Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengkonfigurasi autentikasi Pusat Identitas IAM dengan AWS CLI
Topik ini memberikan petunjuk tentang cara mengkonfigurasi AWS CLI with AWS IAM Identity Center (IAM Identity Center) untuk mengambil kredensional untuk menjalankan perintah. AWS CLI Terutama ada dua cara untuk mengautentikasi pengguna dengan IAM Identity Center untuk mendapatkan kredensional untuk menjalankan AWS CLI perintah melalui file: `config`
+ **(Disarankan)** Konfigurasi penyedia token SSO.
+ Konfigurasi lama yang tidak dapat disegarkan.
Untuk informasi tentang penggunaan autentikasi pembawa, yang tidak menggunakan ID akun dan peran, lihat [Menyiapkan untuk menggunakan AWS CLI dengan CodeCatalyst di CodeCatalyst ](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) *Panduan Pengguna Amazon*.
**catatan**
Untuk proses terpandu menggunakan IAM Identity Center dengan AWS CLI perintah, lihat[Tutorial: Menggunakan IAM Identity Center untuk menjalankan perintah Amazon S3 di AWS CLI](cli-configure-sso-tutorial.md).
**Topik**
+ [Prasyarat](#cli-configure-sso-prereqs)
+ [Konfigurasikan profil Anda dengan `aws configure sso` wizard](#cli-configure-sso-configure)
+ [Konfigurasikan hanya `sso-session` bagian Anda dengan `aws configure sso-session` wizard](#cli-configure-sso-session)
+ [Konfigurasi manual menggunakan `config` file](#cli-configure-sso-manual)
+ [Masuk ke sesi Pusat Identitas IAM](#cli-configure-sso-login)
+ [Jalankan perintah dengan profil Pusat Identitas IAM Anda](#cli-configure-sso-use)
+ [Keluar dari sesi IAM Identity Center](#cli-configure-sso-logout)
+ [Pemecahan masalah](#cli-configure-sso-tshoot)
+ [Sumber daya terkait](#cli-configure-sso-resources)
## Prasyarat
+ Instal AWS CLI. Untuk informasi selengkapnya, lihat [Menginstal atau memperbarui ke versi terbaru dari AWS CLI](getting-started-install.md).
+ Anda harus terlebih dahulu memiliki akses ke otentikasi SSO dalam IAM Identity Center. Pilih salah satu metode berikut untuk mengakses AWS kredensional Anda.
### Saya tidak memiliki akses melalui IAM Identity Center
Ikuti petunjuk di [Memulai](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) di *Panduan AWS IAM Identity Center Pengguna*. Proses ini mengaktifkan IAM Identity Center, membuat pengguna administratif, dan menambahkan set izin hak istimewa yang paling tidak sesuai.
**catatan**
Buat set izin yang menerapkan izin hak istimewa paling sedikit. Sebaiknya gunakan set `PowerUserAccess` izin yang telah ditentukan sebelumnya, kecuali majikan Anda telah membuat set izin khusus untuk tujuan ini.
Keluar dari portal dan masuk lagi untuk melihat detail akses terprogram Anda Akun AWS, dan opsi untuk `Administrator` atau`PowerUserAccess`. Pilih `PowerUserAccess` saat bekerja dengan SDK.
### Saya sudah memiliki akses AWS melalui penyedia identitas federasi yang dikelola oleh majikan saya (seperti Azure AD atau Okta)
Masuk AWS melalui portal penyedia identitas Anda. Jika Administrator Cloud Anda telah memberi Anda izin `PowerUserAccess` (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut.
Implementasi kustom dapat menghasilkan pengalaman yang berbeda, seperti nama set izin yang berbeda. Jika Anda tidak yakin izin mana yang disetel untuk digunakan, hubungi tim TI Anda untuk mendapatkan bantuan.
### Saya sudah memiliki akses AWS melalui portal AWS akses yang dikelola oleh majikan saya
Masuk AWS melalui portal AWS akses Anda. Jika Administrator Cloud Anda telah memberi Anda izin `PowerUserAccess` (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut.
### Saya sudah memiliki akses AWS melalui penyedia identitas kustom federasi yang dikelola oleh majikan saya
Hubungi tim TI Anda untuk bantuan.
