Obtener las credenciales de usuario de IAM Identity Center para AWS CLI o AWS SDKs - AWS IAM Identity Center
Requisitos previosConsideracionesObtención y actualización de credenciales temporales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Obtener las credenciales de usuario de IAM Identity Center para AWS CLI o AWS SDKs

Puede acceder a AWS los servicios mediante programación mediante los kits de desarrollo de software () AWS Command Line Interface o los kits de desarrollo de AWS software (SDKs) con las credenciales de usuario de Identity Center. IAM En este tema se describe cómo obtener credenciales temporales para un usuario en IAM Identity Center.

El portal de AWS acceso proporciona a los usuarios de IAM Identity Center un acceso de inicio de sesión único a sus aplicaciones Cuentas de AWS y a las de la nube. Después de iniciar sesión en el portal de AWS acceso como usuario de IAM Identity Center, puede obtener credenciales temporales. A continuación, puede utilizar las credenciales, también denominadas credenciales de usuario de IAM Identity Center, en AWS CLI o AWS SDKs para acceder a los recursos de un Cuenta de AWS.

Si utiliza el AWS CLI para acceder a AWS los servicios mediante programación, puede utilizar los procedimientos de este tema para iniciar el acceso al. AWS CLI Para obtener información sobre el AWS CLI, consulte la Guía del AWS Command Line Interface usuario.

Si lo utiliza AWS SDKs para acceder a los AWS servicios mediante programación, al seguir los procedimientos de este tema también se establece directamente la autenticación del. AWS SDKs Para obtener información acerca de AWS SDKs, consulte la Guía de referencia de herramientas AWS SDKs y herramientas.

nota

Los usuarios de IAM Identity Center son diferentes a IAMlos usuarios. IAMa los usuarios se les conceden credenciales a largo plazo para acceder a AWS los recursos. Los usuarios de IAM Identity Center reciben credenciales temporales. Le recomendamos que utilice credenciales temporales como práctica recomendada de seguridad para acceder a las suyas, Cuentas de AWS ya que estas credenciales se generan cada vez que inicia sesión.

Requisitos previos

Para obtener credenciales temporales para su usuario del Centro de IAM Identidad, necesitará lo siguiente:

  • Un usuario de IAM Identity Center: iniciará sesión en el portal de AWS acceso como este usuario. Usted o su administrador pueden crearlo. Para obtener información sobre cómo habilitar IAM Identity Center y crear un usuario de IAM Identity Center, consulteComience con las tareas habituales en IAM Identity Center.

  • Acceso de usuario a un Cuenta de AWS: para conceder a un usuario de IAM Identity Center permiso para recuperar sus credenciales temporales, usted o un administrador deben asignar al usuario de IAM Identity Center un conjunto de permisos. Los conjuntos de permisos se almacenan en IAM Identity Center y definen el nivel de acceso que un usuario de IAM Identity Center tiene a un Cuenta de AWS. Si su administrador creó el usuario de IAM Identity Center por usted, pídale que añada este acceso por usted. Para obtener más información, consulte Asigne el acceso de los usuarios a Cuentas de AWS.

  • AWS CLI instalado: para usar las credenciales temporales, debe instalar el AWS CLI. Para obtener instrucciones de instalación, consulte Instalar o actualizar la última versión de la AWS CLI en la Guía del usuario de AWS CLI .

Consideraciones

Antes de completar los pasos para obtener credenciales temporales para su usuario del Centro de IAM Identidad, tenga en cuenta las siguientes consideraciones:

  • IAMIdentity Center crea IAM roles: al asignar un usuario de IAM Identity Center a un conjunto de permisos, IAM Identity Center crea el IAM rol correspondiente a partir del conjunto de permisos. IAMLos roles creados mediante conjuntos de permisos se diferencian de IAM los roles creados AWS Identity and Access Management en los siguientes aspectos:

    • IAMIdentity Center es propietario de los roles creados por los conjuntos de permisos y los protege. Solo IAM Identity Center puede modificar estas funciones.

