# Configuración de la autenticación de IAM Identity Center con la AWS CLI
<a name="cli-configure-sso"></a>

En este tema se proporcionan instrucciones sobre cómo configurar laAWS CLI con AWS IAM Identity Center (IAM Identity Center) para recuperar las credenciales que permiten ejecutar comandos de la AWS CLI. Existen principalmente dos formas de autenticar a los usuarios con IAM Identity Center para que obtengan las credenciales que permiten ejecutar los comandos de AWS CLI a través del archivo `config`: 
+ **(Recomendada)** Configuración del proveedor de token de SSO.
+ Configuración heredada no actualizable.

Para obtener información sobre el uso de autenticación de portador, que no utiliza ID de cuenta ni rol, consulte [Configuración para utilizar la AWS CLI con CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) en la *Guía del usuario de Amazon CodeCatalyst*.

**nota**  
Para ver un proceso guiado sobre el uso de IAM Identity Center con los comandos de la AWS CLI, consulte [Tutorial: uso de IAM Identity Center para ejecutar comandos de Amazon S3 en la AWS CLI](cli-configure-sso-tutorial.md).

**Temas**
+ [Requisitos previos](#cli-configure-sso-prereqs)
+ [Configurar el perfil con el asistente de `aws configure sso`](#cli-configure-sso-configure)
+ [Configurar solo la sección `sso-session` con el asistente de `aws configure sso-session`](#cli-configure-sso-session)
+ [Configuración manual mediante el archivo `config`](#cli-configure-sso-manual)
+ [Inicio de sesión en IAM Identity Center](#cli-configure-sso-login)
+ [Ejecución de un comando con el perfil de IAM Identity Center](#cli-configure-sso-use)
+ [Cierre de sesiones de IAM Identity Center](#cli-configure-sso-logout)
+ [Solución de problemas](#cli-configure-sso-tshoot)
+ [Recursos relacionados](#cli-configure-sso-resources)

## Requisitos previos
<a name="cli-configure-sso-prereqs"></a>
+ Instala la AWS CLI. Para obtener más información, consulte [Instalación o actualización de la versión más reciente de AWS CLI](getting-started-install.md).
+ Primero debe tener acceso a la autenticación de SSO en el Centro de identidades de IAM. Elija uno de los siguientes métodos para acceder a las credenciales de AWS.

### No he establecido el acceso a través de IAM Identity Center
<a name="idc-access"></a>

Siga las instrucciones en [Introducción](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) en la *Guía del usuario de AWS IAM Identity Center*. Este proceso activa IAM Identity Center, crea un usuario administrativo y agrega un conjunto apropiado de permisos de privilegio mínimo.

**nota**  
Cree un conjunto de permisos que aplique los permisos de privilegio mínimo. Le recomendamos que utilice el conjunto de permisos predefinido `PowerUserAccess`, a menos que su empleador haya creado un conjunto de permisos personalizado para este fin. 

Salga del portal e inicie sesión de nuevo para ver las Cuentas de AWS, los detalles sobre el acceso programático y las opciones para `Administrator` o `PowerUserAccess`. Seleccione `PowerUserAccess` cuando trabaje con el SDK.

### Ya tengo acceso a AWS a través de un proveedor de identidades federado administrado por mi empleador (como Azure AD u Okta)
<a name="federated-access"></a>

Inicie sesión en AWS a través del portal de su proveedor de identidades. Si su administrador de la nube le ha concedido permisos `PowerUserAccess` (desarrollador), verá las Cuentas de AWS a las que tiene acceso y su conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos. 

Las implementaciones personalizadas pueden dar lugar a experiencias diferentes, como distintos nombres de conjuntos de permisos. Si no está seguro de qué configuración de permisos debe utilizar, contacte con su equipo de TI para obtener ayuda. 

### Ya tengo acceso a AWS a través del portal de acceso de AWS administrado por mi empleador
<a name="accessportal-access"></a>

Inicie sesión en AWS a través del portal de acceso de AWS. Si su administrador de la nube le ha concedido permisos `PowerUserAccess` (desarrollador), verá las Cuentas de AWS a las que tiene acceso y su conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos. 

### Ya tengo acceso a AWS a través de un proveedor de identidades federado administrado por mi empleador
<a name="customfederated-access"></a>

Contacte con su equipo de TI para obtener ayuda.