Setelah mendapatkan akses ke Pusat Identitas IAM, kumpulkan informasi Pusat Identitas IAM Anda dengan melakukan hal berikut:
1. Kumpulkan `SSO Region` nilai-nilai Anda `SSO Start URL` dan yang Anda butuhkan untuk menjalankan `aws configure sso`
1. Di portal AWS akses Anda, pilih set izin yang Anda gunakan untuk pengembangan, dan pilih tautan **Kunci akses**.
1. Di kotak dialog **Dapatkan kredensi**, pilih tab yang cocok dengan sistem operasi Anda.
1. Pilih metode **kredensial Pusat Identitas IAM** untuk mendapatkan nilai dan`SSO Start URL`. `SSO Region`
1. Atau, dimulai dengan versi 2.22.0, Anda dapat menggunakan URL Penerbit alih-alih URL Mulai. URL Penerbit terletak di AWS IAM Identity Center konsol di salah satu lokasi berikut:
+ Pada halaman **Dasbor**, URL Penerbit ada di ringkasan pengaturan.
+ Pada halaman **Pengaturan**, URL Penerbit ada di pengaturan **sumber Identitas**.
1. Untuk informasi tentang nilai cakupan mana yang akan didaftarkan, lihat [OAuth 2.0 Cakupan akses di Panduan](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) Pengguna *Pusat Identitas IAM*.
## Konfigurasikan profil Anda dengan `aws configure sso` wizard
**Untuk mengonfigurasi profil Pusat Identitas IAM untuk AWS CLI:**
1. Di terminal pilihan Anda, jalankan `aws configure sso` perintah.
------
#### [ (Recommended) IAM Identity Center ]
Buat nama sesi, berikan URL awal Pusat Identitas IAM Anda atau URL penerbit, Wilayah AWS yang menghosting direktori Pusat Identitas IAM, dan ruang lingkup pendaftaran.
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Untuk dukungan dual-stack, gunakan URL awal SSO dual-stack:
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Otorisasi Kunci Bukti untuk Pertukaran Kode (PKCE) digunakan secara default untuk AWS CLI memulai dengan versi **2.22.0** dan harus digunakan pada perangkat dengan browser. Untuk terus menggunakan otorisasi Perangkat, tambahkan opsi. `--use-device-code`
```
$ aws configure sso --use-device-code
```
------
#### [ Legacy IAM Identity Center ]
Lewati nama sesi dan berikan URL awal Pusat Identitas IAM Anda dan AWS Wilayah yang menghosting direktori Pusat Identitas.
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1
```
Untuk dukungan dual-stack:
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]:us-east-1
```
------
1. AWS CLI Upaya untuk membuka browser default Anda untuk proses masuk akun Pusat Identitas IAM Anda. Proses ini mungkin meminta Anda untuk mengizinkan AWS CLI akses ke data Anda. Karena AWS CLI dibangun di atas SDK untuk Python, pesan izin mungkin berisi variasi nama. `botocore`
+ **Jika AWS CLI tidak dapat membuka browser**, instruksi untuk memulai proses masuk secara manual ditampilkan berdasarkan jenis otorisasi yang Anda gunakan.
------
#### [ PKCE authorization ]
Otorisasi Kunci Bukti untuk Pertukaran Kode (PKCE) digunakan secara default untuk AWS CLI memulai dengan versi 2.22.0. URL yang ditampilkan adalah URL unik yang dimulai dengan:
+ IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
+ Tumpukan ganda: *https://oidc.us-east-1.api.aws/authorize*
Otorisasi PKCE URLs harus dibuka pada perangkat yang sama dengan tempat Anda masuk dan harus digunakan untuk perangkat dengan browser.
```
Attempting to automatically open the SSO authorization page in your
default browser.
If the browser does not open or you wish to use a different device to
authorize the request, open the following URL:
https://oidc.us-east-1.amazonaws.com/authorize?
```
------
#### [ Device authorization ]
Otorisasi perangkat OAuth 2.0 digunakan oleh AWS CLI untuk versi yang lebih lama dari 2.22.0. Anda dapat mengaktifkan metode ini pada versi yang lebih baru dengan menggunakan `--use-device-code` opsi.