    • Solo los usuarios de IAM Identity Center pueden asumir las funciones que corresponden a sus conjuntos de permisos asignados. No puede asignar el acceso a los conjuntos de permisos a IAM los usuarios, a los usuarios IAM federados ni a las cuentas de servicio.

    • No puede modificar una política de confianza de roles en estos roles para permitir el acceso a directores fuera de IAM Identity Center.

    Para obtener información sobre cómo obtener credenciales temporales para un rol que haya creadoIAM, consulte Uso de credenciales de seguridad temporales AWS CLI en la Guía del AWS Identity and Access Management usuario.

  • Puede establecer la duración de la sesión para los conjuntos de permisos: después de iniciar sesión en el portal de AWS acceso, el conjunto de permisos al que está asignado su usuario de IAM Identity Center aparece como un rol disponible. IAMIdentity Center crea una sesión independiente para este rol. Esta sesión puede durar de una a 12 horas según la duración de la sesión configurada para el conjunto de permisos. De forma predeterminada, la sesión durará 1 hora. Para obtener más información, consulte Establezca la duración de la sesión para Cuentas de AWS.

Obtención y actualización de credenciales temporales

Puede obtener y actualizar las credenciales temporales de su usuario del Centro de IAM Identidad de forma automática o manual.

Actualización automática de credenciales (recomendada)

La actualización automática de credenciales utiliza el estándar de autorización de código de dispositivo Open ID Connect (OIDC). Con este método, se inicia el acceso directamente mediante el comando aws configure sso en la AWS CLI. Puede usar este comando para acceder automáticamente a cualquier rol que esté asociado a cualquier conjunto de permisos al que esté asignado para cualquiera Cuenta de AWS de ellos.

Para acceder al rol creado para su usuario de IAM Identity Center, ejecute el aws configure sso comando y autorícelo AWS CLI desde una ventana del navegador. Mientras tenga una sesión activa en el portal de AWS acceso, AWS CLI recuperará automáticamente las credenciales temporales y las actualizará automáticamente.

Para obtener más información, consulte Configurar el perfil con el aws configure sso wizard en la Guía del usuario AWS Command Line Interface .

Cómo obtener credenciales temporales que se actualicen automáticamente:

  1. Inicie sesión en el portal de AWS acceso mediante el inicio de sesión específico URL proporcionado por su administrador. Si creó el usuario del Centro de IAM identidades, AWS envíe una invitación por correo electrónico que incluya su inicio de sesiónURL. Para obtener más información, consulte Iniciar sesión en el portal de AWS acceso en la Guía del usuario de AWS inicio de sesión.

  2. En la pestaña Cuentas, localice la página Cuenta de AWS de la que desea recuperar las credenciales. Al seleccionar la cuenta, aparecerán el nombre y el ID de la cuenta y la dirección de correo electrónico asociados a la cuenta.

    nota

    Si no ve ninguna Cuentas de AWS en la lista, es probable que aún no se le haya asignado un conjunto de permisos dicha cuenta o cuentas. En este caso, póngase en contacto con su administrador y pídale que añada este acceso. Para obtener más información, consulte Asigne el acceso de los usuarios a Cuentas de AWS.

  3. Debajo del nombre de la cuenta, el conjunto de permisos al que está asignado su usuario del Centro de IAM Identidad aparece como función disponible. Por ejemplo, si a su usuario de IAM Identity Center se le asigna el conjunto de PowerUserAccesspermisos de la cuenta, el rol aparece en el portal de AWS acceso como PowerUserAccess.

  4. Según la opción que elija junto al nombre de la función, elija Teclas de acceso o acceso mediante línea de comandos o mediante programación.

  5. En el cuadro de diálogo Obtener credenciales, elija macOS y Linux, Windows o PowerShell, según el sistema operativo en el que haya instalado el AWS CLI.

