Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tutoriel : Utilisation d'IAM Identity Center pour exécuter des commandes Amazon S3 dans AWS CLI
Cette rubrique décrit comment configurer les commandes AWS CLI pour authentifier les utilisateurs auprès de Current AWS IAM Identity Center (IAM Identity Center) afin de récupérer les informations d'identification pour exécuter AWS Command Line Interface (AWS CLI) les commandes Amazon Simple Storage Service (Amazon S3).
**Topics**
+ [Étape 1 : authentification dans IAM Identity Center](#cli-configure-sso-tutorial-authentication)
+ [Étape 2 : recueil des informations d’IAM Identity Center](#cli-configure-sso-tutorial-gather)
+ [Étape 3 : création de compartiments Amazon S3](#cli-configure-sso-tutorial-buckets)
+ [Étape 4 : Installation du AWS CLI](#cli-configure-sso-tutorial-install)
+ [Étape 5 : Configuration de votre AWS CLI profil](#cli-configure-sso-tutorial-configure)
+ [Étape 6 : connexion à IAM Identity Center](#cli-configure-sso-tutorial-login.title)
+ [Étape 7 : exécution de commandes Amazon S3](#cli-configure-sso-tutorial-commands)
+ [Étape 8 : déconnexion d’IAM Identity Center](#cli-configure-sso-tutorial-logout)
+ [Étape 9 : nettoyage des ressources](#cli-configure-sso-tutorial-cleanup)
+ [Résolution des problèmes](#cli-configure-sso-tutorial-tshoot)
+ [Ressources supplémentaires](#cli-configure-sso-tutorial-resources.title)
## Étape 1 : authentification dans IAM Identity Center
Obtenez accès à l’authentification SSO dans IAM Identity Center. Choisissez l'une des méthodes suivantes pour accéder à vos AWS informations d'identification.
### Je ne dispose pas d’un accès établi via IAM Identity Center
Suivez les instructions de [Mise en route](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *. Ce processus active IAM Identity Center, crée un utilisateur administratif et ajoute un jeu d’autorisations de moindre privilège approprié.
**Note**
Créez un jeu d’autorisations qui applique les autorisations de moindre privilège. Nous vous recommandons d’utiliser le jeu d’autorisations `PowerUserAccess` prédéfini, sauf si votre employeur a créé un jeu d’autorisations personnalisé à cette fin.
Quittez le portail et reconnectez-vous pour voir vos Comptes AWS informations d'accès programmatiques et les options pour `Administrator` ou`PowerUserAccess`. Sélectionnez `PowerUserAccess` lorsque vous utilisez le kit SDK.
### J'y ai déjà accès AWS via un fournisseur d'identité fédéré géré par mon employeur (tel qu'Azure AD ou Okta)
Connectez-vous AWS via le portail de votre fournisseur d'identité. Si votre administrateur cloud vous a accordé des autorisations `PowerUserAccess` (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. En regard du nom de votre jeu d’autorisations, vous pouvez voir des options permettant d’accéder aux comptes manuellement ou par programmation à l’aide de ce jeu d’autorisations.
Les implémentations personnalisées peuvent entraîner des expériences différentes, telles que des noms de jeux d’autorisations différents. Si vous avez des doutes sur le jeu d’autorisations à utiliser, contactez votre équipe informatique pour obtenir de l’aide.
### J'y ai déjà accès AWS via le portail AWS d'accès géré par mon employeur
Connectez-vous AWS via votre portail AWS d'accès. Si votre administrateur cloud vous a accordé des autorisations `PowerUserAccess` (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. En regard du nom de votre jeu d’autorisations, vous pouvez voir des options permettant d’accéder aux comptes manuellement ou par programmation à l’aide de ce jeu d’autorisations.
### J'y ai déjà accès AWS via un fournisseur d'identité personnalisé fédéré géré par mon employeur
Contactez votre équipe informatique pour obtenir de l’aide.
## Étape 2 : recueil des informations d’IAM Identity Center
Après avoir obtenu l'accès à AWS, collectez les informations de votre centre d'identité IAM en effectuant les opérations suivantes :
1. Recueillez les valeurs `SSO Start URL` et `SSO Region` dont vous avez besoin pour exécuter `aws configure sso`
1. Dans votre portail AWS d'accès, sélectionnez l'ensemble d'autorisations que vous utilisez pour le développement, puis cliquez sur le lien **Clés d'accès**.
1. Dans la boîte de dialogue **Obtenir des informations d’identification**, choisissez l’onglet correspondant à votre système d’exploitation.
1. Choisissez la méthode **Informations d’identification IAM Identity Center** pour obtenir les valeurs `SSO Start URL` et `SSO Region`.
1. À compter de la version 2.22.0, vous pouvez également utiliser la nouvelle URL de l’émetteur au lieu de l’URL de démarrage. L'URL de l'émetteur se trouve dans la AWS IAM Identity Center console à l'un des emplacements suivants :
+ Sur la page **Tableau de bord**, l’URL de l’émetteur se trouve dans le récapitulatif des paramètres.
+ Sur la page **Paramètres**, l’URL de l’émetteur se trouve dans les paramètres de la **source d’identité**.
1. Pour plus d'informations sur la valeur d'étendue à enregistrer, consultez la section Étendue [d'accès OAuth 2.0 dans le guide](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) de l'utilisateur d'*IAM Identity Center*.
## Étape 3 : création de compartiments Amazon S3
Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
Pour ce didacticiel, créez quelques compartiments à extraire ultérieurement dans une liste.
## Étape 4 : Installation du AWS CLI
Installez les instructions AWS CLI suivantes pour votre système d'exploitation. Pour de plus amples informations, veuillez consulter [Installation ou mise à jour vers la dernière version du AWS CLI](getting-started-install.md).