Otorisasi perangkat URLs tidak perlu dibuka pada perangkat yang sama dengan tempat Anda masuk dan dapat digunakan untuk perangkat dengan atau tanpa browser. Format titik akhir tergantung pada konfigurasi Anda:
+ IPv4: *https://device.sso.us-west-2.amazonaws.com/*
+ Tumpukan ganda: *https://device.sso.us-west-2.api.aws/*
```
If the browser does not open or you wish to use a different device to
authorize this request, open the following URL:
https://device.sso.us-west-2.amazonaws.com/
Then enter the code:
QCFK-N451
```
------
1. Pilih AWS akun yang akan digunakan dari daftar yang ditampilkan. Jika Anda diizinkan untuk menggunakan hanya satu akun, secara AWS CLI otomatis memilih akun itu dan melewatkan prompt.
```
There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (123456789011)
ProductionAccount, production-account-admin@example.com (123456789022)
```
1. Pilih peran IAM yang akan digunakan dari daftar yang ditampilkan. Jika hanya ada satu peran yang tersedia, secara AWS CLI otomatis memilih peran itu dan melewatkan prompt.
```
Using the account ID 123456789011
There are 2 roles available to you.
> ReadOnly
FullAccess
```
1. Tentukan [format output default](cli-configure-files.md#cli-config-output), [default Wilayah AWS](cli-configure-files.md#cli-config-region) untuk mengirim perintah ke, dan [nama untuk profil](cli-configure-files.md). Jika Anda menentukan `default` sebagai nama profil, profil ini menjadi profil default yang digunakan. Dalam contoh berikut, pengguna memasukkan Wilayah default, format output default, dan nama profil.
```
Default client Region [None]: us-west-2
CLI default output format (json if not specified) [None]: json
Profile name [123456789011_ReadOnly]: my-dev-profile
```
1. Pesan terakhir menjelaskan konfigurasi profil yang telah selesai. Anda sekarang dapat menggunakan profil ini untuk meminta kredensional. Gunakan `aws sso login` perintah untuk meminta dan mengambil kredenal yang diperlukan untuk menjalankan perintah. Untuk petunjuk, lihat [Masuk ke sesi Pusat Identitas IAM](#cli-configure-sso-login).
### File konfigurasi yang dihasilkan
Langkah-langkah ini menghasilkan pembuatan `sso-session` bagian dan profil bernama dalam `config` file yang terlihat seperti berikut:
------
#### [ IAM Identity Center ]
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Untuk dukungan dual-stack:
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```
------
#### [ Legacy IAM Identity Center ]
```
[profile my-dev-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```
Untuk dukungan dual-stack:
```
[profile my-dev-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```
------
## Konfigurasikan hanya `sso-session` bagian Anda dengan `aws configure sso-session` wizard
**catatan**
Konfigurasi ini tidak kompatibel dengan Pusat Identitas IAM lama.
`aws configure sso-session`Perintah memperbarui `sso-session` bagian dalam `~/.aws/config` file. Jalankan `aws configure sso-session` perintah dan berikan URL awal Pusat Identitas IAM atau URL penerbit dan AWS Wilayah yang menghosting direktori Pusat Identitas IAM.
```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Untuk dukungan dual-stack, gunakan URL awal SSO dual-stack:
```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
## Konfigurasi manual menggunakan `config` file
Informasi konfigurasi IAM Identity Center disimpan dalam `config` file dan dapat diedit menggunakan editor teks. Untuk menambahkan dukungan IAM Identity Center secara manual ke profil bernama, Anda harus menambahkan kunci dan nilai ke `config` file.
### File konfigurasi Pusat Identitas IAM
`sso-session`Bagian `config` file digunakan untuk mengelompokkan variabel konfigurasi untuk memperoleh token akses SSO, yang kemudian dapat digunakan untuk memperoleh AWS kredensional. Pengaturan berikut digunakan:
+ **(Diperlukan)** `sso\$1start\$1url`
+ **(Diperlukan)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`
Anda menentukan `sso-session` bagian dan mengaitkannya ke profil. `sso_start_url`Pengaturan `sso_region` dan harus diatur di dalam `sso-session` bagian. Biasanya, `sso_account_id` dan `sso_role_name` harus diatur di `profile` bagian sehingga SDK dapat meminta kredensional SSO.
