Tutoriel : Utilisation IAM d'Identity Center pour exécuter des commandes Amazon S3 dans AWS CLI - AWS Command Line Interface

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : Utilisation IAM d'Identity Center pour exécuter des commandes Amazon S3 dans AWS CLI

Cette rubrique décrit comment configurer les commandes AWS CLI pour authentifier les utilisateurs avec les commandes actuelles AWS IAM Identity Center (IAMIdentity Center) afin de récupérer les informations d'identification pour exécuter AWS Command Line Interface (AWS CLI) pour Amazon Simple Storage Service (Amazon S3).

Étape 1 : Authentification dans IAM Identity Center

Accédez à l'SSOauthentification dans IAM Identity Center. Choisissez l'une des méthodes suivantes pour accéder à vos AWS informations d'identification.

Suivez les instructions de la section Mise en route du guide de AWS IAM Identity Center l'utilisateur. Ce processus active IAM Identity Center, crée un utilisateur administratif et ajoute un ensemble d'autorisations de moindre privilège approprié.

Note

Créez un ensemble d'autorisations qui applique les autorisations du moindre privilège. Nous vous recommandons d'utiliser l'ensemble PowerUserAccess d'autorisations prédéfini, sauf si votre employeur a créé un ensemble d'autorisations personnalisé à cette fin.

Quittez le portail et reconnectez-vous pour voir vos Comptes AWS informations d'accès programmatiques et les options pour Administrator ouPowerUserAccess. Sélectionnez PowerUserAccess lorsque vous travaillez avec leSDK.

Connectez-vous AWS via le portail de votre fournisseur d'identité. Si votre administrateur cloud vous a accordé des autorisations PowerUserAccess (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. À côté du nom de votre ensemble d'autorisations, vous trouverez des options permettant d'accéder aux comptes manuellement ou par programmation à l'aide de cet ensemble d'autorisations.

Les implémentations personnalisées peuvent entraîner des expériences différentes, telles que des noms d'ensembles d'autorisations différents. Si vous ne savez pas quel ensemble d'autorisations utiliser, contactez votre équipe informatique pour obtenir de l'aide.

Connectez-vous AWS via votre portail AWS d'accès. Si votre administrateur cloud vous a accordé des autorisations PowerUserAccess (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. À côté du nom de votre ensemble d'autorisations, vous trouverez des options permettant d'accéder aux comptes manuellement ou par programmation à l'aide de cet ensemble d'autorisations.

Contactez votre équipe informatique pour obtenir de l'aide.

Étape 2 : Rassemblez les informations de votre IAM Identity Center

Après avoir obtenu l'accès à AWS, collectez les informations de votre IAM Identity Center en effectuant les opérations suivantes :

  1. Dans votre portail AWS d'accès, sélectionnez l'ensemble d'autorisations que vous utilisez pour le développement, puis cliquez sur le lien Clés d'accès.

  2. Dans la boîte de dialogue Obtenir les informations d'identification, choisissez l'onglet correspondant à votre système d'exploitation.

  3. Choisissez la méthode d'identification IAM Identity Center pour obtenir les SSO Region valeurs SSO Start URL et dont vous avez besoin pour exécuteraws configure sso. Pour plus d'informations sur la valeur d'étendue à enregistrer, consultez la section Étendue d'accès OAuth 2.0 dans le guide de l'utilisateur IAM d'Identity Center.

Étape 3 : créer des compartiments Amazon S3

Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

Pour ce didacticiel, créez quelques compartiments à récupérer ultérieurement dans une liste.

Étape 4 : Installation du AWS CLI

Installez les instructions AWS CLI suivantes pour votre système d'exploitation. Pour de plus amples informations, veuillez consulter Installation ou mise à jour vers la dernière version du AWS CLI.

Une fois l'installation terminée, vous pouvez vérifier l'installation en ouvrant le terminal de votre choix et en exécutant la commande suivante. Cela devrait afficher la version que vous avez installée du AWS CLI.