Tras acceder a IAM Identity Center, recopile la información de IAM Identity Center realizando lo siguiente:

1. Recopilación de los valores `SSO Start URL` y `SSO Region` que necesita para ejecutar `aws configure sso`

   1. En el portal de acceso de AWS, seleccione el conjunto de permisos que utiliza para el desarrollo y seleccione el enlace **Claves de acceso**.

   1. En el cuadro de diálogo **Obtener credenciales**, elija la pestaña que coincida con su sistema operativo. 

   1. Elija el método de **credenciales de IAM Identity Center** para obtener los valores `SSO Start URL` y `SSO Region`.

1. Como alternativa, a partir de la versión 2.22.0, puede utilizar la URL del emisor en lugar de la URL de inicio. La URL del emisor se ubica en la consola de AWS IAM Identity Center en una de las siguientes ubicaciones:
   + En la página del **panel**, la URL del emisor aparece en el resumen de la configuración.
   + En la página de **configuración**, la URL del emisor se encuentra en los ajustes del **origen de identidad**. 

1. Para obtener información sobre qué ámbitos se deben registrar, consulte [Ámbitos de acceso de OAuth 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) en la *Guía del usuario del IAM Identity Center*.

## Configurar el perfil con el asistente de `aws configure sso`
<a name="cli-configure-sso-configure"></a>

**Para configurar un perfil de IAM Identity Center en la AWS CLI:**

1. En el terminal que prefiera, ejecute el comando `aws configure sso`.

------
#### [ (Recommended) IAM Identity Center ]

   Cree un nombre de sesión, proporcione la URL de inicio de IAM Identity Center o la URL del emisor, la Región de AWS que aloja el directorio de IAM Identity Center y el ámbito del registro.

   ```
   $ aws configure sso
   SSO session name (Recommended): my-sso
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]: us-east-1
   SSO registration scopes [None]: sso:account:access
   ```

   Para la compatibilidad de doble pila, use la URL de inicio del SSO de doble pila:

   ```
   $ aws configure sso
   SSO session name (Recommended): my-sso
   SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
   SSO region [None]: us-east-1
   SSO registration scopes [None]: sso:account:access
   ```

   La autorización de la clave de prueba para el intercambio de códigos (PKCE) se utiliza de forma predeterminada para la AWS CLI a partir de la versión **2.22.0** y se debe utilizar en dispositivos con navegador. Para seguir utilizando la autorización de dispositivos, agregue la opción `--use-device-code`.

   ```
   $ aws configure sso --use-device-code
   ```

------
#### [ Legacy IAM Identity Center ]

   Sáltese el nombre de sesión y proporcione su URL de inicio de IAM Identity Center y la región de AWS que aloja el directorio del Identity Center. 

   ```
   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]:us-east-1
   ```

   Para compatibilidad de doble pila:

   ```
   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
   SSO region [None]:us-east-1
   ```

------

1. La AWS CLI intenta abrir su navegador predeterminado para el proceso de inicio de sesión de su cuenta de IAM Identity Center. El proceso puede pedirle que permita que la AWS CLI acceda a los datos. Dado que la AWS CLI se ha creado con el SDK para Python, los mensajes de permiso pueden contener variaciones del nombre `botocore`.
   + **Si la AWS CLI no puede abrir el navegador**, se muestran las instrucciones para iniciar el proceso de inicio de sesión de forma manual en función del tipo de autorización que está usando. 

------
#### [ PKCE authorization ]

     La autorización de la clave de prueba para el intercambio de códigos (PKCE) se utiliza de forma predeterminada para la AWS CLI a partir de la versión 2.22.0. La URL que se muestra es una URL única que comienza por:
     + IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
     + Doble pila: *https://oidc.us-east-1.api.aws/authorize*

     Las URL de autorización de la PKCE se deben abrir en el mismo dispositivo en el que está iniciando sesión y se deben usar en un dispositivo con navegador.

     ```
     Attempting to automatically open the SSO authorization page in your 
     default browser.
     If the browser does not open or you wish to use a different device to 
     authorize the request, open the following URL:
     
     https://oidc.us-east-1.amazonaws.com/authorize?<abbreviated>
     ```

------
#### [ Device authorization ]

     En las versiones anteriores a 2.22.0, la AWS CLI utiliza la autorización de dispositivos OAuth 2.0. Puede habilitar este método en las versiones más recientes mediante la opción `--use-device-code`.

