Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione dell'autenticazione IAM Identity Center con AWS CLI
Questo argomento fornisce istruzioni su come configurare AWS CLI with AWS IAM Identity Center (IAM Identity Center) per recuperare le credenziali per eseguire i comandi. AWS CLI Esistono principalmente due modi per autenticare gli utenti con IAM Identity Center e ottenere le credenziali per eseguire AWS CLI comandi tramite il file: `config`
+ **(Scelta consigliata)** Configurazione del provider di token SSO.
+ Configurazione legacy non aggiornabile.
Per informazioni sull'utilizzo dell'autenticazione del portatore, che non utilizza l'ID e il ruolo dell'account, consulta [Configurazione per l'utilizzo di AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) nella *Amazon CodeCatalyst User* Guide.
**Nota**
Per una procedura guidata di utilizzo di IAM Identity Center con AWS CLI i comandi, consulta. [Tutorial: Utilizzo di IAM Identity Center per eseguire i comandi Amazon S3 nel AWS CLI](cli-configure-sso-tutorial.md)
**Argomenti**
+ [Prerequisiti](#cli-configure-sso-prereqs)
+ [Configura il tuo profilo con la procedura guidata `aws configure sso`](#cli-configure-sso-configure)
+ [Configura solo la sezione `sso-session` con la procedura guidata `aws configure sso-session`](#cli-configure-sso-session)
+ [Configurazione manuale utilizzando il file `config`](#cli-configure-sso-manual)
+ [Accedere a una sessione di Centro identità IAM](#cli-configure-sso-login)
+ [Eseguire un comando con il profilo Centro identità IAM](#cli-configure-sso-use)
+ [Disconnettersi dalle sessioni in Centro identità IAM](#cli-configure-sso-logout)
+ [Risoluzione dei problemi](#cli-configure-sso-tshoot)
+ [Risorse correlate](#cli-configure-sso-resources)
## Prerequisiti
+ Installa il AWS CLI. Per ulteriori informazioni, consulta [Installazione o aggiornamento alla versione più recente di AWS CLI](getting-started-install.md).
+ Devi prima avere accesso all’autenticazione SSO all’interno di Centro di identità IAM. Scegli uno dei seguenti metodi per accedere alle tue AWS credenziali.
### Non ho stabilito l’accesso tramite Centro identità IAM
Segui le istruzioni riportate in [Nozioni di base](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) nella *Guida per l’utente di AWS IAM Identity Center *. Questo processo attiva Centro identità IAM, crea un utente amministratore e aggiunge un set di autorizzazioni con privilegi minimi appropriato.
**Nota**
Crea un set di autorizzazioni per l’applicazione di autorizzazioni con privilegio minimo. Consigliamo di utilizzare il set di autorizzazioni `PowerUserAccess` predefinito, a meno che il datore di lavoro non ne abbia creato uno personalizzato a questo scopo.
Esci dal portale e accedi nuovamente per visualizzare i Account AWS dettagli di accesso programmatici e le opzioni per `Administrator` o. `PowerUserAccess` Seleziona `PowerUserAccess` quando utilizzi l’SDK.
### Ho già accesso AWS tramite un provider di identità federato gestito dal mio datore di lavoro (come Azure AD o Okta)
Accedi AWS tramite il portale del tuo provider di identità. Se il tuo amministratore cloud ti ha concesso le autorizzazioni `PowerUserAccess` (sviluppatore), vedi quelle a Account AWS cui hai accesso e il tuo set di autorizzazioni. Accanto al nome del set di autorizzazioni, vengono visualizzate le opzioni per accedere agli account manualmente o a livello di programmazione utilizzando il set di autorizzazioni.
Le implementazioni personalizzate possono dare luogo a esperienze diverse, ad esempio nomi di set di autorizzazioni diversi. In caso di dubbi su quale set di autorizzazioni utilizzare, contatta il team IT per assistenza.
### Ho già accesso AWS tramite il portale di AWS accesso gestito dal mio datore di lavoro
Accedi AWS tramite il tuo portale di AWS accesso. Se il tuo amministratore cloud ti ha concesso le autorizzazioni `PowerUserAccess` (sviluppatore), vedi quelle a Account AWS cui hai accesso e il set di autorizzazioni. Accanto al nome del set di autorizzazioni, vengono visualizzate le opzioni per accedere agli account manualmente o a livello di programmazione utilizzando il set di autorizzazioni.
### Ho già accesso AWS tramite un provider di identità personalizzato federato gestito dal mio datore di lavoro
Contatta il team IT per assistenza.
Dopo aver ottenuto l’accesso a Centro identità IAM, raccogli le informazioni su Centro identità IAM effettuando le operazioni seguenti:
1. Recupera i valori `SSO Start URL` e `SSO Region` necessari per eseguire `aws configure sso`
1. Nel portale di AWS accesso, seleziona il set di autorizzazioni che utilizzi per lo sviluppo e seleziona il link **Access keys**.
1. Nella finestra di dialogo **Ottieni le credenziali** seleziona la scheda corrispondente al tuo sistema operativo.
1. Scegli il metodo **Credenziali Centro identità IAM** per ottenere i valori `SSO Start URL` e `SSO Region`.
1. In alternativa, a partire dalla versione 2.22.0 puoi utilizzare l’URL dell’emittente anziché l’URL di avvio. L'URL dell'emittente si trova nella AWS IAM Identity Center console in una delle seguenti posizioni:
+ Nella pagina **Dashboard** l’URL dell’emittente si trova nel riepilogo delle impostazioni.
