Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
IAMProveedor de credenciales de Identity Center
Este mecanismo de autenticación se utiliza AWS IAM Identity Center para obtener acceso a su código mediante un inicio de sesión único (SSO). Servicios de AWS
nota
En la AWS SDK API documentación, el proveedor de credenciales del Centro de IAM Identidad se denomina proveedor de SSO credenciales.
Tras activar IAM Identity Center, defina un perfil para su configuración en el archivo compartido AWS config. Este perfil se utiliza para conectarse al portal de acceso al IAM Identity Center. Cuando un usuario se autentica correctamente en IAM Identity Center, el portal devuelve las credenciales de corta duración para el IAM rol asociado a ese usuario. Para obtener información sobre cómo SDK obtiene las credenciales temporales de la configuración y las utiliza para las Servicio de AWS solicitudes, consulteComprender la autenticación del Centro de identidades de IAM.
Hay dos formas de configurar IAM Identity Center a través del config archivo:
-
Configuración (recomendada) del proveedor de SSO tokens: duraciones de sesión prolongadas. Incluye soporte para duraciones de sesión personalizadas.
-
Configuración antigua que no se puede actualizar: utiliza una sesión fija de ocho horas.
En ambas configuraciones, tendrá que volver a iniciar sesión cuando caduque la sesión.
Las dos guías siguientes contienen información adicional sobre Identity Center: IAM
Para obtener información detallada sobre cómo las herramientas SDKs y herramientas utilizan y actualizan las credenciales con esta configuración, consulteComprender la autenticación del Centro de identidades de IAM.
Requisitos previos
Primero debe habilitar IAM Identity Center. Para obtener más información sobre cómo habilitar IAM la autenticación de Identity Center, consulte Habilitación AWS IAM Identity Center en la Guía del AWS IAM Identity Center usuario.
nota
Como alternativa, para conocer todos los requisitos previos y la configuración necesaria de los config archivos compartidos que se detalla en esta página, consulte las instrucciones de configuración IAMAutenticación de Identity Center para su SDK herramienta detalladas.
SSOconfiguración del proveedor de tokens
Cuando utilizas la configuración del proveedor de SSO tokens, tu herramienta AWS SDK o tu herramienta actualizan automáticamente la sesión hasta el período de sesión extendido. Para obtener más información sobre la duración y la duración máxima de la sesión, consulte Configurar la duración de la sesión del portal de AWS acceso y de las aplicaciones integradas de IAM Identity Center en la Guía del AWS IAM Identity Center usuario.
La sso-session sección del config archivo se usa para agrupar las variables de configuración para adquirir los tokens de SSO acceso, que luego se pueden usar para adquirir AWS credenciales. Para obtener más información sobre esta sección dentro de un config archivo, consulteFormato del archivo de configuración.
El siguiente ejemplo de config archivo compartido configura la herramienta SDK o mediante un dev perfil para solicitar las credenciales de IAM Identity Center.
[profiledev] sso_session =my-ssosso_account_id =111122223333sso_role_name =SampleRole[sso-sessionmy-sso] sso_region =us-east-1sso_start_url =https://my-sso-portal.awsapps.com/startsso_registration_scopes =sso:account:access
En los ejemplos anteriores se muestra cómo definir una sso-session sección y asociarla a un perfil. Normalmente, sso_account_id y sso_role_name debe configurarse en la profile sección para SDK poder solicitar AWS las credenciales. sso_region,sso_start_url, y sso_registration_scopes debe configurarse dentro de la sso-session sección.
sso_account_idy sso_role_name no son necesarios para todos los escenarios de configuración de los SSO tokens. Si su aplicación solo utiliza Servicios de AWS ese soporte de autenticación de portador, no necesitará AWS las credenciales tradicionales. La autenticación de portador es un esquema de HTTP autenticación que utiliza fichas de seguridad denominadas fichas de portador. En este escenario, no se necesitan sso_account_id ni sso_role_name. Consulte la Servicio de AWS guía individual para determinar si el servicio admite la autorización de tokens de portador.
Los ámbitos de registro se configuran como parte de un sso-session. El alcance es un mecanismo en OAuth 2.0 para limitar el acceso de una aplicación a la cuenta de un usuario. El ejemplo anterior proporciona el sso_registration_scopes acceso necesario para enumerar las cuentas y los roles.
El siguiente ejemplo muestra cómo puede reutilizar la misma sso-session configuración en varios perfiles.
[profiledev] sso_session =my-ssosso_account_id =111122223333sso_role_name =SampleRole[profile prod] sso_session =my-ssosso_account_id =111122223333sso_role_name =SampleRole2[sso-sessionmy-sso] sso_region =us-east-1sso_start_url =https://my-sso-portal.awsapps.com/startsso_registration_scopes =sso:account:access
El token de autenticación se almacena en caché en el disco en el directorio ~/.aws/sso/cache con un nombre de archivo basado en el nombre de la sesión.
Configuración heredada no actualizable
La actualización automática de tokens no se admite con la configuración no actualizable heredada. Se recomienda utilizar el SSOconfiguración del proveedor de tokens en su lugar.
Para utilizar la configuración heredada no renovable, debe especificar los siguientes parámetros en su perfil:
-
sso_start_url -
sso_region -
sso_account_id -
sso_role_name
Debe especificar el portal de usuario para un perfil con la configuración de sso_start_url y sso_region. Los permisos se especifican con la configuración de sso_account_id y sso_role_name.