$ aws --version

Étape 6 : Configuration de votre AWS CLI profil

Configurez votre profil à l'aide de l'une des méthodes suivantes

La sso-session section du config fichier est utilisée pour regrouper les variables de configuration permettant d'acquérir des jetons d'SSOaccès, qui peuvent ensuite être utilisés pour acquérir des AWS informations d'identification. Les paramètres suivants sont utilisés :

Vous définissez une sso-session section et vous l'associez à un profil. Les sso_start_url paramètres sso_region et doivent être définis dans la sso-session section. Généralement, sso_account_id et sso_role_name doit être défini dans la profile section afin qu'ils SDK puissent demander des SSO informations d'identification.

L'exemple suivant configure les informations d'identification SDK pour demander des SSO informations d'identification et prend en charge l'actualisation automatique des jetons :

[profile dev] sso_session = my-sso sso_account_id = 111122223333 sso_role_name = SampleRole [sso-session my-sso] sso_region = us-east-1 sso_start_url = https://my-sso-portal.awsapps.com/start

La sso-session section du config fichier est utilisée pour regrouper les variables de configuration permettant d'acquérir des jetons d'SSOaccès, qui peuvent ensuite être utilisés pour acquérir des AWS informations d'identification. Les paramètres suivants sont utilisés :

Vous définissez une sso-session section et vous l'associez à un profil. sso_regionet sso_start_url doit être défini dans la sso-session section. Généralement, sso_account_id et sso_role_name doit être défini dans la profile section afin qu'ils SDK puissent demander des SSO informations d'identification.

L'exemple suivant configure les informations d'identification SDK pour demander des SSO informations d'identification et prend en charge l'actualisation automatique des jetons :

[profile my-dev-profile] sso_session = my-sso sso_account_id = 111122223333 sso_role_name = SampleRole [sso-session my-sso] sso_region = us-east-1 sso_start_url = https://my-sso-portal.awsapps.com/start sso_registration_scopes = sso:account:access

Le jeton d'authentification est mis en cache sur le disque sous le ~/.aws/sso/cache répertoire avec un nom de fichier basé sur le nom de session.

Étape 7 : Connectez-vous à IAM Identity Center

Note

Le processus de connexion peut vous demander d'autoriser l' AWS CLI accès à vos données. Étant donné que le AWS CLI est construit au-dessus du SDK pour Python, les messages d'autorisation peuvent contenir des variantes du botocore nom.

Pour récupérer et mettre en cache vos informations d'identification IAM Identity Center, exécutez la commande suivante AWS CLI pour ouvrir votre navigateur par défaut et vérifier votre connexion à IAM Identity Center.

$ aws sso login --profile my-dev-profile

Étape 8 : Exécuter les commandes Amazon S3

Pour répertorier les compartiments que vous avez créés précédemment, utilisez la aws s3 lscommande. L'exemple suivant répertorie tous vos compartiments Amazon S3.

$ aws s3 ls 2018-12-11 17:08:50 my-bucket 2018-12-14 14:55:44 my-bucket2

Étape 9 : Déconnectez-vous d'IAMIdentity Center

Lorsque vous avez terminé d'utiliser votre profil IAM Identity Center, exécutez la commande suivante pour supprimer vos informations d'identification mises en cache.

$ aws sso logout Successfully signed out of all SSO profiles.

Étape 10 : Nettoyer les ressources

Une fois ce didacticiel terminé, nettoyez toutes les ressources que vous avez créées au cours de ce didacticiel dont vous n'avez plus besoin, y compris les compartiments Amazon S3.

Résolution des problèmes

Si vous rencontrez des problèmes lors de l'utilisation du AWS CLI, consultez Résolution des erreurs liées au AWS CLI les étapes de dépannage les plus courantes.

Ressources supplémentaires

Les ressources supplémentaires sont les suivantes.