+ Nella pagina **Impostazioni** l’URL dell’emittente si trova nelle impostazioni in **Origine identità**.
1. Per informazioni sul valore degli ambiti da registrare, consulta [OAuth 2.0 Access scopes](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) nella Guida per l'utente di *IAM Identity Center*.
## Configura il tuo profilo con la procedura guidata `aws configure sso`
**Per configurare un profilo Centro identità IAM per AWS CLI:**
1. Nel terminale che preferisci esegui il comando `aws configure sso`.
------
#### [ (Recommended) IAM Identity Center ]
Crea un nome di sessione, fornisci l'URL di avvio di IAM Identity Center o l'URL dell'emittente, Regione AWS che ospita la directory IAM Identity Center e l'ambito di registrazione.
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Per il supporto dual-stack, utilizza l'URL di avvio SSO dual-stack:
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
L'autorizzazione Proof Key for Code Exchange (PKCE) viene utilizzata per impostazione predefinita AWS CLI a partire dalla versione **2.22.0** e deve essere utilizzata su dispositivi dotati di browser. Per continuare a utilizzare l’autorizzazione del dispositivo, aggiungi l’opzione `--use-device-code`.
```
$ aws configure sso --use-device-code
```
------
#### [ Legacy IAM Identity Center ]
Crea un nome di sessione e fornisci l’URL di avvio di Centro identità IAM e la Regione AWS che ospita la directory per Centro identità.
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1
```
Per il supporto dual-stack:
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]:us-east-1
```
------
1. I AWS CLI tentativi di aprire il browser predefinito per la procedura di accesso del tuo account IAM Identity Center. Questo processo potrebbe richiederti di consentire l' AWS CLI accesso ai tuoi dati. Poiché AWS CLI è basato sull'SDK per Python, i messaggi di autorizzazione possono contenere variazioni del `botocore` nome.
+ **Se AWS CLI non è possibile aprire il browser**, vengono visualizzate le istruzioni per avviare manualmente la procedura di accesso in base al tipo di autorizzazione utilizzato.
------
#### [ PKCE authorization ]
L'autorizzazione Proof Key for Code Exchange (PKCE) viene utilizzata per impostazione predefinita AWS CLI a partire dalla versione 2.22.0. L'URL visualizzato è un URL univoco che inizia con:
+ IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
+ Doppio stack: *https://oidc.us-east-1.api.aws/authorize*
L'autorizzazione PKCE URLs deve essere aperta sullo stesso dispositivo con cui si effettua l'accesso e deve essere utilizzata per un dispositivo dotato di browser.
```
Attempting to automatically open the SSO authorization page in your
default browser.
If the browser does not open or you wish to use a different device to
authorize the request, open the following URL:
https://oidc.us-east-1.amazonaws.com/authorize?
```
------
#### [ Device authorization ]
L'autorizzazione del dispositivo OAuth 2.0 viene utilizzata AWS CLI per le versioni precedenti alla 2.22.0. Puoi abilitare questo metodo sulle versioni più recenti utilizzando l’opzione `--use-device-code`.
L'autorizzazione del dispositivo URLs non deve essere aperta sullo stesso dispositivo a cui stai effettuando l'accesso e può essere utilizzata per un dispositivo con o senza browser. Il formato dell'endpoint dipende dalla tua configurazione:
+ IPv4: *https://device.sso.us-west-2.amazonaws.com/*
+ Doppio stack: *https://device.sso.us-west-2.api.aws/*
```
If the browser does not open or you wish to use a different device to
authorize this request, open the following URL:
https://device.sso.us-west-2.amazonaws.com/
Then enter the code:
QCFK-N451
```
------
1. Seleziona l' AWS account da utilizzare dall'elenco visualizzato. Se sei autorizzato a utilizzare un solo account, lo seleziona AWS CLI automaticamente e salta la richiesta.
```
There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (123456789011)
ProductionAccount, production-account-admin@example.com (123456789022)
```
1. Seleziona il ruolo IAM da utilizzare nell’elenco visualizzato. Se è disponibile un solo ruolo, lo seleziona AWS CLI automaticamente e salta la richiesta.
```
Using the account ID 123456789011
There are 2 roles available to you.
> ReadOnly
FullAccess
```
1. Specifica il [formato di output predefinito](cli-configure-files.md#cli-config-output), la [Regione AWS predefinita](cli-configure-files.md#cli-config-region) a cui inviare i comandi e un [nome per il profilo](cli-configure-files.md). Se specifichi `default` come nome del profilo, questo diventa il profilo predefinito utilizzato. Nell’esempio seguente l’utente immette la Regione predefinita, il formato di output predefinito e il nome del profilo.
```
Default client Region [None]: us-west-2
CLI default output format (json if not specified) [None]: json
Profile name [123456789011_ReadOnly]: my-dev-profile
```
1. Un messaggio finale descrive la configurazione del profilo completata. Puoi ora utilizzare questo profilo per richiedere le credenziali. Utilizza il comando `aws sso login` per richiedere e recuperare le credenziali necessarie per eseguire i comandi. Per istruzioni, consulta [Accedere a una sessione di Centro identità IAM](#cli-configure-sso-login).
