Obtenir les informations d'identification utilisateur d'IAMIdentity Center pour AWS CLI or AWS SDKs - AWS IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Obtenir les informations d'identification utilisateur d'IAMIdentity Center pour AWS CLI or AWS SDKs

Vous pouvez accéder AWS services programmatiques en utilisant le AWS Command Line Interface or AWS Kits de développement logiciel (SDKs) avec les informations d'identification utilisateur d'IAMIdentity Center. Cette rubrique décrit comment obtenir des informations d'identification temporaires pour un utilisateur dans IAM Identity Center.

Le AWS le portail d'accès fournit aux utilisateurs IAM d'Identity Center un accès par authentification unique à leur Comptes AWS et applications cloud. Après vous être connecté au AWS accédez au portail en tant qu'utilisateur IAM d'Identity Center, vous pouvez obtenir des informations d'identification temporaires. Vous pouvez ensuite utiliser les informations d'identification, également appelées informations d'identification utilisateur IAM Identity Center, dans AWS CLI or AWS SDKspour accéder aux ressources dans un Compte AWS.

Si vous utilisez le AWS CLI pour accéder AWS services par programmation, vous pouvez utiliser les procédures décrites dans cette rubrique pour initier l'accès au AWS CLI. Pour plus d'informations sur le AWS CLI, consultez le AWS Command Line Interface Guide de l'utilisateur.

Si vous utilisez le AWS SDKspour accéder AWS services par programmation, le respect des procédures décrites dans cette rubrique permet également d'établir directement l'authentification pour AWS SDKs. Pour plus d'informations sur le AWS SDKs, consultez le AWS SDKset Guide de référence des outils.

Note

Les utilisateurs d'IAMIdentity Center sont différents des IAMutilisateurs. IAMles utilisateurs reçoivent des informations d'identification à long terme pour AWS ressources. Les utilisateurs d'IAMIdentity Center reçoivent des informations d'identification temporaires. Nous vous recommandons d'utiliser des informations d'identification temporaires comme meilleure pratique de sécurité pour accéder à votre Comptes AWS car ces informations d'identification sont générées chaque fois que vous vous connectez.

Prérequis

Pour obtenir des informations d'identification temporaires pour votre utilisateur d'IAMIdentity Center, vous aurez besoin des éléments suivants :

  • Un utilisateur du centre d'IAMidentité : vous allez vous connecter au AWS accédez au portail en tant que cet utilisateur. Vous ou votre administrateur pouvez créer cet utilisateur. Pour plus d'informations sur la façon IAM d'activer Identity Center et de créer un utilisateur IAM Identity Center, consultezCommencez à exécuter les tâches courantes dans IAM Identity Center.

  • Accès utilisateur à un Compte AWS— Pour accorder à un utilisateur d'IAMIdentity Center l'autorisation de récupérer ses informations d'identification temporaires, vous ou un administrateur devez attribuer à l'utilisateur IAM Identity Center un ensemble d'autorisations. Les ensembles d'autorisations sont stockés dans IAM Identity Center et définissent le niveau d'accès d'un utilisateur d'IAMIdentity Center à un Compte AWS. Si votre administrateur a créé l'utilisateur IAM Identity Center pour vous, demandez-lui d'ajouter cet accès pour vous. Pour de plus amples informations, veuillez consulter Attribuer un accès utilisateur à Comptes AWS.

  • AWS CLI installé — Pour utiliser les informations d'identification temporaires, vous devez installer le AWS CLI. Pour obtenir des instructions, voir Installation ou mise à jour de la dernière version du AWS CLI dans le .AWS CLI Guide de l'utilisateur.

Considérations

Avant de terminer les étapes permettant d'obtenir des informations d'identification temporaires pour votre utilisateur d'IAMIdentity Center, tenez compte des points suivants :

  • IAMIdentity Center crée IAM des rôles : lorsque vous assignez un utilisateur dans IAM Identity Center à un ensemble d'autorisations, IAM Identity Center crée un IAM rôle correspondant à partir du jeu d'autorisations. IAMles rôles créés par des ensembles d'autorisations diffèrent IAM des rôles créés dans AWS Identity and Access Management de la manière suivante :

    • IAMIdentity Center possède et sécurise les rôles créés par les ensembles d'autorisations. Seul IAM Identity Center peut modifier ces rôles.

