Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Tutoriel : Utilisation IAM d'Identity Center pour exécuter des commandes Amazon S3 dans AWS CLI
Cette rubrique décrit comment configurer les commandes AWS CLI pour authentifier les utilisateurs avec les commandes actuelles AWS IAM Identity Center (IAMIdentity Center) afin de récupérer les informations d'identification pour exécuter AWS Command Line Interface (AWS CLI) pour Amazon Simple Storage Service (Amazon S3).
Rubriques
- Étape 1 : Authentification dans IAM Identity Center
- Étape 2 : Rassemblez les informations de votre IAM Identity Center
- Étape 3 : créer des compartiments Amazon S3
- Étape 4 : Installation du AWS CLI
- Étape 6 : Configuration de votre AWS CLI profil
- Étape 7 : Connectez-vous à IAM Identity Center
- Étape 8 : Exécuter les commandes Amazon S3
- Étape 9 : Déconnectez-vous d'IAMIdentity Center
- Étape 10 : Nettoyer les ressources
- Résolution des problèmes
- Ressources supplémentaires
Étape 1 : Authentification dans IAM Identity Center
Accédez à l'SSOauthentification dans IAM Identity Center. Choisissez l'une des méthodes suivantes pour accéder à vos AWS informations d'identification.
Suivez les instructions de la section Mise en route du guide de AWS IAM Identity Center l'utilisateur. Ce processus active IAM Identity Center, crée un utilisateur administratif et ajoute un ensemble d'autorisations de moindre privilège approprié.
Note
Créez un ensemble d'autorisations qui applique les autorisations du moindre privilège. Nous vous recommandons d'utiliser l'ensemble PowerUserAccess
d'autorisations prédéfini, sauf si votre employeur a créé un ensemble d'autorisations personnalisé à cette fin.
Quittez le portail et reconnectez-vous pour voir vos Comptes AWS informations d'accès programmatiques et les options pour Administrator
ouPowerUserAccess
. Sélectionnez PowerUserAccess
lorsque vous travaillez avec leSDK.
Connectez-vous AWS via le portail de votre fournisseur d'identité. Si votre administrateur cloud vous a accordé des autorisations PowerUserAccess
(de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. À côté du nom de votre ensemble d'autorisations, vous trouverez des options permettant d'accéder aux comptes manuellement ou par programmation à l'aide de cet ensemble d'autorisations.
Les implémentations personnalisées peuvent entraîner des expériences différentes, telles que des noms d'ensembles d'autorisations différents. Si vous ne savez pas quel ensemble d'autorisations utiliser, contactez votre équipe informatique pour obtenir de l'aide.
Connectez-vous AWS via votre portail AWS d'accès. Si votre administrateur cloud vous a accordé des autorisations PowerUserAccess
(de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. À côté du nom de votre ensemble d'autorisations, vous trouverez des options permettant d'accéder aux comptes manuellement ou par programmation à l'aide de cet ensemble d'autorisations.
Contactez votre équipe informatique pour obtenir de l'aide.
Étape 2 : Rassemblez les informations de votre IAM Identity Center
Après avoir obtenu l'accès à AWS, collectez les informations de votre IAM Identity Center en effectuant les opérations suivantes :
-
Dans votre portail AWS d'accès, sélectionnez l'ensemble d'autorisations que vous utilisez pour le développement, puis cliquez sur le lien Clés d'accès.
-
Dans la boîte de dialogue Obtenir les informations d'identification, choisissez l'onglet correspondant à votre système d'exploitation.
-
Choisissez la méthode d'identification IAM Identity Center pour obtenir les
SSO Region
valeursSSO Start URL
et dont vous avez besoin pour exécuteraws configure sso
. Pour plus d'informations sur la valeur d'étendue à enregistrer, consultez la section Étendue d'accès OAuth 2.0 dans le guide de l'utilisateur IAM d'Identity Center.
Étape 3 : créer des compartiments Amazon S3
Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/
Pour ce didacticiel, créez quelques compartiments à récupérer ultérieurement dans une liste.
Étape 4 : Installation du AWS CLI
Installez les instructions AWS CLI suivantes pour votre système d'exploitation. Pour de plus amples informations, veuillez consulter Installation ou mise à jour vers la dernière version du AWS CLI.
Une fois l'installation terminée, vous pouvez vérifier l'installation en ouvrant le terminal de votre choix et en exécutant la commande suivante. Cela devrait afficher la version que vous avez installée du AWS CLI.
