Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración heredada no actualizable para AWS IAM Identity Center
En este tema se describe cómo configurar el método antiguo AWS CLI para autenticar a los usuarios AWS IAM Identity Center (IAM Identity Center) a fin de obtener credenciales que les permitan ejecutar AWS CLI comandos mediante el método anterior. Si utiliza la configuración heredada no renovable, deberá renovar manualmente el token, ya que caduca periódicamente.
Al utilizar el Centro de identidades de IAM, puede conectarse a Active Directory, a un directorio integrado del Centro de identidades de IAM o a otro IdP conectado al Centro de identidades de IAM. Puede asignar estas credenciales a una función AWS Identity and Access Management (IAM) en la que pueda ejecutar comandos. AWS CLI
Independientemente del IdP que utilice, el Centro de identidades de IAM abstrae esas distinciones. Por ejemplo, puede conectar Microsoft Azure AD como se describe en el artículo del blog The Next Evolution in IAM Identity Center
nota
Para obtener información sobre el uso de la autenticación de portador, que no utiliza ningún identificador de cuenta ni rol, consulta Cómo configurar el uso de AWS CLI with CodeCatalyst en la Guía del CodeCatalyst usuario de Amazon.
Puede configurar uno o varios de sus perfiles AWS CLI designados para que utilicen un rol de un centro de identidad de IAM antiguo de las siguientes maneras:
-
Automáticamente, con el comando
aws configure sso. -
Manualmente, editando el archivo
configque guarda los perfiles con nombre.
Requisitos previos
-
Instale el AWS CLI. Para obtener más información, consulte Instalación o actualización a la versión más reciente de la AWS CLI.
-
Primero debe tener acceso a la autenticación de SSO en el Centro de identidades de IAM. Elija uno de los siguientes métodos para acceder a sus AWS credenciales.
Siga las instrucciones en Introducción en la Guía del usuario de AWS IAM Identity Center . Este proceso activa el Centro de identidades de IAM, crea un usuario administrativo y agrega un conjunto apropiado de permisos de privilegio mínimo.
nota
Cree un conjunto de permisos que aplique los permisos con privilegios mínimos. Le recomendamos que utilice el conjunto de permisos predefinido PowerUserAccess, a menos que su empleador haya creado un conjunto de permisos personalizado para este fin.
Salga del portal y vuelva a iniciar sesión para ver sus opciones Cuentas de AWS y para o. Administrator PowerUserAccess Seleccione PowerUserAccess cuando trabaje con el SDK. Esto también le ayuda a encontrar detalles sobre el acceso programático.
Inicie sesión a AWS través del portal de su proveedor de identidad. Si el administrador de la nube te ha concedido permisos PowerUserAccess (de desarrollador), verás aquellos a los Cuentas de AWS que tienes acceso y tu conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos.
Las implementaciones personalizadas pueden dar lugar a experiencias diferentes, como distintos nombres de conjuntos de permisos. Si no está seguro de qué configuración de permisos debe utilizar, contacte con su equipo de TI para obtener ayuda.
Inicie sesión a AWS través del portal de AWS acceso. Si el administrador de la nube te ha concedido permisos PowerUserAccess (de desarrollador), verás los permisos a los Cuentas de AWS que tienes acceso y tu conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos.
Contacte con su equipo de TI para obtener ayuda.
Configuración automática para la configuración heredada
Para configurar un perfil del Centro de Identidad de IAM para su AWS CLI
-
Ejecute el
aws configure ssocomando e indique la URL de inicio del Centro de Identidad de IAM y la AWS región que aloja el directorio del Centro de Identidad.$aws configure ssoSSO session name (Recommended): SSO start URL [None]:https://my-sso-portal.awsapps.com/startSSO region [None]:us-east-1 -
AWS CLI Intenta abrir su navegador predeterminado e iniciar el proceso de inicio de sesión en su cuenta del IAM Identity Center.
SSO authorization page has automatically been opened in your default browser. Follow the instructions in the browser to complete this authorization request.Si AWS CLI no puede abrir el navegador, aparece el siguiente mensaje con instrucciones sobre cómo iniciar manualmente el proceso de inicio de sesión.
Using a browser, open the following URL:https://device.sso.us-west-2.amazonaws.com/and enter the following code:QCFK-N451IAM Identity Center utiliza el código para asociar la sesión de IAM Identity Center con la sesión de la AWS CLI actual. La página del navegador de IAM Identity Center de le pide que inicie sesión con las credenciales de IAM Identity Center. Esto le da permiso AWS CLI para recuperar y mostrar las AWS cuentas y funciones que está autorizado a utilizar en el Centro de identidades de IAM.