  6. En AWS IAMIdentity Center credenciales (recomendadas), se SSO Region muestran sus credenciales SSO Start URL y. Estos valores son necesarios para configurar tanto un perfil habilitado para IAM Identity Center como sso-session para el suyo AWS CLI. Para completar esta configuración, siga las instrucciones de Configurar el perfil con el aws configure sso wizard en la Guía del usuario de AWS Command Line Interface .

Siga utilizándolos AWS CLI según sea necesario Cuenta de AWS hasta que las credenciales hayan caducado.

Actualización manual de credenciales

Puede usar el método de actualización manual de credenciales para obtener credenciales temporales para un rol que esté asociado a un conjunto de permisos específico en un rol específico Cuenta de AWS. Para ello, debe copiar y pegar los comandos necesarios para las credenciales temporales. Con este método, debe actualizar las credenciales temporales manualmente.

Puedes ejecutar AWS CLI comandos hasta que caduquen tus credenciales temporales.

Cómo obtener credenciales que se actualizan manualmente

  1. Inicie sesión en el portal de AWS acceso mediante el inicio de sesión específico URL proporcionado por su administrador. Si creó el usuario del Centro de IAM identidades, AWS envíe una invitación por correo electrónico que incluya su inicio de sesiónURL. Para obtener más información, consulte Iniciar sesión en el portal de AWS acceso en la Guía del usuario de AWS inicio de sesión.

  2. En la pestaña Cuentas, busque la Cuenta de AWS de la que desea recuperar las credenciales de acceso y amplíela para mostrar el nombre del IAM rol (por ejemplo, Administrador). Según la opción que elija junto al nombre del IAM rol, elija Teclas de acceso o elija Acceso mediante línea de comandos o mediante programación.

    nota

    Si no ve ninguna Cuentas de AWS en la lista, es probable que aún no se le haya asignado un conjunto de permisos dicha cuenta o cuentas. En este caso, póngase en contacto con su administrador y pídale que añada este acceso. Para obtener más información, consulte Asigne el acceso de los usuarios a Cuentas de AWS.

  3. En el cuadro de diálogo Obtener credenciales, elija macOS y Linux, Windows o PowerShell, según el sistema operativo en el que haya instalado el AWS CLI.

  4. Elija una de las siguientes opciones:

    • Opción 1: Establecer variables de AWS entorno

      Elija esta opción para anular toda la configuración de credenciales, incluida la configuración de los credentials archivos y config archivos. Para obtener más información, consulte Variables de entorno para configurar la AWS CLI en la Guía del usuario de AWS CLI .

      Para utilizar esta opción, copie los comandos en el portapapeles, péguelos en la ventana del AWS CLI terminal y, a continuación, pulse Entrar para configurar las variables de entorno necesarias.

    • Opción 2: añada un perfil al archivo de AWS credenciales

      Elija esta opción para ejecutar comandos con diferentes conjuntos de credenciales.

      Para usar esta opción, copie los comandos en el portapapeles y, a continuación, péguelos en el AWS credentials archivo compartido para configurar un nuevo perfil con nombre. Para obtener más información, consulte los archivos de configuración y credenciales compartidos en la Guía de referencia de herramientas AWS SDKs y herramientas. Para usar esta credencial, especifique la --profile opción en su AWS CLI comando. Esto afecta a todos los símbolos del sistema que utilicen el mismo archivo de credenciales.

    • Opción 3: utilice valores individuales en su AWS cliente de servicio

      Elija esta opción para acceder a AWS los recursos de un cliente AWS de servicio. Para obtener más información, consulte Herramientas sobre las que basarse AWS.

      Para usar esta opción, copie los valores en el portapapeles, péguelos en el código y asígnelos a las variables adecuadas para ustedSDK. Para obtener más información, consulte la documentación correspondiente. SDK API