$
aws --version
Étape 6 : Configuration de votre AWS CLI profil
Configurez votre profil à l'aide de l'une des méthodes suivantes
La sso-session
section du config
fichier est utilisée pour regrouper les variables de configuration permettant d'acquérir des jetons d'SSOaccès, qui peuvent ensuite être utilisés pour acquérir des AWS informations d'identification. Les paramètres suivants sont utilisés :
-
(Obligatoire)
sso_start_url
-
(Obligatoire)
sso_region
Vous définissez une sso-session
section et vous l'associez à un profil. Les sso_start_url
paramètres sso_region
et doivent être définis dans la sso-session
section. Généralement, sso_account_id
et sso_role_name
doit être défini dans la profile
section afin qu'ils SDK puissent demander des SSO informations d'identification.
L'exemple suivant configure les informations d'identification SDK pour demander des SSO informations d'identification et prend en charge l'actualisation automatique des jetons :
[profile
dev
] sso_session =my-sso
sso_account_id =111122223333
sso_role_name =SampleRole
[sso-sessionmy-sso
] sso_region =us-east-1
sso_start_url =https://my-sso-portal.awsapps.com/start
La sso-session
section du config
fichier est utilisée pour regrouper les variables de configuration permettant d'acquérir des jetons d'SSOaccès, qui peuvent ensuite être utilisés pour acquérir des AWS informations d'identification. Les paramètres suivants sont utilisés :
-
(Obligatoire)
sso_start_url
-
(Obligatoire)
sso_region
Vous définissez une sso-session
section et vous l'associez à un profil. sso_region
et sso_start_url
doit être défini dans la sso-session
section. Généralement, sso_account_id
et sso_role_name
doit être défini dans la profile
section afin qu'ils SDK puissent demander des SSO informations d'identification.
L'exemple suivant configure les informations d'identification SDK pour demander des SSO informations d'identification et prend en charge l'actualisation automatique des jetons :
[profile
my-dev-profile
] sso_session =my-sso
sso_account_id =111122223333
sso_role_name =SampleRole
[sso-sessionmy-sso
] sso_region =us-east-1
sso_start_url =https://my-sso-portal.awsapps.com/start
sso_registration_scopes =sso:account:access
Le jeton d'authentification est mis en cache sur le disque sous le ~/.aws/sso/cache
répertoire avec un nom de fichier basé sur le nom de session.
Étape 7 : Connectez-vous à IAM Identity Center
Note
Le processus de connexion peut vous demander d'autoriser l' AWS CLI accès à vos données. Étant donné que le AWS CLI est construit au-dessus du SDK pour Python, les messages d'autorisation peuvent contenir des variantes du botocore
nom.
Pour récupérer et mettre en cache vos informations d'identification IAM Identity Center, exécutez la commande suivante AWS CLI pour ouvrir votre navigateur par défaut et vérifier votre connexion à IAM Identity Center.
$
aws sso login --profile my-dev-profile
Étape 8 : Exécuter les commandes Amazon S3
Pour répertorier les compartiments que vous avez créés précédemment, utilisez la aws s3
ls
$
aws s3 ls
2018-12-11 17:08:50 my-bucket 2018-12-14 14:55:44 my-bucket2
Étape 9 : Déconnectez-vous d'IAMIdentity Center
Lorsque vous avez terminé d'utiliser votre profil IAM Identity Center, exécutez la commande suivante pour supprimer vos informations d'identification mises en cache.
$
aws sso logout
Successfully signed out of all SSO profiles.
Étape 10 : Nettoyer les ressources
Une fois ce didacticiel terminé, nettoyez toutes les ressources que vous avez créées au cours de ce didacticiel dont vous n'avez plus besoin, y compris les compartiments Amazon S3.
Résolution des problèmes
Si vous rencontrez des problèmes lors de l'utilisation du AWS CLI, consultez Résolution des erreurs liées au AWS CLI les étapes de dépannage les plus courantes.
Ressources supplémentaires
Les ressources supplémentaires sont les suivantes.
-
Configuration de IAM l'authentification Identity Center à l'aide du AWS CLI
-
Installation ou mise à jour vers la dernière version du AWS CLI
-
Paramètres des fichiers de configuration et d'identification dans le AWS CLI
-
aws configure sso
dans la AWS CLI version 2 Reference -
aws configure sso-session
dans la AWS CLI version 2 Reference -
aws sso login
dans la AWS CLI version 2 Reference -
aws sso logout
dans la AWS CLI version 2 Reference -
Configuration pour utiliser le AWS CLI with CodeCatalyst dans le guide de CodeCatalyst l'utilisateur Amazon
-
OAuthÉtendue d'accès 2.0 dans le guide de l'utilisateur IAM d'Identity Center
-
Tutoriels de mise en route dans le guide de l'utilisateur d'IAMIdentity Center