Une fois l’installation terminée, vous pouvez vérifier l’installation en ouvrant le terminal de votre choix et en exécutant la commande suivante. Cela devrait afficher la version que vous avez installée du AWS CLI.
```
$ aws --version
```
## Étape 5 : Configuration de votre AWS CLI profil
Configurez votre profil à l’aide d’une des méthodes suivantes.
### Configuration de votre profil à l’aide de l’assistant `aws configure sso`
La `sso-session` section du `config` fichier est utilisée pour regrouper les variables de configuration permettant d'acquérir des jetons d'accès SSO, qui peuvent ensuite être utilisés pour acquérir des AWS informations d'identification. Les paramètres suivants sont utilisés :
+ **(Obligatoire)** `sso\$1start\$1url`
+ **(Obligatoire)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`
Vous définissez une section `sso-session` et vous l’associez à un profil. Les paramètres `sso_region` et `sso_start_url` doivent être définis dans la section `sso-session`. Généralement, `sso_account_id` et `sso_role_name` doivent être définis dans la section `profile` afin que le kit SDK puisse demander des informations d’identification SSO.
L’exemple suivant configure le kit SDK pour demander des informations d’identification SSO et il prend en charge l’actualisation automatique des jetons :
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Pour la prise en charge de la double pile, vous pouvez utiliser le format d'URL de démarrage SSO à double pile :
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
L’autorisation PKCE (Proof Key for Code Exchange) est utilisée par défaut pour l’ AWS CLI à compter de la version 2.22.0 et elle doit être utilisée sur les appareils disposant d’un navigateur. Pour continuer à utiliser l’autorisation d’appareil, ajoutez l’option `--use-device-code`.
```
$ aws configure sso --use-device-code
```
### Configuration manuelle à l’aide du fichier `config`
La `sso-session` section du `config` fichier est utilisée pour regrouper les variables de configuration permettant d'acquérir des jetons d'accès SSO, qui peuvent ensuite être utilisés pour acquérir des AWS informations d'identification. Les paramètres suivants sont utilisés :
+ **(Obligatoire)** `sso\$1start\$1url`
+ **(Obligatoire)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`
Vous définissez une section `sso-session` et vous l’associez à un profil. `sso_region` et `sso_start_url` doivent être définis dans la section `sso-session`. Généralement, `sso_account_id` et `sso_role_name` doivent être définis dans la section `profile` afin que le kit SDK puisse demander des informations d’identification SSO.
L’exemple suivant configure le kit SDK pour demander des informations d’identification SSO et il prend en charge l’actualisation automatique des jetons :
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Pour la prise en charge de la double pile, utilisez le format d'URL de démarrage SSO à double pile :
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```
Le jeton d’authentification est mis en cache sur le disque sous le répertoire `~/.aws/sso/cache` avec un nom de fichier basé sur le nom de session.
## Étape 6 : connexion à IAM Identity Center
**Note**
Le processus de connexion peut vous demander d'autoriser l' AWS CLI accès à vos données. Étant donné que le AWS CLI est construit au-dessus du SDK pour Python, les messages d'autorisation peuvent contenir des variantes du `botocore` nom.
Pour récupérer et mettre en cache vos informations d’identification IAM Identity Center, exécutez la commande suivante pour l’ AWS CLI afin d’ouvrir votre navigateur par défaut et de vérifier votre connexion à IAM Identity Center.
```
$ aws sso login --profile my-dev-profile
```
À compter de la version 2.22.0, l’autorisation PKCE est la valeur par défaut. Pour utiliser l’autorisation d’appareil pour vous connecter, ajoutez l’option `--use-device-code`.
```
$ aws sso login --profile my-dev-profile --use-device-code
```
## Étape 7 : exécution de commandes Amazon S3
Pour répertorier les compartiments que vous avez créés précédemment, utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html](https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html). L’exemple suivant répertorie tous les compartiments Amazon S3.
```
$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2
```
## Étape 8 : déconnexion d’IAM Identity Center
Lorsque vous avez terminé d’utiliser votre profil IAM Identity Center, exécutez la commande suivante pour supprimer vos informations d’identification mises en cache.
```
$ aws sso logout
Successfully signed out of all SSO profiles.
```
## Étape 9 : nettoyage des ressources
Une fois ce didacticiel terminé, nettoyez toutes les ressources que vous avez créées au cours de ce didacticiel dont vous n’avez plus besoin, y compris les compartiments Amazon S3.
## Résolution des problèmes
Si vous rencontrez des problèmes lors de l'utilisation du AWS CLI, consultez [Résolution des erreurs liées au AWS CLI](cli-chap-troubleshooting.md) les étapes de dépannage les plus courantes.
## Ressources supplémentaires
Les ressources supplémentaires sont les suivantes.
+ [Concepts AWS IAM Identity Center pour l’AWS CLI](cli-configure-sso-concepts.md)
+ [Configuration de l'authentification IAM Identity Center à l'aide du AWS CLI](cli-configure-sso.md)
+ [Installation ou mise à jour vers la dernière version du AWS CLI](getting-started-install.md)
+ [Paramètres des fichiers de configuration et d'identification dans AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) dans la *Référence de l’AWS CLI version 2*
+ [Configuration pour utiliser le AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) dans le *guide de CodeCatalyst l'utilisateur Amazon*
+ [OAuth Étendue d'accès 2.0 dans le](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) guide de l'utilisateur d'*IAM Identity Center*
+ [Didacticiels de démarrage](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) dans le *Guide de l’utilisateur IAM Identity Center*