Contoh berikut mengonfigurasi SDK untuk meminta kredensional SSO dan mendukung penyegaran token otomatis:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```
Untuk dukungan dual-stack, gunakan format URL start SSO dual-stack:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```
Ini juga memungkinkan `sso-session` konfigurasi untuk digunakan kembali di beberapa profil:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```
Untuk dukungan dual-stack, gunakan format URL start SSO dual-stack:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```
Namun, `sso_account_id` dan `sso_role_name` tidak diperlukan untuk semua skenario konfigurasi token SSO. Jika aplikasi Anda hanya menggunakan AWS layanan yang mendukung otentikasi pembawa, maka AWS kredensi tradisional tidak diperlukan. Otentikasi pembawa adalah skema otentikasi HTTP yang menggunakan token keamanan yang disebut token pembawa. Dalam skenario ini, `sso_account_id` dan `sso_role_name` tidak diperlukan. Lihat panduan individual untuk AWS layanan Anda untuk menentukan apakah itu mendukung otorisasi token pembawa.
Selain itu, cakupan pendaftaran dapat dikonfigurasi sebagai bagian dari file. `sso-session` Lingkup adalah mekanisme di OAuth 2.0 untuk membatasi akses aplikasi ke akun pengguna. Aplikasi dapat meminta satu atau lebih cakupan, dan token akses yang dikeluarkan untuk aplikasi akan terbatas pada cakupan yang diberikan. Cakupan ini menentukan izin yang diminta untuk diotorisasi untuk klien OIDC terdaftar dan token akses yang diambil oleh klien. Contoh berikut menetapkan `sso_registration_scopes` untuk menyediakan akses untuk daftar akun/peran:
```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Untuk dukungan dual-stack:
```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```
Token otentikasi di-cache ke disk di bawah `sso/cache` direktori dengan nama file berdasarkan nama sesi.
### File konfigurasi Pusat Identitas IAM Legacy
**catatan**
Penyegaran token otomatis tidak didukung menggunakan konfigurasi lama yang tidak dapat disegarkan. Sebaiknya gunakan konfigurasi token SSO.
Untuk menambahkan dukungan Pusat Identitas IAM secara manual ke profil bernama, Anda harus menambahkan kunci dan nilai berikut ke definisi profil dalam `config` file.
+ `sso\$1start\$1url`
+ `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
Anda dapat menyertakan kunci dan nilai lain yang valid dalam `.aws/config` file. Contoh berikut adalah profil IAM Identity Center:
```
[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```
Untuk dukungan dual-stack:
```
[profile my-sso-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```
Untuk menjalankan perintah, Anda harus terlebih dahulu [Masuk ke sesi Pusat Identitas IAM](#cli-configure-sso-login) meminta dan mengambil kredensi sementara Anda.
Untuk informasi lebih lanjut tentang `credentials` file `config` dan, lihat[Konfigurasi dan pengaturan file kredensi di AWS CLI](cli-configure-files.md).
## Masuk ke sesi Pusat Identitas IAM
**catatan**
Proses masuk dapat meminta Anda untuk mengizinkan AWS CLI akses ke data Anda. Karena AWS CLI dibangun di atas SDK untuk Python, pesan izin mungkin berisi variasi nama. `botocore`
Untuk mengambil dan menyimpan satu set kredensional IAM Identity Center, jalankan perintah berikut AWS CLI untuk membuka browser default Anda dan memverifikasi log masuk Pusat Identitas IAM Anda.
```
$ aws sso login --profile my-dev-profile
SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start
```
Kredensi sesi Pusat Identitas IAM Anda di-cache dan AWS CLI menggunakannya untuk mengambil AWS kredenal dengan aman untuk peran IAM yang ditentukan dalam profil.
### Jika tidak AWS CLI dapat membuka browser Anda
Jika AWS CLI tidak dapat membuka browser Anda secara otomatis, instruksi untuk memulai proses masuk secara manual ditampilkan berdasarkan jenis otorisasi yang Anda gunakan.