     Las URL de autorización de dispositivo no se tienen que abrir en el mismo dispositivo en el que está iniciando sesión y se pueden usar en un dispositivo con o sin navegador. El formato del punto de conexión depende de la configuración:
     + IPv4: *https://device.sso.us-west-2.amazonaws.com/*
     + Doble pila: *https://device.sso.us-west-2.api.aws/*

     ```
     If the browser does not open or you wish to use a different device to 
     authorize this request, open the following URL:
     https://device.sso.us-west-2.amazonaws.com/
     
     Then enter the code:
     QCFK-N451
     ```

------

1. Seleccione la cuenta de AWS que desee utilizar de la lista que aparece. Si solo tiene autorización para usar una única cuenta, la AWS CLI selecciona esa cuenta automáticamente y omite la petición.

   ```
   There are 2 AWS accounts available to you.
   > DeveloperAccount, developer-account-admin@example.com (123456789011) 
     ProductionAccount, production-account-admin@example.com (123456789022)
   ```

1. Seleccione el rol de IAM que desee utilizar en la lista que aparece. Si solo hay un rol disponible, la AWS CLI selecciona automáticamente ese rol y omite la petición.

   ```
   Using the account ID 123456789011
   There are 2 roles available to you.
   > ReadOnly
     FullAccess
   ```

1. Especifique el [formato de salida predeterminado](cli-configure-files.md#cli-config-output), la [Región de AWS](cli-configure-files.md#cli-config-region) predeterminada a la que se enviarán los comandos y un [nombre para el perfil](cli-configure-files.md). Si especifica `default` como nombre de perfil, este perfil pasa a ser el perfil predeterminado. En el ejemplo siguiente, el usuario introduce una región predeterminada, un formato de salida predeterminado y el nombre del perfil.

   ```
   Default client Region [None]: us-west-2<ENTER>
   CLI default output format (json if not specified) [None]: json<ENTER>
   Profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>
   ```

1. Un mensaje final describe la configuración del perfil completada. Ahora puede utilizar este perfil para solicitar credenciales. Utilice el comando `aws sso login` para solicitar y recuperar realmente las credenciales necesarias para ejecutar comandos. Para obtener instrucciones, consulte [Inicio de sesión en IAM Identity Center](#cli-configure-sso-login).

### Archivo de configuración generado
<a name="cli-configure-sso-generated"></a>

Estos pasos dan como resultado la creación de una sección `sso-session` y un perfil con un nombre en el archivo `config` similar al siguiente:

------
#### [ IAM Identity Center ]

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

Para compatibilidad de doble pila:

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

------
#### [ Legacy IAM Identity Center ]

```
[profile my-dev-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```

Para compatibilidad de doble pila:

```
[profile my-dev-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```

------

## Configurar solo la sección `sso-session` con el asistente de `aws configure sso-session`
<a name="cli-configure-sso-session"></a>

**nota**  
Esta configuración no es compatible con IAM Identity Center heredado.

El comando `aws configure sso-session` solo actualiza las secciones `sso-session` del archivo `~/.aws/config`. Ejecute el comando `aws configure sso-session` y proporcione la URL de inicio de IAM Identity Center o la URL del emisor y la región de AWS que aloja el directorio del IAM Identity Center. 

```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

Para la compatibilidad de doble pila, use la URL de inicio del SSO de doble pila:

```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

## Configuración manual mediante el archivo `config`
<a name="cli-configure-sso-manual"></a>

La información de configuración de IAM Identity Center se almacena en el archivo `config` y se puede editar con un editor de texto. Para añadir manualmente compatibilidad con IAM Identity Center a un perfil con nombre, debe añadir claves y valores al archivo `config`. 

### Configuración del archivo de IAM Identity Center
<a name="cli-configure-sso-manual-config"></a>

La sección `sso-session` del archivo `config` se usa para agrupar las variables de configuración para adquirir los tokens de acceso SSO, que luego se pueden usar para adquirir credenciales de AWS. Se utilizan las siguientes configuraciones:
+ **(Obligatorio)** `sso\$1start\$1url`
+ **(Obligatorio)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

Defina una sección `sso-session` y asóciela a un perfil. Los ajustes de `sso_start_url` y `sso_region` se deben definir dentro de la sección `sso-session`. Normalmente, `sso_account_id` y `sso_role_name` deben establecerse en la sección `profile` para que el SDK pueda solicitar las credenciales de SSO. 

