Menggunakan IAM Identity Center untuk mengautentikasi AWS SDK dan alat - AWS SDKs dan Tools
PrasyaratKonfigurasikan akses terprogram menggunakan IAM Identity CenterMenyegarkan sesi akses portal

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan IAM Identity Center untuk mengautentikasi AWS SDK dan alat

AWS IAM Identity Center adalah metode yang direkomendasikan untuk memberikan AWS kredensil saat mengembangkan AWS aplikasi pada layanan AWS non-komputasi. Misalnya, ini akan menjadi sesuatu seperti lingkungan pengembangan lokal Anda. Jika Anda mengembangkan AWS sumber daya, seperti Amazon Elastic Compute Cloud (Amazon EC2) atau AWS Cloud9, kami sarankan untuk mendapatkan kredensil dari layanan tersebut.

Dalam tutorial ini, Anda membuat akses IAM Identity Center dan akan mengkonfigurasinya untuk SDK atau alat Anda dengan menggunakan portal AWS akses dan. AWS CLI

  • Portal AWS akses adalah lokasi web tempat Anda masuk secara manual ke Pusat Identitas IAM. Format URL adalah d-xxxxxxxxxx.awsapps.com/start atauyour_subdomain.awsapps.com/start. Saat masuk ke portal AWS akses, Anda dapat melihat Akun AWS dan peran yang telah dikonfigurasi untuk pengguna tersebut. Prosedur ini menggunakan portal AWS akses untuk mendapatkan nilai konfigurasi yang Anda butuhkan untuk proses otentikasi SDK/alat.

  • AWS CLI Ini digunakan untuk mengonfigurasi SDK atau alat Anda untuk menggunakan autentikasi IAM Identity Center untuk panggilan API yang dibuat oleh kode Anda. Proses satu kali ini memperbarui AWS config file bersama Anda, yang kemudian digunakan oleh SDK atau alat saat Anda menjalankan kode.

Prasyarat

Sebelum memulai prosedur ini, Anda harus menyelesaikan yang berikut:

Konfigurasikan akses terprogram menggunakan IAM Identity Center

Langkah 1: Buat akses dan pilih set izin yang sesuai

Pilih salah satu metode berikut untuk mengakses AWS kredensional Anda.

  1. Tambahkan pengguna dan tambahkan izin administratif dengan mengikuti Konfigurasi akses pengguna dengan prosedur direktori Pusat Identitas IAM default di AWS IAM Identity Center Panduan Pengguna.

  2. Set AdministratorAccess izin tidak boleh digunakan untuk pengembangan reguler. Sebagai gantinya, sebaiknya gunakan set PowerUserAccess izin yang telah ditentukan sebelumnya, kecuali majikan Anda telah membuat set izin khusus untuk tujuan ini.

    Ikuti hal yang sama Konfigurasikan akses pengguna dengan prosedur direktori Pusat Identitas IAM default lagi, tetapi kali ini:

    • Alih-alih membuat Admin team grup, buat Dev team grup, dan ganti ini setelahnya dalam instruksi.

    • Anda dapat menggunakan pengguna yang ada, tetapi pengguna harus ditambahkan ke Dev team grup baru.

    • Alih-alih membuat set AdministratorAccess izin, buat set PowerUserAccess izin, dan ganti ini setelahnya dalam instruksi.

    Setelah selesai, Anda harus memiliki yang berikut:

    • Sebuah Dev team kelompok.

    • PowerUserAccessIzin terlampir diatur ke Dev team grup.

    • Pengguna Anda ditambahkan ke Dev team grup.

  3. Keluar dari portal dan masuk lagi untuk melihat opsi Anda Akun AWS dan untuk Administrator atauPowerUserAccess. Pilih PowerUserAccess saat bekerja dengan alat/SDK Anda.

Masuk AWS melalui portal penyedia identitas Anda. Jika Administrator Cloud Anda telah memberi Anda izin PowerUserAccess (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut.

Implementasi kustom dapat menghasilkan pengalaman yang berbeda, seperti nama set izin yang berbeda. Jika Anda tidak yakin izin mana yang disetel untuk digunakan, hubungi tim TI Anda untuk mendapatkan bantuan.

Masuk AWS melalui portal AWS akses. Jika Administrator Cloud Anda telah memberi Anda izin PowerUserAccess (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut.

Hubungi tim TI Anda untuk bantuan.

