Prerequisiti Accesso e ottenimento delle credenziali Esecuzione di un comando con il profilo IAM Identity Center Uscire dalle sessioni di IAM Identity Center

Usa un profilo denominato IAM Identity Center

Questo argomento descrive come utilizzare l'autenticazione degli utenti con AWS IAM Identity Center (IAM Identity Center) per ottenere le credenziali per eseguire i comandi. AWS CLI AWS CLI

Nota

Il fatto che le credenziali siano temporanee o si aggiornino automaticamente dipende da come è stato configurato in precedenza il profilo.

Argomenti

Prerequisiti
Accesso e ottenimento delle credenziali
Esecuzione di un comando con il profilo IAM Identity Center
Uscire dalle sessioni di IAM Identity Center

Prerequisiti

Hai configurato un profilo IAM Identity Center. Per ulteriori informazioni, consulta Configura l' AWS CLI utilizzo delle credenziali del token provider IAM Identity Center con aggiornamento automatico dell'autenticazione e Configurazione legacy non aggiornabile per AWS IAM Identity Center.

Nota

La procedura di accesso potrebbe richiedere all'utente di consentire l'AWS CLIaccesso ai dati. Poiché AWS CLI è basato sull'SDK per Python, i messaggi di autorizzazione possono contenere variazioni del botocore nome.

Dopo aver configurato un profilo denominato, puoi richiamarlo a cui richiedere le credenziali. AWS Prima di poter eseguire un comando di AWS CLI servizio, è necessario recuperare e memorizzare nella cache un set di credenziali. Per ottenere queste credenziali, esegui il comando seguente.


$ aws sso login --profile my-dev-profile

AWS CLIApre il browser predefinito e verifica l'accesso a IAM Identity Center.


SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start

Se al momento non hai effettuato l'accesso a IAM Identity Center, devi fornire le tue credenziali IAM Identity Center.

Se AWS CLI non è in grado di aprire il browser, ti viene chiesto di aprirlo e di immette il codice specificato.


$ aws sso login --profile my-dev-profile
Using a browser, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

Dopo che AWS CLI apre il browser predefinito (o l'utente apre manualmente il browser preferito) alla pagina specificata, immettere il codice fornito. La pagina web richiede quindi le credenziali IAM Identity Center.

Le credenziali della sessione IAM Identity Center vengono memorizzate nella cache. Se queste credenziali sono temporanee, includono un timestamp di scadenza e, quando scadono, le AWS CLI richieste di accedere nuovamente a IAM Identity Center.

Se le tue credenziali IAM Identity Center sono valide, le AWS CLI utilizza per recuperare in modo sicuro le AWS credenziali per il ruolo IAM specificato nel profilo.


Welcome, you have successfully signed-in to the AWS-CLI.

Puoi anche specificare quale sso-session profilo utilizzare per l'accesso utilizzando il parametro del --sso-session comando. aws sso login


$ aws sso login --sso-session my-dev-session
Attempting to automatically open the SSO authorization page in your default browser.
If the browser does not open or you wish to use a different device to authorize this request, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

Successfully logged into Start URL: https://cli-reinvent.awsapps.com/start

Esecuzione di un comando con il profilo IAM Identity Center

Puoi utilizzare queste credenziali per richiamare un AWS CLI comando con il profilo denominato associato. Nell'esempio seguente viene mostrato che il comando è stato eseguito in un ruolo assunto che fa parte dell'account specificato.


$ aws sts get-caller-identity --profile my-dev-profile
{
    "UserId": "AROA12345678901234567:test-user@example.com",
    "Account": "123456789011",
    "Arn": "arn:aws:sts::123456789011:assumed-role/AWSPeregrine_readOnly_12321abc454d123/test-user@example.com"
}

Se hai effettuato l'accesso a IAM Identity Center e le credenziali memorizzate nella cache non sono scadute, le credenziali scadute vengono rinnovate AWS CLI automaticamente quando necessario. AWS Tuttavia, se le credenziali IAM Identity Center scadono, devi rinnovarle esplicitamente accedendo nuovamente al tuo account IAM Identity Center.


$ aws s3 ls --profile my-sso-profile
Your short-term credentials have expired. Please sign-in to renew your credentials
SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.

Uscire dalle sessioni di IAM Identity Center

Quando hai finito di utilizzare i tuoi profili IAM Identity Center, puoi scegliere di non fare nulla e lasciare scadere le credenziali AWS temporanee e le credenziali IAM Identity Center. Tuttavia, puoi anche scegliere di eseguire il seguente comando per eliminare immediatamente tutte le credenziali memorizzate nella cache nella cartella cache delle credenziali SSO e tutte le credenziali AWS temporanee basate sulle credenziali IAM Identity Center. Ciò rende tali credenziali non disponibili per l'utilizzo per qualsiasi comando futuro.


$ aws sso logout
Successfully signed out of all SSO profiles.

Se in seguito desideri eseguire comandi con uno dei tuoi profili IAM Identity Center, devi eseguire nuovamente il aws sso login comando (vedi la sezione precedente) e specificare il profilo da utilizzare.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configura la versione precedente non aggiornabile

Credenziali a breve termine