### File di configurazione generato
Questa procedura permette di creare la sezione `sso-session` e il profilo denominato nel file `config`, che avrà l’aspetto seguente:
------
#### [ IAM Identity Center ]
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Per il supporto dual-stack:
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```
------
#### [ Legacy IAM Identity Center ]
```
[profile my-dev-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```
Per il supporto dual-stack:
```
[profile my-dev-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```
------
## Configura solo la sezione `sso-session` con la procedura guidata `aws configure sso-session`
**Nota**
Questa configurazione non è compatibile con la configurazione legacy di Centro identità IAM.
Il comando `aws configure sso-session` aggiorna le sezioni `sso-session` nel file `~/.aws/config`. Esegui il `aws configure sso-session` comando e fornisci l'URL di avvio o l'URL dell'emittente del tuo IAM Identity Center e la AWS regione che ospita la directory IAM Identity Center.
```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Per il supporto dual-stack, utilizza l'URL di avvio SSO dual-stack:
```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
## Configurazione manuale utilizzando il file `config`
Le informazioni di configurazione di Centro identità IAM sono archiviate nel file `config` e possono essere modificate utilizzando un editor di testo. Per aggiungere manualmente il supporto di Centro identità IAM a un profilo denominato, devi aggiungere chiavi e valori al file `config`.
### File di configurazione per Centro identità IAM
La `sso-session` sezione del `config` file viene utilizzata per raggruppare le variabili di configurazione per l'acquisizione di token di accesso SSO, che possono quindi essere utilizzati per acquisire credenziali. AWS Vengono utilizzate le impostazioni seguenti:
+ **(Obbligatorio)** `sso\$1start\$1url`
+ **(Obbligatorio)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`
È necessario definire una sezione `sso-session` e associarla a un profilo. Le impostazioni `sso_region` e `sso_start_url` devono essere configurate all’interno della sezione `sso-session`. In genere, le impostazioni `sso_account_id` e `sso_role_name` devono essere configurate nella sezione `profile` in modo che l’SDK possa richiedere le credenziali SSO.
L’esempio seguente configura l’SDK in modo da richiedere le credenziali SSO e supporta l’aggiornamento automatico dei token:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```
Per il supporto dual-stack, usa il formato URL di avvio SSO dual-stack:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```
In questo modo, è possibile riutilizzare le configurazioni `sso-session` su più profili:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```
Per il supporto dual-stack, usa il formato URL di avvio SSO dual-stack:
```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```
Tuttavia, le impostazioni `sso_account_id` e `sso_role_name` non sono necessarie per tutti gli scenari di configurazione dei token SSO. Se l'applicazione utilizza solo AWS servizi che supportano l'autenticazione al portatore, non sono necessarie le credenziali tradizionali. AWS Questo tipo di autenticazione è uno schema di autenticazione HTTP che utilizza token di sicurezza noti come token di connessione. In questo scenario le impostazioni `sso_account_id` e `sso_role_name` non sono obbligatorie. Consultate la guida individuale del vostro AWS servizio per determinare se supporta l'autorizzazione con token al portatore.
Inoltre, gli ambiti di registrazione possono essere configurati all’interno di un parametro `sso-session`. Scope è un meccanismo della OAuth versione 2.0 per limitare l'accesso di un'applicazione all'account di un utente. Un’applicazione può richiedere uno o più ambiti e il token di accesso emesso all’applicazione sarà limitato agli ambiti consentiti. Questi ambiti definiscono le autorizzazioni richieste per l’autorizzazione per il client OIDC registrato e i token di accesso recuperati dal client. L’esempio seguente imposta `sso_registration_scopes` in modo da fornire l’accesso necessario per elencare account/ruoli:
```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Per il supporto dual-stack:
```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```
Il token di autenticazione viene memorizzato nella cache su disco all’interno della directory `sso/cache` con un nome di file basato sul nome della sessione.
### File di configurazione per la configurazione legacy di Centro identità IAM
**Nota**
L’aggiornamento automatico dei token non è supportato utilizzando la configurazione legacy non aggiornabile. Consigliamo di utilizzare la configurazione dei token SSO.
Per aggiungere manualmente il supporto di Centro identità IAM a un profilo denominato, devi aggiungere le chiavi e i valori seguenti alla definizione del profilo nel file `config`.
+ `sso\$1start\$1url`
+ `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
Puoi includere anche altri valori e chiavi che sono validi nel file `.aws/config`. L’esempio seguente è un profilo Centro identità IAM:
```
[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```
Per il supporto dual-stack:
```
[profile my-sso-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```
Prima di tutto, devi utilizzare [Accedere a una sessione di Centro identità IAM](#cli-configure-sso-login) per richiedere e recuperare le credenziali temporanee.
Per ulteriori informazioni sui file `config` e `credentials`, consulta [Impostazioni dei file di configurazione e credenziali in AWS CLI](cli-configure-files.md).
## Accedere a una sessione di Centro identità IAM
**Nota**
La procedura di accesso potrebbe richiedere all'utente di consentire l' AWS CLI accesso ai dati. Poiché AWS CLI è basato sull'SDK per Python, i messaggi di autorizzazione possono contenere variazioni del `botocore` nome.