    • Seuls les utilisateurs d'IAMIdentity Center peuvent assumer les rôles correspondant aux ensembles d'autorisations qui leur ont été attribués. Vous ne pouvez pas attribuer d'accès aux ensembles d'autorisations à des IAM utilisateurs, à des utilisateurs IAM fédérés ou à des comptes de service.

    • Vous ne pouvez pas modifier une politique de confiance relative à ces rôles pour autoriser l'accès aux principaux en dehors d'IAMIdentity Center.

    Pour plus d'informations sur la façon d'obtenir des informations d'identification temporaires pour un rôle que vous créez dansIAM, voir Utilisation d'informations d'identification de sécurité temporaires avec AWS CLI dans le .AWS Identity and Access Management Guide de l'utilisateur.

  • Vous pouvez définir la durée de session pour les ensembles d'autorisations : après vous être connecté au AWS portail d'accès, l'ensemble d'autorisations auquel votre utilisateur IAM Identity Center est attribué apparaît comme un rôle disponible. IAMIdentity Center crée une session distincte pour ce rôle. Cette session peut durer de une à 12 heures, selon la durée de session configurée pour l'ensemble d'autorisations. La durée de session par défaut est d'une heure. Pour de plus amples informations, veuillez consulter Définissez la durée de session pour Comptes AWS.

Obtenir et actualiser les informations d'identification temporaires

Vous pouvez obtenir et actualiser les informations d'identification temporaires de votre utilisateur IAM Identity Center automatiquement ou manuellement.

Actualisation automatique des informations d'identification (recommandée)

L'actualisation automatique des informations d'identification utilise la norme Open ID Connect (OIDC) Device Code Authorization. Avec cette méthode, vous initiez l'accès directement à l'aide de la aws configure sso commande du AWS CLI. Vous pouvez utiliser cette commande pour accéder automatiquement à tout rôle associé à un ensemble d'autorisations qui vous est attribué pour n'importe quel Compte AWS.

Pour accéder au rôle créé pour votre utilisateur IAM Identity Center, exécutez la aws configure sso commande, puis autorisez AWS CLI depuis une fenêtre de navigateur. Tant que vous avez un AWS session du portail d'accès, le AWS CLI récupère automatiquement les informations d'identification temporaires et les actualise automatiquement.

Pour plus d'informations, voir Configurer votre profil avec aws configure sso wizard le AWS Command Line Interface Guide de l'utilisateur.

Pour obtenir des informations d'identification temporaires qui s'actualisent automatiquement
  1. Connectez-vous au AWS accédez au portail en utilisant l'identifiant de connexion spécifique URL fourni par votre administrateur. Si vous avez créé l'utilisateur IAM Identity Center, AWS a envoyé une invitation par e-mail qui inclut votre connexionURL. Pour plus d'informations, voir Se connecter au AWS portail d'accès dans le AWS Guide de l'utilisateur pour se connecter.

  2. Dans l'onglet Comptes, recherchez le Compte AWS à partir duquel vous souhaitez récupérer les informations d'identification. Lorsque vous choisissez le compte, le nom du compte, l'identifiant du compte et l'adresse e-mail associés au compte apparaissent.

    Note

    Si vous n'en voyez aucune Comptes AWSrépertorié, il est probable qu'aucun ensemble d'autorisations ne vous ait encore été attribué pour ce compte. Dans ce cas, contactez votre administrateur et demandez-lui d'ajouter cet accès pour vous. Pour de plus amples informations, veuillez consulter Attribuer un accès utilisateur à Comptes AWS.

  3. Sous le nom du compte, l'ensemble d'autorisations auquel votre utilisateur IAM Identity Center est attribué apparaît sous la forme d'un rôle disponible. Par exemple, si l'utilisateur de votre IAM Identity Center est affecté à l'ensemble d'PowerUserAccessautorisations pour le compte, le rôle apparaît dans AWS accédez au portail en tant que PowerUserAccess.

  4. En fonction de l'option que vous avez choisie à côté du nom du rôle, choisissez les touches d'accès ou l'accès par ligne de commande ou par programmation.

  5. Dans la boîte de dialogue Obtenir les informations d'identification, choisissez macOS et Linux, Windows ou PowerShell, selon le système d'exploitation sur lequel vous avez installé AWS CLI.

