Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
Provider di credenziali IAM Identity Center - AWS SDKs e strumenti
PrerequisitiConfigurazione del provider di token SSOConfigurazione legacy non aggiornabileImpostazioni del provider di credenziali IAM Identity CenterSupport by AWS SDKs and tools

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Provider di credenziali IAM Identity Center

PDFRSS
Nota

Per informazioni sulla comprensione del layout delle pagine delle impostazioni o sull'interpretazione della tabella Support by AWS SDKs and tools riportata di seguito, vedereInformazioni sulle pagine delle impostazioni di questa guida.

Questo meccanismo di autenticazione consente l' AWS IAM Identity Center accesso Single Sign-On (SSO) al Servizi AWS codice.

Nota

Nella documentazione dell'API AWS SDK, il provider di credenziali IAM Identity Center è chiamato provider di credenziali SSO.

Dopo aver abilitato IAM Identity Center, definisci un profilo per le relative impostazioni nel file condiviso. AWS config Questo profilo viene utilizzato per connettersi al portale di accesso IAM Identity Center. Quando un utente si autentica con successo con IAM Identity Center, il portale restituisce credenziali a breve termine per il ruolo IAM associato a quell'utente. Per scoprire come l'SDK ottiene credenziali temporanee dalla configurazione e le utilizza per le richieste, consulta. Servizio AWS Come viene risolta l'autenticazione AWS SDKs e gli strumenti di IAM Identity Center

Esistono due modi per configurare IAM Identity Center tramite il config file:

  • (Consigliata) Configurazione del provider di token SSO: durate di sessione estese. Include il supporto per durate di sessione personalizzate.

  • Configurazione legacy non aggiornabile: utilizza una sessione fissa di otto ore.

In entrambe le configurazioni, è necessario accedere nuovamente alla scadenza della sessione.

Le due guide seguenti contengono informazioni aggiuntive su IAM Identity Center:

Per un'analisi approfondita su come gli strumenti SDKs e utilizzano e aggiornano le credenziali utilizzando questa configurazione, consulta. Come viene risolta l'autenticazione AWS SDKs e gli strumenti di IAM Identity Center

Prerequisiti

Devi prima abilitare IAM Identity Center. Per i dettagli sull'attivazione dell'autenticazione IAM Identity Center, consulta Enabling AWS IAM Identity Center nella AWS IAM Identity Center User Guide.

Nota

In alternativa, per i prerequisiti completi e la necessaria configurazione dei config file condivisi, descritta in dettaglio in questa pagina, consulta le istruzioni guidate per la configurazioneUtilizzo di IAM Identity Center per autenticare AWS SDK e strumenti.

Configurazione del provider di token SSO

Quando utilizzi la configurazione del provider di token SSO, l' AWS SDK o lo strumento aggiorna automaticamente la sessione fino al periodo di sessione prolungato. Per ulteriori informazioni sulla durata della sessione e sulla durata massima, consulta Configurare la durata della sessione del portale di AWS accesso e delle applicazioni integrate IAM Identity Center nella Guida per l'AWS IAM Identity Center utente.

La sso-session sezione del config file viene utilizzata per raggruppare le variabili di configurazione per l'acquisizione dei token di accesso SSO, che possono quindi essere utilizzati per acquisire le credenziali. AWS Per ulteriori dettagli su questa sezione all'interno di un config file, vedere. Formato del file di configurazione

Il seguente esempio di config file condiviso configura l'SDK o lo strumento utilizzando un dev profilo per richiedere le credenziali IAM Identity Center.

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Gli esempi precedenti mostrano che è possibile definire una sso-session sezione e associarla a un profilo. In genere, sso_account_id e sso_role_name deve essere impostato nella profile sezione in modo che l'SDK possa richiedere AWS le credenziali. sso_regionsso_start_url, e sso_registration_scopes deve essere impostato all'interno della sso-session sezione.

sso_account_ide sso_role_name non sono necessari per tutti gli scenari di configurazione del token SSO. Se l'applicazione utilizza solo il supporto per Servizi AWS l'autenticazione al portatore, non sono necessarie AWS le credenziali tradizionali. L'autenticazione Bearer è uno schema di autenticazione HTTP che utilizza token di sicurezza chiamati bearer tokens. In questo scenario, sso_account_id e sso_role_name non sono obbligatori. Consulta la Servizio AWS guida individuale per determinare se il servizio supporta l'autorizzazione del token al portatore.

Gli ambiti di registrazione sono configurati come parte di un. sso-session Scope è un meccanismo in OAuth 2.0 per limitare l'accesso di un'applicazione all'account di un utente. L'esempio precedente prevede sso_registration_scopes di fornire l'accesso necessario per elencare account e ruoli.

L'esempio seguente mostra come riutilizzare la stessa sso-session configurazione su più profili.

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Il token di autenticazione viene memorizzato nella cache su disco all'interno della ~/.aws/sso/cache directory con un nome di file basato sul nome della sessione.

Configurazione legacy non aggiornabile

L'aggiornamento automatico dei token non è supportato utilizzando la configurazione legacy non aggiornabile. Ti consigliamo invece di utilizzare. Configurazione del provider di token SSO

Per utilizzare la configurazione precedente non aggiornabile, è necessario specificare le seguenti impostazioni all'interno del profilo:

  • sso_start_url

  • sso_region

  • sso_account_id

  • sso_role_name

Si specifica il portale utente per un profilo con le impostazioni sso_start_url andsso_region. Le autorizzazioni vengono specificate con le sso_role_name impostazioni sso_account_id e.