------
#### [ PKCE authorization ]
Otorisasi Kunci Bukti untuk Pertukaran Kode (PKCE) digunakan secara default untuk AWS CLI memulai dengan versi 2.22.0. URL yang ditampilkan adalah URL unik yang dimulai dengan:
+ IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
+ Tumpukan ganda: *https://oidc.us-east-1.api.aws/authorize*
Otorisasi PKCE URLs harus dibuka pada perangkat yang sama dengan tempat Anda masuk dan harus digunakan untuk perangkat dengan browser.
```
Attempting to automatically open the SSO authorization page in your
default browser.
If the browser does not open or you wish to use a different device to
authorize the request, open the following URL:
https://oidc.us-east-1.amazonaws.com/authorize?
```
------
#### [ Device authorization ]
Otorisasi perangkat OAuth 2.0 digunakan oleh AWS CLI untuk versi yang lebih lama dari 2.22.0. Anda dapat mengaktifkan metode ini pada versi yang lebih baru dengan menggunakan `--use-device-code` opsi.
Otorisasi perangkat URLs tidak perlu dibuka pada perangkat yang sama dengan tempat Anda masuk dan dapat digunakan untuk perangkat dengan atau tanpa browser.
```
If the browser does not open or you wish to use a different device to
authorize this request, open the following URL:
https://device.sso.us-west-2.amazonaws.com/
Then enter the code:
QCFK-N451
```
------
Anda juga dapat menentukan `sso-session` profil mana yang akan digunakan saat masuk menggunakan `--sso-session` parameter `aws sso login` perintah. `sso-session`Opsi ini tidak tersedia untuk Pusat Identitas IAM lama.
```
$ aws sso login --sso-session my-dev-session
```
Dimulai dengan versi 2.22.0, otorisasi PKCE adalah default. Untuk menggunakan otorisasi perangkat untuk masuk, tambahkan `--use-device-code` opsi.
```
$ aws sso login --profile my-dev-profile --use-device-code
```
Token otentikasi di-cache ke disk di bawah `~/.aws/sso/cache` direktori dengan nama file berdasarkan file. `sso_start_url`
## Jalankan perintah dengan profil Pusat Identitas IAM Anda
Setelah masuk, Anda dapat menggunakan kredensional Anda untuk memanggil AWS CLI perintah dengan profil bernama yang terkait. Contoh berikut menunjukkan perintah menggunakan profil:
```
$ aws sts get-caller-identity --profile my-dev-profile
```
Selama Anda masuk ke IAM Identity Center dan kredenal cache tersebut tidak kedaluwarsa, kredensi yang kedaluwarsa akan diperbarui AWS CLI secara otomatis bila diperlukan. AWS Namun, jika kredenal Pusat Identitas IAM Anda kedaluwarsa, Anda harus memperbaruinya secara eksplisit dengan masuk ke akun Pusat Identitas IAM Anda lagi.
## Keluar dari sesi IAM Identity Center
Ketika Anda selesai menggunakan profil Pusat Identitas IAM Anda, Anda dapat membiarkan kredensional Anda kedaluwarsa atau menjalankan perintah berikut untuk menghapus kredenal cache Anda.
```
$ aws sso logout
Successfully signed out of all SSO profiles.
```
## Pemecahan masalah
Jika Anda menemukan masalah menggunakan AWS CLI, lihat [Memecahkan masalah kesalahan untuk AWS CLI](cli-chap-troubleshooting.md) untuk langkah-langkah pemecahan masalah.
## Sumber daya terkait
Sumber daya tambahan adalah sebagai berikut.
+ [AWS IAM Identity Center konsep untuk AWS CLI](cli-configure-sso-concepts.md)
+ [Tutorial: Menggunakan IAM Identity Center untuk menjalankan perintah Amazon S3 di AWS CLI](cli-configure-sso-tutorial.md)
+ [Menginstal atau memperbarui ke versi terbaru dari AWS CLI](getting-started-install.md)
+ [Konfigurasi dan pengaturan file kredensi di AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html)dalam *AWS CLI versi 2 Referensi*
+ [Menyiapkan untuk menggunakan AWS CLI dengan CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) di *Panduan CodeCatalyst Pengguna Amazon*
+ [OAuth 2.0 Cakupan akses](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) di Panduan Pengguna *Pusat Identitas IAM*
+ [Memulai tutorial](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) di *Panduan Pengguna Pusat Identitas IAM*