Per recuperare e memorizzare nella cache un set di credenziali per Centro identità IAM, esegui il comando seguente per AWS CLI per aprire il browser predefinito e verificare l’accesso a Centro identità IAM.
```
$ aws sso login --profile my-dev-profile
SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start
```
Le credenziali di sessione di IAM Identity Center vengono memorizzate nella cache e vengono AWS CLI utilizzate per recuperare in modo sicuro AWS le credenziali per il ruolo IAM specificato nel profilo.
### Se non riescono ad aprire il browser AWS CLI
Se AWS CLI non è possibile aprire automaticamente il browser, vengono visualizzate le istruzioni per avviare manualmente la procedura di accesso in base al tipo di autorizzazione utilizzato.
------
#### [ PKCE authorization ]
L'autorizzazione Proof Key for Code Exchange (PKCE) viene utilizzata per impostazione predefinita AWS CLI a partire dalla versione 2.22.0. L'URL visualizzato è un URL univoco che inizia con:
+ IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
+ Doppio stack: *https://oidc.us-east-1.api.aws/authorize*
L'autorizzazione PKCE URLs deve essere aperta sullo stesso dispositivo con cui si effettua l'accesso e deve essere utilizzata per un dispositivo dotato di browser.
```
Attempting to automatically open the SSO authorization page in your
default browser.
If the browser does not open or you wish to use a different device to
authorize the request, open the following URL:
https://oidc.us-east-1.amazonaws.com/authorize?
```
------
#### [ Device authorization ]
L'autorizzazione del dispositivo OAuth 2.0 viene utilizzata AWS CLI per le versioni precedenti alla 2.22.0. Puoi abilitare questo metodo sulle versioni più recenti utilizzando l’opzione `--use-device-code`.
L'autorizzazione del dispositivo URLs non deve essere aperta sullo stesso dispositivo a cui stai effettuando l'accesso e può essere utilizzata per un dispositivo con o senza browser.
```
If the browser does not open or you wish to use a different device to
authorize this request, open the following URL:
https://device.sso.us-west-2.amazonaws.com/
Then enter the code:
QCFK-N451
```
------
Puoi anche specificare quale profilo `sso-session` utilizzare per l’accesso tramite il parametro `--sso-session` del comando `aws sso login`. L’opzione `sso-session` non è disponibile per la configurazione legacy di Centro identità IAM.
```
$ aws sso login --sso-session my-dev-session
```
A partire dalla versione 2.22.0, l’autorizzazione PKCE è l’impostazione predefinita. Per utilizzare l’autorizzazione del dispositivo per l’accesso, aggiungi l’opzione `--use-device-code`.
```
$ aws sso login --profile my-dev-profile --use-device-code
```
Il token di autenticazione viene memorizzato nella cache su disco all’interno della directory `~/.aws/sso/cache` con un nome di file basato su `sso_start_url`.
## Eseguire un comando con il profilo Centro identità IAM
Una volta effettuato l'accesso, puoi utilizzare le tue credenziali per richiamare AWS CLI comandi con il profilo denominato associato. L’esempio seguente mostra un comando che utilizza un profilo:
```
$ aws sts get-caller-identity --profile my-dev-profile
```
Se hai effettuato l'accesso a IAM Identity Center e le credenziali memorizzate nella cache non sono scadute, le credenziali scadute vengono rinnovate AWS CLI automaticamente quando necessario. AWS Tuttavia, se le credenziali per Centro identità IAM scadono, devi rinnovarle in modo esplicito accedendo di nuovo all’account Centro identità IAM.
## Disconnettersi dalle sessioni in Centro identità IAM
Dopo aver terminato di utilizzare il profilo Centro identità IAM, puoi lasciare scadere le credenziali o eseguire il comando seguente per eliminare le credenziali memorizzate nella cache.
```
$ aws sso logout
Successfully signed out of all SSO profiles.
```
## Risoluzione dei problemi
Se riscontri problemi durante l'utilizzo di, consulta la procedura per la risoluzione dei problemi. AWS CLI[Risoluzione degli errori relativi a AWS CLI](cli-chap-troubleshooting.md)
## Risorse correlate
Di seguito sono elencate alcune risorse aggiuntive.
+ [Concetti diAWS IAM Identity Center per la AWS CLI](cli-configure-sso-concepts.md)
+ [Tutorial: Utilizzo di IAM Identity Center per eseguire i comandi Amazon S3 nel AWS CLI](cli-configure-sso-tutorial.md)
+ [Installazione o aggiornamento alla versione più recente di AWS CLI](getting-started-install.md)
+ [Impostazioni dei file di configurazione e credenziali in AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) in *AWS CLI version 2 Reference*
+ [Configurazione per l'utilizzo di AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) nella *Amazon CodeCatalyst User Guide*
+ [OAuth 2.0 Ambiti di accesso](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) nella Guida per l'*utente di IAM Identity Center*
+ [Tutorial introduttivi](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) nella *Guida per l’utente del Centro identità IAM*
# Concetti diAWS IAM Identity Center per la AWS CLI
Questo argomento descrive i concetti chiave di AWS IAM Identity Center (Centro identità IAM). Il Centro identità IAM è un servizio IAM basato sul cloud che semplifica la gestione degli accessi degli utenti su più Account AWS, applicazioni, SDK e strumenti integrandosi con i gestori dell’identità digitale (IdP) esistenti. Consente il single sign-on sicuro, la gestione delle autorizzazioni e il controllo attraverso un portale utenti centralizzato, semplificando la governance delle identità e degli accessi per le organizzazioni.