Langkah 2: Konfigurasi SDKs dan alat untuk menggunakan IAM Identity Center

  1. Pada mesin pengembangan Anda, instal yang terbaru AWS CLI.

    1. Lihat Menginstal atau memperbarui versi terbaru AWS CLI dari Panduan AWS Command Line Interface Pengguna.

    2. (Opsional) Untuk memverifikasi AWS CLI bahwa berfungsi, buka prompt perintah dan jalankan aws --version perintah.

  2. Masuk ke portal AWS akses. Majikan Anda dapat memberikan URL ini atau Anda mungkin mendapatkannya dalam email berikut Langkah 1: Tetapkan akses. Jika tidak, temukan URL portal AWS akses Anda di Dasbor https://console.aws.amazon.com/singlesignon/.

    1. Di portal AWS akses, di tab Akun, pilih akun individual untuk dikelola. Peran untuk pengguna Anda ditampilkan. Pilih tombol Access untuk mendapatkan kredensional untuk baris perintah atau akses terprogram untuk set izin yang sesuai. Gunakan set PowerUserAccess izin yang telah ditentukan sebelumnya, atau izin mana pun yang telah Anda atau perusahaan Anda buat untuk menerapkan izin hak istimewa paling sedikit untuk pengembangan.

    2. Di kotak dialog Dapatkan kredensi, pilih macOS dan Linux atau Windows, tergantung pada sistem operasi Anda.

    3. Pilih metode kredensial Pusat Identitas IAM untuk mendapatkan SSO Region nilai Issuer URL dan nilai yang Anda butuhkan untuk langkah berikutnya. Catatan: SSO Start URL dapat digunakan secara bergantian dengan. Issuer URL

  3. Di AWS CLI command prompt, jalankan aws configure sso perintah. Saat diminta, masukkan nilai konfigurasi yang Anda kumpulkan di langkah sebelumnya. Untuk detail tentang AWS CLI perintah ini, lihat Mengkonfigurasi profil Anda dengan aws configure sso wizard.

    1. Untuk promptSSO Start URL, masukkan nilai yang Anda perolehIssuer URL.

    2. Untuk nama profil CLI, kami sarankan masuk default saat Anda memulai. Untuk informasi tentang cara menyetel profil non-default (bernama) dan variabel lingkungan terkaitnya, lihatProfil.

  4. (Opsional) Pada prompt AWS CLI perintah, konfirmasikan identitas sesi aktif dengan menjalankan aws sts get-caller-identity perintah. Respons harus menunjukkan set izin IAM Identity Center yang Anda konfigurasikan.

  5. Jika Anda menggunakan AWS SDK, buat aplikasi untuk SDK Anda di lingkungan pengembangan Anda.

    1. Untuk beberapa SDKs, paket tambahan seperti SSO dan SSOOIDC harus ditambahkan ke aplikasi Anda sebelum Anda dapat menggunakan autentikasi IAM Identity Center. Untuk detailnya, lihat SDK spesifik Anda.

    2. Jika sebelumnya Anda mengonfigurasi akses ke AWS, tinjau AWS credentials file bersama Anda untuk apa punAWS kunci akses. Anda harus menghapus kredensi statis apa pun sebelum SDK atau alat akan menggunakan kredensil Pusat Identitas IAM karena diutamakan. Memahami rantai penyedia kredensi

Untuk mempelajari lebih dalam bagaimana alat SDKs dan menggunakan dan menyegarkan kredensional menggunakan konfigurasi ini, lihat. Bagaimana otentikasi IAM Identity Center diselesaikan untuk AWS SDKs dan alat

Untuk mengonfigurasi pengaturan penyedia Pusat Identitas IAM secara langsung di config file bersama, lihat Penyedia kredensi Pusat Identitas IAM di panduan ini.

Menyegarkan sesi akses portal

Akses Anda pada akhirnya akan kedaluwarsa dan SDK atau alat akan mengalami kesalahan otentikasi. Kapan kedaluwarsa ini terjadi tergantung pada panjang sesi yang dikonfigurasi. Untuk me-refresh sesi portal akses lagi bila diperlukan, gunakan AWS CLI untuk menjalankan aws sso login perintah.

Anda dapat memperpanjang durasi sesi portal akses IAM Identity Center dan durasi sesi yang ditetapkan izin. Ini memperpanjang jumlah waktu Anda dapat menjalankan kode sebelum Anda perlu masuk lagi secara manual dengan kode. AWS CLI Untuk informasi selengkapnya, lihat topik berikut di Panduan Pengguna AWS IAM Identity Center :