En el siguiente ejemplo se configura el SDK para que solicite credenciales de SSO y admita la actualización automática de tokens: 

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```

Para la compatibilidad de doble pila, use el formato de URL de inicio del SSO de doble pila:

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```

Esto también permite reutilizar las configuraciones de `sso-session` en varios perfiles: 

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```

Para la compatibilidad de doble pila, use el formato de URL de inicio del SSO de doble pila:

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```

No obstante, `sso_account_id` y `sso_role_name` no son necesarios para todos los escenarios de configuración de token de SSO. Si su aplicación solo utiliza servicios de AWS que admiten la autenticación de portador, no son necesarias las credenciales de AWS tradicionales. La autenticación de portador es un esquema de autenticación HTTP que utiliza tokens de seguridad denominados tokens de portador. En este escenario, no se necesitan `sso_account_id` ni `sso_role_name`. Consulte la guía individual de su servicio de AWS para determinar si admite la autorización de token de portador.

Además, los ámbitos de registro pueden configurarse como parte de `sso-session`. El alcance es un mecanismo de OAuth 2.0 para limitar el acceso de una aplicación a la cuenta de un usuario. Una solicitud puede pedir uno o varios ámbitos y el token de acceso emitido a la solicitud se limitará a los ámbitos concedidos. Estos ámbitos definen los permisos cuya autorización se solicita para el cliente OIDC registrado y los tokens de acceso recuperados por el cliente. El siguiente ejemplo establece `sso_registration_scopes` para proporcionar acceso para enumerar cuentas/roles: 

```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

Para compatibilidad de doble pila:

```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

El token de autenticación se almacena en caché en el disco en el directorio `sso/cache` con un nombre de archivo basado en el nombre de la sesión. 

### Archivo de configuración de IAM Identity Center heredado
<a name="cli-configure-sso-manual-legacy"></a>

**nota**  
La actualización automática de tokens no se admite con la configuración no actualizable heredada. Le recomendamos que utilice la configuración del token de SSO.

Para agregar manualmente compatibilidad con IAM Identity Center a un perfil con nombre, debe agregar las siguientes claves y valores a la definición del perfil en el archivo `config`.
+ `sso\$1start\$1url`
+ `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`

Puede incluir otras claves y valores válidos en el archivo `.aws/config`. A continuación, se muestra un ejemplo de perfil de IAM Identity Center:

```
[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```

Para compatibilidad de doble pila:

```
[profile my-sso-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```

Para ejecutar comandos, primero debe utilizar [Inicio de sesión en IAM Identity Center](#cli-configure-sso-login) para solicitar y recuperar las credenciales temporales.

Para obtener más información sobre los archivos de `config` y ‎`credentials`, consulte ‎[Opciones de los archivos de configuración y credenciales en la AWS CLI](cli-configure-files.md).

## Inicio de sesión en IAM Identity Center
<a name="cli-configure-sso-login"></a>

**nota**  
El proceso de inicio de sesión puede pedirle que permita que la AWS CLI acceda a sus datos. Dado que la AWS CLI se ha creado con el SDK para Python, los mensajes de permiso pueden contener variaciones del nombre `botocore`.

Para recuperar y almacenar en caché un conjunto de credenciales de IAM Identity Center, ejecute el siguiente comando de la AWS CLI para abrir su navegador predeterminado y comprobar que ha iniciado sesión en IAM Identity Center. 

```
$ aws sso login --profile my-dev-profile
SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start
```

Sus credenciales de IAM Identity Center se guardan en la caché y la AWS CLI las utiliza para recuperar de forma segura las credenciales de AWS del rol de IAM especificado en el perfil. 

### Si la AWS CLI no puede abrir su navegador
<a name="cli-configure-sso-login-browser"></a>

Si la AWS CLI no puede abrir el navegador de forma automática, se muestran las instrucciones para iniciar el proceso de inicio de sesión de forma manual en función del tipo de autorización que está usando. 