**Topics**
+ [Cos'è IAM Identity Center?](#cli-configure-sso-concepts-what)
+ [Termini](#cli-configure-sso-terms)
+ [Come funziona il Centro identità IAM](#cli-configure-sso-concepts-process)
+ [Risorse aggiuntive](#cli-configure-sso-concepts-resources)
## Cos'è IAM Identity Center?
Il Centro identità IAM è un servizio di gestione delle identità e degli accessi (IAM) basato sul cloud che consente di gestire centralmente l’accesso a più Account AWS e applicazioni aziendali.
Fornisce un portale utenti in cui gli utenti autorizzati possono accedere alle applicazioni per gli Account AWS che hanno ottenuto l’autorizzazione, utilizzando le credenziali aziendali esistenti. Ciò consente alle organizzazioni di applicare policy di sicurezza coerenti e semplificare la gestione degli accessi degli utenti.
Indipendentemente dall’IdP utilizzato, il Centro identità IAM astrae queste distinzioni. Ad esempio, è possibile connettere Microsoft Azure AD come descritto nell’articolo del blog [The Next Evolution in IAM Identity Center](https://aws.amazon.com/blogs/aws/the-next-evolution-in-aws-single-sign-on/).
**Nota**
Per informazioni sull’utilizzo dell’autenticazione tramite token di connessione, che non impiega alcun ID account e ruolo, consulta [Configurazione per l’utilizzo di AWS CLI con CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) nella *Guida per l’utente di Amazon CodeCatalyst*.
## Termini
I termini comuni per l’utilizzo del Centro identità IAM sono i seguenti:
**Provider di identità**
Un sistema di gestione delle identità come il Centro identità IAM, Microsoft Azure AD, Okta o il tuo servizio di directory aziendale.
**AWS IAM Identity Center**
Il Centro identità IAM è il servizio IdP proprietario di AWS. Precedentemente noti come AWS Single Sign-On, gli SDK e gli strumenti mantengono i namespace delle API `sso` per garantire la compatibilità con le versioni precedenti. Per ulteriori informazioni, consulta [IAM Identity Center rename](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) nella *Guida per l’utente di AWS IAM Identity Center*.
**URL, URL di avvio SSO, URL di avvio del Portale di accesso AWS**
L’URL univoco del Centro identità IAM della tua organizzazione per accedere agli Account AWS, ai servizi e alle risorse autorizzati.
**URL emittente**
L’URL univoco del Centro identità IAM emittente della tua organizzazione per l’accesso programmatico agli Account AWS, ai servizi e alle risorse autorizzati. A partire dalla versione 2.22.0 della AWS CLI, l’URL dell’emittente può essere utilizzato in modo intercambiabile con l’URL iniziale.
**Federazione**
Il processo di creazione dell’attendibilità tra il Centro identità IAM e un gestore dell’identità digitale per abilitare il Single Sign-On (SSO).
**Account AWS**
Gli Account AWS per i quali fornisci l’accesso agli utenti tramite AWS IAM Identity Center.
**Set di autorizzazioni, credenziali AWS, credenziali sigv4**
Raccolte predefinite di autorizzazioni che possono essere assegnate a utenti o gruppi a cui concedere l’accesso agli Servizi AWS.
**Ambiti di registrazione, ambiti di accesso, ambiti**
Gli ambiti sono un meccanismo di OAuth 2.0 per limitare l’accesso di un’applicazione a un account utente. Un’applicazione può richiedere uno o più ambiti e il token di accesso emesso all’applicazione è limitato agli ambiti consentiti. Per informazioni sugli ambiti, consulta [Access scopes](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) nella *Guida per l’utente del Centro identità IAM*.
**Token, token di aggiornamento, token di accesso**
I token sono credenziali di sicurezza temporanee che ti vengono rilasciate al momento dell’autenticazione. Questi token contengono informazioni sulla tua identità e sulle autorizzazioni che ti sono state concesse.
Quando accedi a una risorsa o a un’applicazione AWS tramite il portale Centro identità IAM, il token viene sottoposto all’autenticazione e all’autorizzazione di AWS. Ciò consente ad AWS di verificare l’identità dell’utente e avere la certezza di disporre delle autorizzazioni necessarie per eseguire le azioni richieste.
Il token di autenticazione viene memorizzato nella cache su disco all’interno della directory `~/.aws/sso/cache` con un nome di file JSON basato sul nome della sessione.
**Sessione**
Una sessione del Centro identità IAM si riferisce al periodo di tempo in cui un utente è autenticato e autorizzato ad accedere a risorse o applicazioni AWS. Quando un utente accede al portale del Centro identità IAM, viene stabilita una sessione e il token dell’utente è valido per una durata specificata. Per ulteriori informazioni sull’impostazione della durata delle sessioni, consulta [Impostazione della durata della sessione](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) nella *Guida per l’utente di AWS IAM Identity Center*.
Durante la sessione, puoi passare tra diversi account e applicazioni AWS senza dover effettuare nuovamente l’autenticazione, purché la sessione rimanga attiva. Quando la sessione scade, accedi nuovamente per rinnovare l’accesso.