-
A continuación, AWS CLI muestra las AWS cuentas disponibles para su uso. Si está autorizado a usar solo una cuenta, AWS CLI selecciona esa cuenta automáticamente y omite la solicitud. Las AWS cuentas que puede utilizar vienen determinadas por su configuración de usuario en el Centro de identidades de IAM.
There are 2 AWS accounts available to you. > DeveloperAccount, developer-account-admin@example.com (123456789011) ProductionAccount, production-account-admin@example.com (123456789022)Utilice las teclas de flecha para seleccionar la cuenta que desea utilizar con este perfil. El carácter «>» de la izquierda apunta a la opción actual. Pulse INTRO para realizar la selección.
-
A continuación, AWS CLI confirma la elección de la cuenta y muestra las funciones de IAM que tiene disponibles en la cuenta seleccionada. Si la cuenta seleccionada muestra solo un rol, AWS CLI selecciona ese rol automáticamente y omite la solicitud. Los roles que están disponibles para su uso están determinadas por su configuración de usuario en IAM Identity Center.
Using the account ID123456789011There are 2 roles available to you. > ReadOnly FullAccessUtilice las teclas de flecha para seleccionar el rol de IAM que desea utilizar con este perfil y pulse <INTRO>.
-
AWS CLI Confirma la selección del rol.
Using the role name "ReadOnly" -
Finalice la configuración de su perfil especificando el formato de salida predeterminado, el formato predeterminado Región de AWS al que se envían los comandos y proporcionando un nombre al perfil para que pueda hacer referencia a este perfil entre todos los definidos en el equipo local. En el ejemplo siguiente, el usuario introduce una región predeterminada, un formato de salida predeterminado y el nombre del perfil. También puede pulsar
<ENTER>para seleccionar los valores predeterminados que se muestran entre corchetes. El nombre del perfil sugerido es el número de ID de cuenta seguido de un guion bajo seguido del nombre del rol.CLI default client Region [None]:us-west-2<ENTER>CLI default output format [None]:json<ENTER>CLI profile name [123456789011_ReadOnly]:my-dev-profile<ENTER>nota
Si lo especifica
defaultcomo nombre del perfil, este perfil se utilizará siempre que ejecute un AWS CLI comando y no especifique un nombre de perfil. -
Un mensaje final describe la configuración del perfil completada.
Para utilizar este perfil, especifique el nombre del perfil mediante —perfil, como se muestra:
aws s3 ls --profile my-dev-profile -
Las entradas de ejemplo anteriores darían como resultado un perfil con nombre alojado en
~/.aws/configparecido al del siguiente ejemplo:[profile my-dev-profile] sso_start_url = https://my-sso-portal.awsapps.com/start sso_region = us-east-1 sso_account_id = 123456789011 sso_role_name = readOnly region = us-west-2 output = jsonEn este punto, tiene un perfil que puede utilizar para solicitar credenciales temporales. Debe utilizar el comando
aws sso loginpara solicitar y recuperar realmente las credenciales temporales necesarias para ejecutar comandos. Para ver instrucciones, consulte Usar un perfil con nombre del Centro de identidades de IAM .
Configuración manual para la configuración heredada
La actualización automática de tokens no se admite con la configuración no actualizable heredada. Le recomendamos que utilice la configuración del token de SSO.
Para agregar manualmente compatibilidad con IAM Identity Center a un perfil con nombre, debe agregar las siguientes claves y valores a la definición del perfil en el archivo ~/.aws/config (Linux o macOS) o %USERPROFILE%/.aws/config (Windows).
Puede incluir otras claves y valores válidos en el archivo .aws/config, como region, output o s3. Para evitar errores, no incluya ningún valor relacionado con las credenciales, como role_arn o aws_secret_access_key.
A continuación, se muestra un ejemplo de perfil del Centro de identidades de IAM en .aws/config:
[profilemy-sso-profile] sso_start_url =https://my-sso-portal.awsapps.com/startsso_region =us-west-2sso_account_id =111122223333sso_role_name =SSOReadOnlyRoleregion =us-west-2output =json
Su perfil de credenciales temporales está completo.
Para ejecutar comandos, primero debe utilizar el comando aws sso login para solicitar y recuperar sus credenciales temporales. Para obtener instrucciones, consulte la siguiente sección, Usar un perfil con nombre del Centro de identidades de IAM . El token de autenticación se almacena en caché en el disco en el directorio ~/.aws/sso/cache con un nombre de archivo basado en sso_start_url.
