Menggunakan profil bernama Pusat Identitas IAM - AWS Command Line Interface
PrasyaratMasuk dan mendapatkan kredensiMenjalankan perintah dengan profil IAM Identity CenterKeluar dari sesi IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan profil bernama Pusat Identitas IAM

Topik ini menjelaskan cara menggunakan untuk mengautentikasi pengguna dengan AWS IAM Identity Center (IAM Identity Center) untuk mendapatkan kredensi untuk menjalankan perintah. AWS CLI AWS CLI

catatan

Apakah kredensi Anda bersifat sementara atau secara otomatis menyegarkan tergantung pada cara Anda mengonfigurasi profil Anda sebelumnya.

Prasyarat

Anda telah mengonfigurasi profil Pusat Identitas IAM. Lihat AWS CLI Konfigurasikan kredensional penyedia token IAM Identity Center untuk menggunakan penyegaran autentikasi otomatis dan Konfigurasi lama yang tidak dapat disegarkan untuk AWS IAM Identity Center untuk informasi lebih lanjut.

Masuk dan mendapatkan kredensi

catatan

Proses masuk dapat meminta Anda untuk mengizinkan AWS CLI akses ke data Anda. Karena AWS CLI dibangun di atas SDK untuk Python, pesan izin mungkin berisi variasi nama. botocore

Setelah mengonfigurasi profil bernama, Anda dapat memanggilnya untuk meminta kredensialnya. AWS Sebelum Anda dapat menjalankan perintah AWS CLI layanan, Anda harus mengambil dan menyimpan satu set kredensi. Untuk mendapatkan kredensi ini, jalankan perintah berikut.

$ aws sso login --profile my-dev-profile

Ini AWS CLI membuka browser default Anda dan memverifikasi log masuk Pusat Identitas IAM Anda. 

SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start

Jika saat ini Anda tidak masuk ke Pusat Identitas IAM, Anda harus memberikan kredenial Pusat Identitas IAM Anda.

Jika tidak AWS CLI dapat membuka browser Anda, itu meminta Anda untuk membukanya sendiri dan memasukkan kode yang ditentukan.

$ aws sso login --profile my-dev-profile
Using a browser, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

AWS CLIMembuka browser default Anda (atau Anda secara manual membuka browser pilihan Anda) ke halaman yang ditentukan, dan masukkan kode yang disediakan. Halaman web kemudian meminta Anda untuk kredenal Pusat Identitas IAM Anda.

Kredensi sesi Pusat Identitas IAM Anda di-cache. Jika kredenal ini bersifat sementara, itu termasuk stempel waktu kedaluwarsa dan ketika mereka kedaluwarsa, AWS CLI meminta Anda untuk masuk ke IAM Identity Center lagi.

Jika kredensial Pusat Identitas IAM Anda valid, Anda akan AWS CLI menggunakannya untuk mengambil AWS kredenal secara aman untuk peran IAM yang ditentukan dalam profil. 

Welcome, you have successfully signed-in to the AWS-CLI.

Anda juga dapat menentukan sso-session profil mana yang akan digunakan saat masuk menggunakan --sso-session parameter aws sso login perintah. 

$ aws sso login --sso-session my-dev-session
Attempting to automatically open the SSO authorization page in your default browser.
If the browser does not open or you wish to use a different device to authorize this request, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

Successfully logged into Start URL: https://cli-reinvent.awsapps.com/start

Menjalankan perintah dengan profil IAM Identity Center

Anda dapat menggunakan kredensi ini untuk menjalankan AWS CLI perintah dengan profil bernama terkait. Contoh berikut menunjukkan bahwa perintah dijalankan di bawah peran yang diasumsikan yang merupakan bagian dari akun yang ditentukan.

$ aws sts get-caller-identity --profile my-dev-profile
{
    "UserId": "AROA12345678901234567:test-user@example.com",
    "Account": "123456789011",
    "Arn": "arn:aws:sts::123456789011:assumed-role/AWSPeregrine_readOnly_12321abc454d123/test-user@example.com"
}

Selama Anda masuk ke IAM Identity Center dan kredenal cache tersebut tidak kedaluwarsa, kredenal yang kedaluwarsa akan diperbarui AWS CLI secara otomatis bila diperlukan. AWS Namun, jika kredenal Pusat Identitas IAM Anda kedaluwarsa, Anda harus memperbaruinya secara eksplisit dengan masuk ke akun Pusat Identitas IAM Anda lagi.

$ aws s3 ls --profile my-sso-profile
Your short-term credentials have expired. Please sign-in to renew your credentials
SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.

Keluar dari sesi IAM Identity Center

Ketika Anda selesai menggunakan profil Pusat Identitas IAM Anda, Anda dapat memilih untuk tidak melakukan apa pun dan membiarkan kredensi AWS sementara dan kredenal Pusat Identitas IAM Anda kedaluwarsa. Namun, Anda juga dapat memilih untuk menjalankan perintah berikut untuk segera menghapus semua kredenal yang di-cache di folder cache kredenal SSO dan semua kredenal AWS sementara yang didasarkan pada kredenal Pusat Identitas IAM. Ini membuat kredenal tersebut tidak tersedia untuk digunakan untuk perintah future apa pun.

$ aws sso logout
Successfully signed out of all SSO profiles.

Jika nanti Anda ingin menjalankan perintah dengan salah satu profil Pusat Identitas IAM Anda, Anda harus menjalankan kembali aws sso login perintah (lihat bagian sebelumnya) dan tentukan profil yang akan digunakan.