Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Penyedia kredensi Pusat Identitas IAM
catatan
Untuk bantuan dalam memahami tata letak halaman pengaturan, atau dalam menafsirkan tabel Support by AWS SDKs and tools berikut, lihatMemahami halaman pengaturan panduan ini.
Mekanisme otentikasi ini digunakan AWS IAM Identity Center untuk mendapatkan akses masuk tunggal (SSO) untuk Layanan AWS kode Anda.
catatan
Dalam dokumentasi AWS SDK API, penyedia kredensi Pusat Identitas IAM disebut penyedia kredensi SSO.
Setelah mengaktifkan Pusat Identitas IAM, Anda menentukan profil untuk pengaturannya di AWS
config file bersama Anda. Profil ini digunakan untuk terhubung ke portal akses Pusat Identitas IAM. Ketika pengguna berhasil mengautentikasi dengan IAM Identity Center, portal mengembalikan kredensi jangka pendek untuk peran IAM yang terkait dengan pengguna tersebut. Untuk mempelajari cara SDK mendapatkan kredensi sementara dari konfigurasi dan menggunakannya untuk Layanan AWS permintaan, lihat. Bagaimana otentikasi IAM Identity Center diselesaikan untuk AWS SDKs dan alat
Ada dua cara untuk mengkonfigurasi IAM Identity Center melalui config file:
-
(Disarankan) Konfigurasi penyedia token SSO — Durasi sesi yang diperpanjang. Termasuk dukungan untuk durasi sesi kustom.
-
Konfigurasi lama yang tidak dapat disegarkan - Menggunakan sesi delapan jam yang tetap.
Di kedua konfigurasi, Anda harus masuk lagi saat sesi Anda kedaluwarsa.
Dua panduan berikut berisi informasi tambahan tentang IAM Identity Center:
Untuk menyelam lebih dalam tentang cara SDKs dan alat menggunakan dan menyegarkan kredensional menggunakan konfigurasi ini, lihat. Bagaimana otentikasi IAM Identity Center diselesaikan untuk AWS SDKs dan alat
Prasyarat
Anda harus mengaktifkan Pusat Identitas IAM terlebih dahulu. Untuk detail tentang mengaktifkan autentikasi Pusat Identitas IAM, lihat Mengaktifkan AWS IAM Identity Center di Panduan Pengguna.AWS IAM Identity Center
catatan
Atau, untuk prasyarat lengkap dan konfigurasi config file bersama yang diperlukan yang dirinci di halaman ini, lihat petunjuk yang dipandu untuk pengaturan. Menggunakan IAM Identity Center untuk mengautentikasi AWS SDK dan alat
Konfigurasi penyedia token SSO
Saat Anda menggunakan konfigurasi penyedia token SSO, AWS SDK atau alat Anda secara otomatis menyegarkan sesi hingga periode sesi yang diperpanjang. Untuk informasi selengkapnya tentang durasi sesi dan durasi maksimum, lihat Mengonfigurasi durasi sesi portal AWS akses dan aplikasi terintegrasi Pusat Identitas IAM dalam Panduan AWS IAM Identity Center Pengguna.
sso-sessionBagian config file digunakan untuk mengelompokkan variabel konfigurasi untuk memperoleh token akses SSO, yang kemudian dapat digunakan untuk memperoleh AWS kredensional. Untuk detail lebih lanjut tentang bagian ini dalam config file, lihatFormat file konfigurasi.
Contoh config file bersama berikut mengonfigurasi SDK atau alat menggunakan dev profil untuk meminta kredenal Pusat Identitas IAM.