------
#### [ PKCE authorization ]

La autorización de la clave de prueba para el intercambio de códigos (PKCE) se utiliza de forma predeterminada para la AWS CLI a partir de la versión 2.22.0. La URL que se muestra es una URL única que comienza por:
+ IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
+ Doble pila: *https://oidc.us-east-1.api.aws/authorize*

Las URL de autorización de la PKCE se deben abrir en el mismo dispositivo en el que está iniciando sesión y se deben usar en un dispositivo con navegador.

```
Attempting to automatically open the SSO authorization page in your 
default browser.
If the browser does not open or you wish to use a different device to 
authorize the request, open the following URL:

https://oidc.us-east-1.amazonaws.com/authorize?<abbreviated>
```

------
#### [ Device authorization ]

En las versiones anteriores a 2.22.0, la AWS CLI utiliza la autorización de dispositivos OAuth 2.0. Puede habilitar este método en las versiones más recientes mediante la opción `--use-device-code`.

Las URL de autorización de dispositivo no se tienen que abrir en el mismo dispositivo en el que está iniciando sesión y se pueden usar en un dispositivo con o sin navegador.

```
If the browser does not open or you wish to use a different device to 
authorize this request, open the following URL:
https://device.sso.us-west-2.amazonaws.com/

Then enter the code:
QCFK-N451
```

------

También puede especificar qué perfil de `sso-session` utilizar al iniciar la sesión utilizando el parámetro `--sso-session` del comando `aws sso login`. La opción `sso-session` no está disponible para IAM Identity Center heredado.

```
$ aws sso login --sso-session my-dev-session
```

A partir de la versión 2.22.0, la autorización de la PKCE es la predeterminada. Para usar la autorización del dispositivo para iniciar sesión, agregue la opción `--use-device-code`.

```
$ aws sso login --profile my-dev-profile --use-device-code
```

El token de autenticación se almacena en caché en el disco en el directorio `~/.aws/sso/cache` con un nombre de archivo basado en la `sso_start_url`. 

## Ejecución de un comando con el perfil de IAM Identity Center
<a name="cli-configure-sso-use"></a>

Una vez que haya iniciado sesión, puede utilizar estas credenciales para invocar comandos de la AWS CLI con el perfil con nombre asociado. En el ejemplo siguiente se muestra un comando que usa un perfil:

```
$ aws sts get-caller-identity --profile my-dev-profile
```

Mientras haya iniciado sesión en IAM Identity Center y esas credenciales almacenadas en caché no hayan caducado, la AWS CLI renovará automáticamente las credenciales de AWS caducadas cuando sea necesario. Sin embargo, si sus credenciales de IAM Identity Center caducan, debe renovarlas explícitamente iniciando sesión de nuevo en la cuenta de IAM Identity Center.

## Cierre de sesiones de IAM Identity Center
<a name="cli-configure-sso-logout"></a>

Cuando haya terminado de utilizar su perfil de IAM Identity Center, puede dejar que las credenciales caduquen o ejecutar el siguiente comando para eliminar las credenciales almacenadas en caché.

```
$ aws sso logout
Successfully signed out of all SSO profiles.
```

## Solución de problemas
<a name="cli-configure-sso-tshoot"></a>

Si tiene problemas con la AWS CLI, consulte [Solución de errores para la AWS CLI](cli-chap-troubleshooting.md) para ver los pasos de solución de problemas.

## Recursos relacionados
<a name="cli-configure-sso-resources"></a>

Los recursos adicionales son los siguientes.
+ [Conceptos de AWS IAM Identity Center para la AWS CLI](cli-configure-sso-concepts.md)
+ [Tutorial: uso de IAM Identity Center para ejecutar comandos de Amazon S3 en la AWS CLI](cli-configure-sso-tutorial.md)
+ [Instalación o actualización de la versión más reciente de AWS CLI](getting-started-install.md)
+ [Opciones de los archivos de configuración y credenciales en la AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) en la *AWS CLI version 2 Reference*
+ [Setting up to use the AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) en la *Guía del usuario de Amazon CodeCatalyst*
+ [Ámbitos de acceso de OAuth 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) en la *Guía del usuario del IAM Identity Center*
+ [Tutoriales de introducción](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) en la *Guía del usuario del IAM Identity Center*