L'esempio seguente imposta i quattro valori obbligatori nel config file.

[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole

Il token di autenticazione viene memorizzato nella cache su disco all'interno della ~/.aws/sso/cache directory con un nome di file basato su. sso_start_url

Impostazioni del provider di credenziali IAM Identity Center

Configura questa funzionalità utilizzando quanto segue:

sso_start_url- impostazione dei AWS config file condivisi

L'URL che rimanda all'URL dell'emittente dello IAM Identity Center o all'URL del portale di accesso della tua organizzazione. Per ulteriori informazioni, consulta Using the AWS access portal nella AWS IAM Identity Center User Guide.

Per trovare questo valore, apri la console IAM Identity Center, visualizza la dashboard, trova AWS l'URL del portale di accesso.

  • In alternativa, a partire dalla versione 2.22.0 di AWS CLI, puoi invece utilizzare il valore per AWS Issuer URL.

sso_region- impostazione condivisa dei file AWS config

Il Regione AWS che contiene l'host del portale IAM Identity Center, ovvero la regione selezionata prima di abilitare IAM Identity Center. È indipendente dalla AWS regione predefinita e può essere diversa.

Per un elenco completo di Regioni AWS e dei relativi codici, consulta Endpoint regionali nel Riferimenti generali di Amazon Web Services. Per trovare questo valore, apri la console IAM Identity Center, visualizza la dashboard e trova Region.

sso_account_id- impostazione dei AWS config file condivisi

L'ID numerico di Account AWS che è stato aggiunto tramite il AWS Organizations servizio da utilizzare per l'autenticazione.

Per visualizzare l'elenco degli account disponibili, vai alla console IAM Identity Center e apri la Account AWSpagina. Puoi anche visualizzare l'elenco degli account disponibili utilizzando il metodo ListAccountsAPI nel AWS IAM Identity Center Portal API Reference. Ad esempio, puoi chiamare il AWS CLI metodo list-accounts.

sso_role_name- impostazione di file condivisi AWS config

Il nome di un set di autorizzazioni fornito come ruolo IAM che definisce le autorizzazioni risultanti dell'utente. Il ruolo deve esistere nel file Account AWS specificato da. sso_account_id Usa il nome del ruolo, non il ruolo Amazon Resource Name (ARN).

I set di autorizzazioni sono associati a politiche IAM e politiche di autorizzazione personalizzate e definiscono il livello di accesso degli utenti ai dati loro assegnati. Account AWS

Per visualizzare l'elenco dei set di autorizzazioni disponibili per Account AWS, vai alla console IAM Identity Center e apri la Account AWSpagina. Scegli il nome corretto del set di autorizzazioni elencato nella Account AWS tabella. Puoi anche visualizzare l'elenco dei set di autorizzazioni disponibili utilizzando il metodo ListAccountRolesAPI nel AWS IAM Identity Center Portal API Reference. Ad esempio, puoi chiamare il AWS CLI metodo list-account-roles.

sso_registration_scopes- impostazione di AWS config file condivisi

Un elenco delimitato da virgole di stringhe di ambito valide da autorizzare per. sso-session Un'applicazione può richiedere uno o più ambiti e il token di accesso rilasciato all'applicazione è limitato agli ambiti concessi. È sso:account:access necessario concedere un ambito minimo di per ottenere un token di aggiornamento dal servizio IAM Identity Center. Per l'elenco delle opzioni di ambito di accesso disponibili, consulta Access scopes nella Guida per l'AWS IAM Identity Center utente.

Questi ambiti definiscono le autorizzazioni richieste per l'autorizzazione per il client OIDC registrato e i token di accesso recuperati dal client. Gli ambiti autorizzano l'accesso agli endpoint autorizzati con token portatore di IAM Identity Center.

Questa impostazione non si applica alla configurazione precedente non aggiornabile. I token emessi utilizzando la configurazione legacy sono limitati all'ambito implicito. sso:account:access

Support by AWS SDKs and tools

Di seguito sono SDKs supportate le funzionalità e le impostazioni descritte in questo argomento. Vengono annotate eventuali eccezioni parziali. Tutte le impostazioni delle proprietà del sistema JVM sono supportate solo da AWS SDK per Java and the. SDK AWS for Kotlin

SDK Supportato Note o ulteriori informazioni
AWS CLI v2
SDK per C++
SDK per Go V2 (1.x)
SDK per Go 1.x (V1) Per utilizzare le impostazioni dei config file condivisi, devi attivare il caricamento dal file di configurazione; vedi Sessioni.
SDK per Java 2.x Valori di configurazione supportati anche nel credentials file.
SDK per Java 1.x No
SDK per 3.x JavaScript
SDK per 2.x JavaScript
SDK per Kotlin
SDK per.NET 3.x
SDK per PHP 3.x
SDK per Python (Boto3)
SDK per Ruby 3.x
SDK per Rust Parziale Solo configurazione precedente non aggiornabile.
SDK per Swift
Strumenti per PowerShell

Argomento successivo:

Fornitore IMDS

Argomento precedente:

Fornitore di contenitori

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.