Le sessioni del Centro identità IAM aiutano a fornire un’esperienza utente senza interruzioni, rafforzando al contempo le best practice di sicurezza limitando la validità delle credenziali di accesso degli utenti.
**Concessione del codice di autorizzazione con PKCE, PKCE, Proof Key for Code Exchange**
A partire dalla versione 2.22.0, Proof Key for Code Exchange (PKCE) è un flusso di autorizzazione all’autenticazione OAuth 2.0 per dispositivi dotati di browser. Il PKCE è un modo semplice e sicuro per autenticarsi e ottenere il consenso all’accesso alle risorse AWS da desktop e dispositivi mobili con browser web. Questo è il comportamento di autorizzazione per impostazione predefinita. Per ulteriori informazioni su PKCE, consulta [Authorization Code Grant with PKCE](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#auth-code-grant-pkce) nella *Guida per l’utente di AWS IAM Identity Center*.
**Concessione dell’autorizzazione a un dispositivo**
Un flusso di autorizzazione all’autenticazione OAuth 2.0 per dispositivi con o senza browser web. Per ulteriori informazioni sull’impostazione della durata delle sessioni, consulta [Concessione dell’autorizzazione a un dispositivo](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#device-auth-grant) nella *Guida per l’utente di AWS IAM Identity Center*.
## Come funziona il Centro identità IAM
Il Centro identità IAM si integra con il gestore dell’identità digitale della tua organizzazione, come il Centro identità IAM, Microsoft Azure AD oppure Okta. Gli utenti si autenticano con questo gestore dell’identità digitale e il Centro identità IAM associa quindi tali identità alle autorizzazioni e agli accessi appropriati all’interno dell’ambiente AWS.
Il seguente flusso di lavoro del Centro identità IAM presuppone che tu abbia già configurato la AWS CLI per utilizzare il Centro identità IAM:
1. Nel terminale preferito, esegui il comando `aws sso login`.
1. Accedi al tuo account Portale di accesso AWS per avviare una nuova sessione.
+ Quando avvii una nuova sessione, ricevi un token di aggiornamento e un token di accesso che vengono memorizzati nella cache.
+ Se hai già una sessione attiva, la sessione esistente viene riutilizzata e scade quando scade la sessione esistente.
1. In base al profilo che hai impostato nel tuo file `config`, il Centro identità IAM presuppone i set di autorizzazioni appropriati, garantendo l’accesso agli Account AWS e alle applicazioni pertinenti.
1. La AWS CLI, gli SDK e gli strumenti utilizzano il ruolo IAM che assumi per effettuare chiamate ai Servizi AWS come la creazione di bucket Amazon S3, fino alla scadenza della sessione.
1. Il token di accesso del Centro identità IAM viene controllato ogni ora e aggiornato automaticamente utilizzando il token di aggiornamento.
+ Se il token di accesso è scaduto, l’SDK o lo strumento utilizza il token di aggiornamento per ottenere un nuovo token di accesso. Le durate delle sessioni di questi token vengono quindi confrontate e, se il token di aggiornamento non è scaduto, il Centro identità IAM ne fornisce uno nuovo.
+ Se il token di aggiornamento è scaduto, non vengono forniti nuovi token di accesso e la sessione è terminata.
1. Le sessioni terminano dopo la scadenza dei token di aggiornamento o quando ti disconnetti manualmente utilizzando il comando `aws sso logout`. Le credenziali memorizzate nella cache vengono rimosse. Per continuare ad accedere ai servizi utilizzando il Centro identità IAM, è necessario avviare una nuova sessione con il comando `aws sso login`.
## Risorse aggiuntive
Di seguito sono elencate alcune risorse aggiuntive.
+ [Configurazione dell'autenticazione IAM Identity Center con AWS CLI](cli-configure-sso.md)
+ [Tutorial: Utilizzo di IAM Identity Center per eseguire i comandi Amazon S3 nel AWS CLI](cli-configure-sso-tutorial.md)
+ [Installazione o aggiornamento alla versione più recente di AWS CLI](getting-started-install.md)
+ [Impostazioni dei file di configurazione e credenziali in AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) in *AWS CLI version 2 Reference*
+ [Configurazione per l’utilizzo di AWS CLI con CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) nella *Guida per l’utente di Amazon CodeCatalyst*
+ [IAM Identity Center rename](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) nella *Guida per l’utente di AWS IAM Identity Center*
+ [Ambiti di accesso OAuth 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) nella *Guida per l’utente del Centro identità IAM*
+ [Set session duration](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) nella *Guida per l’utente di AWS IAM Identity Center*
+ [Tutorial introduttivi](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) nella *Guida per l’utente del Centro identità IAM*
# Tutorial: Utilizzo di IAM Identity Center per eseguire i comandi Amazon S3 nel AWS CLI
Questo argomento descrive come configurare l'autenticazione degli utenti con la AWS CLI versione corrente AWS IAM Identity Center (IAM Identity Center) per recuperare le credenziali per i comandi run AWS Command Line Interface (AWS CLI) per (Amazon Amazon Simple Storage Service S3).