[profiledev] sso_session =my-ssosso_account_id =111122223333sso_role_name =SampleRole[sso-sessionmy-sso] sso_region =us-east-1sso_start_url =https://my-sso-portal.awsapps.com/startsso_registration_scopes =sso:account:access
Contoh sebelumnya menunjukkan bahwa Anda menentukan sso-session bagian dan mengaitkannya ke profil. Biasanya, sso_account_id dan sso_role_name harus diatur di profile bagian sehingga SDK dapat meminta AWS kredensional. sso_region,sso_start_url, dan sso_registration_scopes harus diatur dalam sso-session bagian.
sso_account_iddan sso_role_name tidak diperlukan untuk semua skenario konfigurasi token SSO. Jika aplikasi Anda hanya menggunakan otentikasi pembawa dukungan Layanan AWS itu, maka AWS kredensi tradisional tidak diperlukan. Otentikasi pembawa adalah skema otentikasi HTTP yang menggunakan token keamanan yang disebut token pembawa. Dalam skenario ini, sso_account_id dan sso_role_name tidak diperlukan. Lihat Layanan AWS panduan individual untuk menentukan apakah layanan mendukung otorisasi token pembawa.
Lingkup pendaftaran dikonfigurasi sebagai bagian dari filesso-session. Cakupan adalah mekanisme di OAuth 2.0 untuk membatasi akses aplikasi ke akun pengguna. Contoh sebelumnya ditetapkan sso_registration_scopes untuk menyediakan akses yang diperlukan untuk daftar akun dan peran.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kembali sso-session konfigurasi yang sama di beberapa profil.
[profiledev] sso_session =my-ssosso_account_id =111122223333sso_role_name =SampleRole[profile prod] sso_session =my-ssosso_account_id =111122223333sso_role_name =SampleRole2[sso-sessionmy-sso] sso_region =us-east-1sso_start_url =https://my-sso-portal.awsapps.com/startsso_registration_scopes =sso:account:access
Token otentikasi di-cache ke disk di bawah ~/.aws/sso/cache direktori dengan nama file berdasarkan nama sesi.
Konfigurasi lama yang tidak dapat disegarkan
Penyegaran token otomatis tidak didukung menggunakan konfigurasi lama yang tidak dapat disegarkan. Kami merekomendasikan menggunakan Konfigurasi penyedia token SSO sebagai gantinya.
Untuk menggunakan konfigurasi lama yang tidak dapat disegarkan, Anda harus menentukan pengaturan berikut dalam profil Anda:
-
sso_start_url -
sso_region -
sso_account_id -
sso_role_name
Anda menentukan portal pengguna untuk profil dengan sso_region pengaturan sso_start_url dan. Anda menentukan izin dengan sso_role_name pengaturan sso_account_id dan.
Contoh berikut menetapkan empat nilai yang diperlukan dalam config file.
[profilemy-sso-profile] sso_start_url =https://my-sso-portal.awsapps.com/startsso_region =us-west-2sso_account_id =111122223333sso_role_name =SSOReadOnlyRole
Token otentikasi di-cache ke disk di bawah ~/.aws/sso/cache direktori dengan nama file berdasarkan file. sso_start_url
Pengaturan penyedia kredensi Pusat Identitas IAM
Konfigurasikan fungsi ini dengan menggunakan yang berikut:
sso_start_url- Pengaturan AWSconfigfile bersama-
URL yang mengarah ke URL penerbit Pusat Identitas IAM organisasi Anda atau URL portal akses. Untuk informasi selengkapnya, lihat Menggunakan portal AWS akses di Panduan AWS IAM Identity Center Pengguna.
Untuk menemukan nilai ini, buka konsol Pusat Identitas IAM
, lihat Dasbor, temukan URL portal AWS akses. -
Atau, dimulai dengan versi 2.22.0 dari AWS CLI, Anda dapat menggunakan nilai untuk URL AWS Penerbit.
-
sso_region- Pengaturan AWSconfigfile bersama-
Yang Wilayah AWS berisi host portal Pusat Identitas IAM Anda; yaitu, Wilayah yang Anda pilih sebelum mengaktifkan Pusat Identitas IAM. Ini independen dari AWS Wilayah default Anda, dan bisa berbeda.
Untuk daftar lengkap Wilayah AWS dan kodenya, lihat Titik Akhir Regional di. Referensi Umum Amazon Web Untuk menemukan nilai ini, buka konsol Pusat Identitas IAM
, lihat Dasbor, dan temukan Wilayah. sso_account_id- Pengaturan AWSconfigfile bersama-
ID numerik Akun AWS yang ditambahkan melalui AWS Organizations layanan untuk digunakan untuk otentikasi.