  6. Sous AWS IAMLes informations d'identification du centre d'identité (recommandées), votre SSO Start URL et SSO Region sont affichées. Ces valeurs sont requises pour configurer à la fois un profil activé par IAM Identity Center et sso-session pour votre AWS CLI. Pour terminer cette configuration, suivez les instructions de la section Configurer votre profil avec aws configure sso wizard le AWS Command Line Interface Guide de l'utilisateur.

Continuez à utiliser le AWS CLI selon les besoins de votre Compte AWS jusqu'à ce que les informations d'identification aient expiré.

Actualisation manuelle des informations d'identification

Vous pouvez utiliser la méthode d'actualisation manuelle des informations d'identification pour obtenir des informations d'identification temporaires pour un rôle associé à un ensemble d'autorisations spécifique dans un Compte AWS. Pour ce faire, vous devez copier et coller les commandes requises pour les informations d'identification temporaires. Avec cette méthode, vous devez actualiser les informations d'identification temporaires manuellement.

Tu peux courir AWS CLI commandes jusqu'à ce que vos informations d'identification temporaires expirent.

Pour obtenir des informations d'identification que vous actualisez manuellement
  1. Connectez-vous au AWS accédez au portail en utilisant l'identifiant de connexion spécifique URL fourni par votre administrateur. Si vous avez créé l'utilisateur IAM Identity Center, AWS a envoyé une invitation par e-mail qui inclut votre connexionURL. Pour plus d'informations, voir Se connecter au AWS portail d'accès dans le AWS Guide de l'utilisateur pour se connecter.

  2. Dans l'onglet Comptes, recherchez le Compte AWS à partir duquel vous souhaitez récupérer les informations d'accès et les développer pour afficher le nom du IAM rôle (par exemple Administrateur). En fonction de l'option que vous avez choisie à côté du nom du IAM rôle, choisissez les touches d'accès ou l'accès par ligne de commande ou par programmation.

    Note

    Si vous n'en voyez aucune Comptes AWSrépertorié, il est probable qu'aucun ensemble d'autorisations ne vous ait encore été attribué pour ce compte. Dans ce cas, contactez votre administrateur et demandez-lui d'ajouter cet accès pour vous. Pour de plus amples informations, veuillez consulter Attribuer un accès utilisateur à Comptes AWS.

  3. Dans la boîte de dialogue Obtenir les informations d'identification, choisissez macOS et Linux, Windows ou PowerShell, selon le système d'exploitation sur lequel vous avez installé AWS CLI.

  4. Choisissez l'une des options suivantes :

    • Option 1 : définir AWS variables d'environnement

      Choisissez cette option pour annuler tous les paramètres d'identification, y compris les paramètres des credentials fichiers et config des fichiers. Pour plus d'informations, consultez la section Variables d'environnement pour configurer le AWS CLI dans le .AWS CLI Guide de l'utilisateur.

      Pour utiliser cette option, copiez les commandes dans votre presse-papiers, collez-les dans votre AWS CLI fenêtre du terminal, puis appuyez sur Entrée pour définir les variables d'environnement requises.

    • Option 2 : ajouter un profil à votre AWS fichier d'informations d'identification

      Choisissez cette option pour exécuter des commandes avec différents ensembles d'informations d'identification.

      Pour utiliser cette option, copiez les commandes dans votre presse-papiers, puis collez-les dans votre espace partagé AWS credentialsfichier pour configurer un nouveau profil nommé. Pour plus d'informations, consultez la section Fichiers de configuration et d'informations d'identification partagés dans le AWS SDKset Guide de référence des outils. Pour utiliser cet identifiant, spécifiez l'--profileoption dans votre AWS CLI commande. Cela concerne tous les environnements qui utilisent le même fichier d'informations d'identification.

    • Option 3 : utilisez des valeurs individuelles dans votre AWS service à la clientèle

      Choisissez cette option pour accéder AWS ressources provenant d'un AWS client de service. Pour plus d'informations, voir Outils sur lesquels s'appuyer AWS.

      Pour utiliser cette option, copiez les valeurs dans votre presse-papiers, collez-les dans votre code et attribuez-les aux variables appropriées pour votreSDK. Pour plus d'informations, consultez la documentation spécifique à votre cas SDKAPI.