En el siguiente ejemplo se definen los cuatro valores obligatorios del archivo config.
[profilemy-sso-profile] sso_start_url =https://my-sso-portal.awsapps.com/startsso_region =us-west-2sso_account_id =111122223333sso_role_name =SSOReadOnlyRole
El token de autenticación se almacena en caché en el disco en el directorio ~/.aws/sso/cache con un nombre de archivo basado en el sso_start_url.
IAMConfiguración del proveedor de credenciales de Identity Center
Configure esta funcionalidad mediante lo siguiente:
sso_start_url- configuración de AWSconfigarchivos compartidos-
El URL que apunta al portal de acceso al Centro de IAM Identidad de su organización. Para obtener más información sobre el portal de acceso al IAM Identity Center, consulte Uso del portal de AWS acceso en la Guía del AWS IAM Identity Center usuario.
Para encontrar este valor, abra la consola de IAM Identity Center
, consulte el panel de control y busque el portal de AWS acceso URL. sso_region- configuración de AWSconfigarchivos compartidos-
El Región de AWS que contiene el host del portal de IAM Identity Center, es decir, la región que seleccionó antes de activar IAM Identity Center. Es independiente de AWS la región predeterminada y puede ser diferente.
Para obtener una lista completa de ellos Regiones de AWS y sus códigos, consulte los puntos finales regionales en. Referencia general de Amazon Web Services Para encontrar este valor, abra la consola de IAM Identity Center
, consulte el panel de control y busque la región. sso_account_id- configuración de AWSconfigarchivos compartidos-
El identificador numérico del Cuenta de AWS que se agregó a través del AWS Organizations servicio para usarlo en la autenticación.
Para ver la lista de cuentas disponibles, vaya a la consola de IAM Identity Center
y abra la Cuentas de AWSpágina. También puede ver la lista de cuentas disponibles mediante el ListAccountsAPImétodo de la APIReferencia del AWS IAM Identity Center portal. Por ejemplo, puede llamar al AWS CLI método list-accounts . sso_role_name- configuración de archivos compartidos AWSconfig-
El nombre de un conjunto de permisos proporcionado como un IAM rol que define los permisos resultantes del usuario. El rol debe existir en el lugar Cuenta de AWS especificado por
sso_account_id. Utilice el nombre del rol, no el nombre de Amazon Resource Name (ARN) del rol.Los conjuntos de permisos tienen adjuntas IAM políticas y políticas de permisos personalizadas y definen el nivel de acceso que los usuarios tienen asignado a sus permisos Cuentas de AWS.
Para ver la lista de conjuntos de permisos disponibles por cada Cuenta de AWS uno, vaya a la consola de IAM Identity Center
y abra la Cuentas de AWSpágina. Elija el nombre correcto del conjunto de permisos que aparece en la Cuentas de AWS tabla. También puede ver la lista de conjuntos de permisos disponibles mediante el ListAccountRolesAPImétodo en la APIReferencia del AWS IAM Identity Center portal. Por ejemplo, puede llamar al AWS CLI método list-account-roles . sso_registration_scopes- configuración de AWSconfigarchivos compartidos-
Una lista delimitada por comas de los ámbitos válidos que deben autorizarse para la
sso-session. Una solicitud puede pedir uno o varios ámbitos y el token de acceso emitido a la solicitud se limita a los ámbitos concedidos. Sesso:account:accessdebe conceder un alcance mínimo de para recuperar un token de actualización del servicio IAM Identity Center. Para ver la lista de opciones de alcance de acceso disponibles, consulte los ámbitos de acceso en la Guía del AWS IAM Identity Center usuario.Estos ámbitos definen los permisos que se solicitan para autorizar el OIDC cliente registrado y los tokens de acceso recuperados por el cliente. Los ámbitos autorizan el acceso a los puntos finales autorizados por el portador del IAM Identity Center.
Esta configuración no aplica a la configuración heredada no actualizable. Los tokens emitidos con la configuración heredada tienen un alcance limitado de
sso:account:accessde forma implícita.
Compatibilidad con AWS SDKs
Las siguientes opciones SDKs son compatibles con las funciones y configuraciones descritas en este tema. Se anotan todas las excepciones parciales. Todas las configuraciones de propiedades del JVM sistema son compatibles con AWS SDK for Java y AWS SDK para Kotlin únicamente.
| SDK | Compatible | Notas o más información |
|---|---|---|
| AWS CLI v2 | Sí | |
| SDKpara C++ | Sí | |
| SDKpara Go V2 (1.x) |
Sí | |
| SDKpara Go 1.x (V1) | Sí | Para usar la configuración de archivos compartidos config, debe activar la carga desde el archivo de configuración; consulte Sesiones. |
| SDKpara Java 2.x | Sí | Los valores de configuración también se admiten en el archivo credentials. |
| SDKpara Java 1.x | No | |
| SDKpara JavaScript 3.x | Sí | |
| SDKpara JavaScript 2.x | Sí | |
| SDKpara Kotlin | Sí | |
| SDKpara. NET3.x | Sí | |
| SDKpara PHP 3.x | Sí | |
| SDKpara Python (Boto3) |
Sí | |
| SDKpara Ruby 3.x | Sí | |
| SDKpara Rust | Parcial | Solo configuración heredada no actualizable. |
| SDKpara Swift | Sí | |
| Herramientas para PowerShell | Sí |