**Topics**
+ [Fase 1: autenticazione tramite il Centro identità IAM](#cli-configure-sso-tutorial-authentication)
+ [Fase 2: raccogliere le informazioni del Centro identità IAM](#cli-configure-sso-tutorial-gather)
+ [Fase 3: creazione dei bucket Amazon S3](#cli-configure-sso-tutorial-buckets)
+ [Passaggio 4: installa il AWS CLI](#cli-configure-sso-tutorial-install)
+ [Passo 5: Configura il tuo AWS CLI profilo](#cli-configure-sso-tutorial-configure)
+ [Fase 6: accesso al Centro identità IAM](#cli-configure-sso-tutorial-login.title)
+ [Fase 7: esecuzione dei comandi Amazon S3](#cli-configure-sso-tutorial-commands)
+ [Fase 8: disconnessione dal Centro identità IAM](#cli-configure-sso-tutorial-logout)
+ [Fase 9: eliminazione delle risorse](#cli-configure-sso-tutorial-cleanup)
+ [Risoluzione dei problemi](#cli-configure-sso-tutorial-tshoot)
+ [Risorse aggiuntive](#cli-configure-sso-tutorial-resources.title)
## Fase 1: autenticazione tramite il Centro identità IAM
Ottieni l’accesso all’autenticazione SSO con il Centro identità IAM. Scegli uno dei seguenti metodi per accedere alle tue credenziali. AWS
### Non ho stabilito l’accesso tramite Centro identità IAM
Segui le istruzioni riportate in [Nozioni di base](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) nella *Guida per l’utente di AWS IAM Identity Center *. Questo processo attiva Centro identità IAM, crea un utente amministratore e aggiunge un set di autorizzazioni con privilegi minimi appropriato.
**Nota**
Crea un set di autorizzazioni per l’applicazione di autorizzazioni con privilegio minimo. Consigliamo di utilizzare il set di autorizzazioni `PowerUserAccess` predefinito, a meno che il datore di lavoro non ne abbia creato uno personalizzato a questo scopo.
Esci dal portale e accedi nuovamente per visualizzare i Account AWS dettagli di accesso programmatici e le opzioni per `Administrator` o. `PowerUserAccess` Seleziona `PowerUserAccess` quando utilizzi l’SDK.
### Ho già accesso AWS tramite un provider di identità federato gestito dal mio datore di lavoro (come Azure AD o Okta)
Accedi AWS tramite il portale del tuo provider di identità. Se il tuo amministratore cloud ti ha concesso le autorizzazioni `PowerUserAccess` (sviluppatore), vedi quelle a Account AWS cui hai accesso e il tuo set di autorizzazioni. Accanto al nome del set di autorizzazioni, vengono visualizzate le opzioni per accedere agli account manualmente o a livello di programmazione utilizzando il set di autorizzazioni.
Le implementazioni personalizzate possono dare luogo a esperienze diverse, ad esempio nomi di set di autorizzazioni diversi. In caso di dubbi su quale set di autorizzazioni utilizzare, contatta il team IT per assistenza.
### Ho già accesso AWS tramite il portale di AWS accesso gestito dal mio datore di lavoro
Accedi AWS tramite il tuo portale di AWS accesso. Se il tuo amministratore cloud ti ha concesso le autorizzazioni `PowerUserAccess` (sviluppatore), vedi quelle a Account AWS cui hai accesso e il tuo set di autorizzazioni. Accanto al nome del set di autorizzazioni, vengono visualizzate le opzioni per accedere agli account manualmente o a livello di programmazione utilizzando il set di autorizzazioni.
### Ho già accesso AWS tramite un provider di identità personalizzato federato gestito dal mio datore di lavoro
Contatta il team IT per assistenza.
## Fase 2: raccogliere le informazioni del Centro identità IAM
Dopo aver ottenuto l'accesso a AWS, raccogli le informazioni del tuo IAM Identity Center effettuando le seguenti operazioni:
1. Recupera i valori `SSO Start URL` e `SSO Region` necessari per eseguire `aws configure sso`
1. Nel tuo portale di AWS accesso, seleziona il set di autorizzazioni che utilizzi per lo sviluppo e seleziona il link **Access keys**.
1. Nella finestra di dialogo **Ottieni le credenziali** seleziona la scheda corrispondente al tuo sistema operativo.
1. Scegli il metodo **Credenziali Centro identità IAM** per ottenere i valori `SSO Start URL` e `SSO Region`.
1. In alternativa, a partire dalla versione 2.22.0 puoi utilizzare l’URL del nuovo emittente anziché l’URL di avvio. L'URL dell'emittente si trova nella AWS IAM Identity Center console in una delle seguenti posizioni:
+ Nella pagina **Dashboard** l’URL dell’emittente si trova nel riepilogo delle impostazioni.
+ Nella pagina **Impostazioni** l’URL dell’emittente si trova nelle impostazioni in **Origine identità**.
1. Per informazioni sul valore degli ambiti da registrare, consulta [OAuth 2.0 Access scopes](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) nella Guida per l'utente di *IAM Identity Center*.
## Fase 3: creazione dei bucket Amazon S3
Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
Per questo tutorial, crea alcuni bucket da recuperare successivamente in un elenco.
## Passaggio 4: installa il AWS CLI
Installa AWS CLI le seguenti istruzioni per il tuo sistema operativo. Per ulteriori informazioni, consulta [Installazione o aggiornamento alla versione più recente di AWS CLI](getting-started-install.md).
Una volta installato, puoi verificare l’installazione aprendo il tuo terminale preferito ed eseguendo il seguente comando. Dovrebbe essere visualizzata la versione installata di AWS CLI.
