ihrem Administrator URL erhalten haben, beim AWS Zugriffsportal an. Wenn Sie den IAM Identity Center-Benutzer erstellt haben, AWS haben Sie eine E-Mail-Einladung gesendet, die Ihre Anmeldung URL enthält. Weitere Informationen finden Sie unter Anmelden im AWS Access-Portal im AWS Anmelde-Benutzerhandbuch.

  2. Suchen Sie auf der Registerkarte Konten die Datei, AWS-Konto von der Sie die Zugangsdaten abrufen möchten, und erweitern Sie sie, sodass der IAM Rollenname angezeigt wird (z. B. Administrator). Je nachdem, welche Option neben dem IAM Rollennamen ausgewählt ist, wählen Sie entweder Zugriffstasten oder Befehlszeilenzugriff oder programmgesteuerten Zugriff aus.

    Anmerkung

    Wenn Sie keine Rechte in der AWS-KontenListe sehen, wurde Ihnen wahrscheinlich noch kein Berechtigungssatz für dieses Konto zugewiesen. Wenden Sie sich in diesem Fall an Ihren Administrator und bitten Sie ihn, diesen Zugriff für Sie hinzuzufügen. Weitere Informationen finden Sie unter Weisen Sie Benutzerzugriff zu AWS-Konten.

  3. Wählen Sie im Dialogfeld Anmeldeinformationen abrufen die Option macOS und Linux, Windows oder PowerShell, je nachdem, auf welchem Betriebssystem Sie das installiert haben AWS CLI.

  4. Wählen Sie eine der folgenden Optionen:

    • Option 1: Legen Sie AWS Umgebungsvariablen fest

      Wählen Sie diese Option, um alle Anmeldeinformationseinstellungen zu überschreiben, einschließlich aller Einstellungen in den credentials Dateien und config Dateien. Weitere Informationen finden Sie unter Umgebungsvariablen zur Konfiguration von AWS CLI im AWS CLI Benutzerhandbuch.

      Um diese Option zu verwenden, kopieren Sie die Befehle in die Zwischenablage, fügen Sie sie in Ihr AWS CLI Terminalfenster ein und drücken Sie dann die EINGABETASTE, um die erforderlichen Umgebungsvariablen festzulegen.

    • Option 2: Fügen Sie Ihrer AWS Anmeldeinformationsdatei ein Profil hinzu

      Wählen Sie diese Option, um Befehle mit unterschiedlichen Anmeldeinformationen auszuführen.

      Um diese Option zu verwenden, kopieren Sie die Befehle in Ihre Zwischenablage und fügen Sie sie dann in Ihre gemeinsam genutzte AWS credentials Datei ein, um ein neues benanntes Profil einzurichten. Weitere Informationen finden Sie unter Dateien mit gemeinsam genutzten Konfigurationen und Anmeldeinformationen im AWS SDKsReferenzhandbuch zu Tools. Um diese Anmeldeinformationen zu verwenden, geben Sie die --profile Option in Ihrem AWS CLI Befehl an. Dies wirkt sich auf alle Umgebungen aus, die dieselbe Anmeldeinformationsdatei verwenden.

    • Option 3: Verwenden Sie individuelle Werte in Ihrem AWS Service-Client

      Wählen Sie diese Option, um von einem AWS Service-Client aus auf AWS Ressourcen zuzugreifen. Weitere Informationen finden Sie unter Tools, auf denen Sie aufbauen können AWS.

      Um diese Option zu verwenden, kopieren Sie die Werte in Ihre Zwischenablage, fügen Sie die Werte in Ihren Code ein und weisen Sie sie den entsprechenden Variablen für Sie SDK zu. Weitere Informationen finden Sie in der jeweiligen SDK API Dokumentation.