Untuk melihat daftar akun yang tersedia, buka konsol Pusat Identitas IAM
dan buka Akun AWShalaman. Anda juga dapat melihat daftar akun yang tersedia menggunakan metode ListAccountsAPI di Referensi API AWS IAM Identity Center Portal. Misalnya, Anda dapat memanggil AWS CLI metode daftar-akun . sso_role_name- Pengaturan AWSconfigfile bersama-
Nama set izin disediakan sebagai peran IAM yang mendefinisikan izin yang dihasilkan pengguna. Peran harus ada dalam yang Akun AWS ditentukan oleh
sso_account_id. Gunakan nama peran, bukan peran Amazon Resource Name (ARN).Set izin memiliki kebijakan IAM dan kebijakan izin khusus yang dilampirkan padanya dan menentukan tingkat akses yang dimiliki pengguna ke yang ditetapkan. Akun AWS
Untuk melihat daftar set izin yang tersedia per Akun AWS, buka konsol Pusat Identitas IAM
dan buka Akun AWShalaman. Pilih nama set izin yang benar yang tercantum dalam Akun AWS tabel. Anda juga dapat melihat daftar set izin yang tersedia menggunakan metode ListAccountRolesAPI di Referensi API AWS IAM Identity Center Portal. Misalnya, Anda dapat memanggil AWS CLI metode list-account-roles . sso_registration_scopes- Pengaturan AWSconfigfile bersama-
Daftar string cakupan valid yang dibatasi koma yang akan diotorisasi untuk.
sso-sessionAplikasi dapat meminta satu atau lebih cakupan, dan token akses yang dikeluarkan untuk aplikasi terbatas pada cakupan yang diberikan. Cakupan minimumsso:account:accessharus diberikan untuk mendapatkan token penyegaran kembali dari layanan IAM Identity Center. Untuk daftar opsi cakupan akses yang tersedia, lihat Cakupan akses di Panduan AWS IAM Identity Center Pengguna.Cakupan ini menentukan izin yang diminta untuk diotorisasi untuk klien OIDC terdaftar dan token akses yang diambil oleh klien. Cakupan mengotorisasi akses ke titik akhir resmi token pembawa IAM Identity Center.
Pengaturan ini tidak berlaku untuk konfigurasi lama yang tidak dapat disegarkan. Token yang dikeluarkan menggunakan konfigurasi lama terbatas pada ruang lingkup secara
sso:account:accessimplisit.
Support oleh AWS SDKs dan alat
Berikut ini SDKs mendukung fitur dan pengaturan yang dijelaskan dalam topik ini. Setiap pengecualian sebagian dicatat. Setiap pengaturan properti sistem JVM didukung oleh AWS SDK untuk Java dan satu-satunya. AWS SDK for Kotlin
| SDK | Didukung | Catatan atau informasi lebih lanjut |
|---|---|---|
| AWS CLI v2 | Ya | |
| SDK for C++ | Ya | |
| SDK for Go V2 (1.x) |
Ya | |
| SDK for Go 1.x (V1) | Ya | Untuk menggunakan pengaturan config file bersama, Anda harus mengaktifkan pemuatan dari file konfigurasi; lihat Sesi. |
| SDK for Java 2.x | Ya | Nilai konfigurasi juga didukung dalam credentials file. |
| SDK for Java 1.x | Tidak | |
| SDK untuk 3.x JavaScript | Ya | |
| SDK untuk 2.x JavaScript | Ya | |
| SDK para Kotlin | Ya | |
| SDK for .NET 3.x | Ya | |
| SDK for PHP 3.x | Ya | |
| SDK untuk Python (Boto3) |
Ya | |
| SDK for Ruby 3.x | Ya | |
| SDK untuk Rust | Parsial | Konfigurasi lama yang tidak dapat disegarkan saja. |
| SDK para Swift | Ya | |
| Alat untuk PowerShell | Ya |