```
$ aws --version
```
## Passo 5: Configura il tuo AWS CLI profilo
Configurare il profilo utilizzando uno dei seguenti metodi
### Configura il tuo profilo con la procedura guidata `aws configure sso`
La `sso-session` sezione del `config` file viene utilizzata per raggruppare le variabili di configurazione per l'acquisizione dei token di accesso SSO, che possono quindi essere utilizzati per acquisire le credenziali. AWS Vengono utilizzate le impostazioni seguenti:
+ **(Obbligatorio)** `sso\$1start\$1url`
+ **(Obbligatorio)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`
È necessario definire una sezione `sso-session` e associarla a un profilo. Le impostazioni `sso_region` e `sso_start_url` devono essere configurate all’interno della sezione `sso-session`. In genere, le impostazioni `sso_account_id` e `sso_role_name` devono essere configurate nella sezione `profile` in modo che l’SDK possa richiedere le credenziali SSO.
L’esempio seguente configura l’SDK in modo da richiedere le credenziali SSO e supporta l’aggiornamento automatico dei token:
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Per il supporto dual-stack, puoi utilizzare il formato URL di avvio SSO dual-stack:
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Per impostazione predefinita, viene utilizzata l’autorizzazione Proof Key for Code Exchange (PKCE) per AWS CLI a partire dalla versione 2.22.0 e questa deve essere utilizzata su dispositivi dotati di browser. Per continuare a utilizzare l’autorizzazione del dispositivo, aggiungi l’opzione `--use-device-code`.
```
$ aws configure sso --use-device-code
```
### Configurazione manuale utilizzando il file `config`
La `sso-session` sezione del `config` file viene utilizzata per raggruppare le variabili di configurazione per l'acquisizione di token di accesso SSO, che possono quindi essere utilizzati per acquisire le credenziali. AWS Vengono utilizzate le impostazioni seguenti:
+ **(Obbligatorio)** `sso\$1start\$1url`
+ **(Richiesto)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`
È necessario definire una sezione `sso-session` e associarla a un profilo. `sso_region` e `sso_start_url` devono essere impostati all’interno della sezione `sso-session`. In genere, le impostazioni `sso_account_id` e `sso_role_name` devono essere configurate nella sezione `profile` in modo che l’SDK possa richiedere le credenziali SSO.
L’esempio seguente configura l’SDK in modo da richiedere le credenziali SSO e supporta l’aggiornamento automatico dei token:
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```
Per il supporto dual-stack, usa il formato URL di avvio SSO dual-stack:
```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```
Il token di autenticazione viene memorizzato nella cache su disco all’interno della directory `~/.aws/sso/cache` con un nome di file basato sul nome della sessione.
## Fase 6: accesso al Centro identità IAM
**Nota**
La procedura di accesso potrebbe richiedere all'utente di consentire l'accesso ai dati. AWS CLI Poiché AWS CLI è basato sull'SDK per Python, i messaggi di autorizzazione possono contenere variazioni del `botocore` nome.
Per recuperare e memorizzare nella cache le credenziali per il Centro identità IAM, esegui il comando seguente per AWS CLI per aprire il browser predefinito e verificare l’accesso al Centro identità IAM.
```
$ aws sso login --profile my-dev-profile
```
A partire dalla versione 2.22.0, l’autorizzazione PKCE è l’impostazione predefinita. Per utilizzare l’autorizzazione del dispositivo per l’accesso, aggiungi l’opzione `--use-device-code`.
```
$ aws sso login --profile my-dev-profile --use-device-code
```
## Fase 7: esecuzione dei comandi Amazon S3
Per elencare i bucket che hai creato in precedenza, utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html](https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html). L’esempio seguente elenca tutti i tuoi bucket Amazon S3.
```
$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2
```
## Fase 8: disconnessione dal Centro identità IAM
Dopo aver terminato di utilizzare il profilo Centro identità IAM, esegui il comando seguente per eliminare le credenziali memorizzate nella cache.
```
$ aws sso logout
Successfully signed out of all SSO profiles.
```
## Fase 9: eliminazione delle risorse
Al termine di questo tutorial, esegui la pulizia di tutte le risorse che hai creato durante questo tutorial che non ti servono più, inclusi i bucket Amazon S3.
## Risoluzione dei problemi
Se riscontri problemi con l'utilizzo di AWS CLI, consulta le procedure comuni [Risoluzione degli errori relativi a AWS CLI](cli-chap-troubleshooting.md) per la risoluzione dei problemi.
## Risorse aggiuntive
Di seguito sono elencate alcune risorse aggiuntive.
+ [Concetti diAWS IAM Identity Center per la AWS CLI](cli-configure-sso-concepts.md)
+ [Configurazione dell'autenticazione IAM Identity Center con AWS CLI](cli-configure-sso.md)
+ [Installazione o aggiornamento alla versione più recente di AWS CLI](getting-started-install.md)
+ [Impostazioni dei file di configurazione e credenziali in AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) in *AWS CLI version 2 Reference*
+ [Configurazione per l'utilizzo di AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) nella *Amazon CodeCatalyst User Guide*
+ [OAuth 2.0 Ambiti di accesso](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) nella Guida per l'*utente di IAM Identity Center*
+ [Tutorial introduttivi](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) nella *Guida per l’utente del Centro identità IAM*