Prerequisiti Considerazioni Acquisizione e aggiornamento delle credenziali temporanee

Ottenere le credenziali utente di IAM Identity Center per AWS CLI oppure AWS SDKs

È possibile accedere AWS servizi a livello di codice utilizzando AWS Command Line Interface oppure AWS Software Development Kit (SDKs) con credenziali utente fornite da Identity Center. IAM Questo argomento descrive come ottenere credenziali temporanee per un utente in IAM Identity Center.

Il AWS il portale di accesso fornisce agli utenti di IAM Identity Center l'accesso Single Sign-On ai propri Account AWS e applicazioni cloud. Dopo aver effettuato l'accesso a AWS accedi al portale come utente di IAM Identity Center, puoi ottenere credenziali temporanee. È quindi possibile utilizzare le credenziali, note anche come credenziali utente di IAM Identity Center, nel AWS CLI oppure AWS SDKsper accedere alle risorse in un Account AWS.

Se stai usando il AWS CLI per accedere AWS a livello di codice, è possibile utilizzare le procedure descritte in questo argomento per avviare l'accesso a AWS CLI. Per informazioni sul AWS CLI, vedi il AWS Command Line Interface Guida per l'utente.

Se stai usando il AWS SDKsper accedere AWS a livello di programmazione, seguendo le procedure illustrate in questo argomento viene inoltre stabilita direttamente l'autenticazione per AWS SDKs. Per informazioni sul AWS SDKs, vedi il AWS SDKse Guida di riferimento agli strumenti.

Nota

Gli utenti in IAM Identity Center sono diversi IAMdagli utenti. IAMagli utenti vengono concesse credenziali a lungo termine per AWS risorse. Agli utenti di IAM Identity Center vengono concesse credenziali temporanee. Si consiglia di utilizzare credenziali temporanee come best practice di sicurezza per accedere ai Account AWS perché queste credenziali vengono generate ogni volta che accedi.

Prerequisiti

Per ottenere le credenziali temporanee per il tuo utente di IAM Identity Center, avrai bisogno di quanto segue:

Un utente dell'IAMIdentity Center: accederai a AWS accedi al portale come utente. Tu o il tuo amministratore potreste creare questo utente. Per informazioni su come abilitare IAM Identity Center e creare un utente IAM Identity Center, vedereInizia con le attività più comuni in IAM Identity Center.
Accesso utente a un Account AWS— Per concedere a un utente di IAM Identity Center l'autorizzazione a recuperare le proprie credenziali temporanee, l'utente o un amministratore deve assegnare all'utente dell'IAMIdentity Center un set di autorizzazioni. I set di autorizzazioni sono archiviati in IAM Identity Center e definiscono il livello di accesso di un utente di IAM Identity Center a un Account AWS. Se l'amministratore ha creato l'utente IAM Identity Center per te, chiedigli di aggiungere questo accesso per te. Per ulteriori informazioni, consulta Assegna l'accesso utente a Account AWS.
AWS CLI installato: per utilizzare le credenziali temporanee, è necessario installare AWS CLI. Per istruzioni, vedere Installazione o aggiornamento della versione più recente di AWS CLI nella AWS CLI Guida per l'utente.

Considerazioni

Prima di completare la procedura per ottenere le credenziali temporanee per l'utente di IAM Identity Center, tieni a mente le seguenti considerazioni:

IAMIdentity Center crea IAM ruoli: quando si assegna un utente in IAM Identity Center a un set di autorizzazioni, IAM Identity Center crea un IAM ruolo corrispondente dal set di autorizzazioni. IAMi ruoli creati dai set di autorizzazioni differiscono dai IAM ruoli creati in AWS Identity and Access Management nei seguenti modi:
- IAMIdentity Center possiede e protegge i ruoli creati dai set di autorizzazioni. Solo IAM Identity Center può modificare questi ruoli.
- Solo gli utenti di IAM Identity Center possono assumere i ruoli corrispondenti ai set di autorizzazioni loro assegnati. Non è possibile assegnare l'accesso ai set di autorizzazioni a IAM utenti, utenti IAM federati o account di servizio.
- Non è possibile modificare una politica di fiducia dei ruoli su questi ruoli per consentire l'accesso ai responsabili al di fuori di IAM Identity Center.
Per informazioni su come ottenere credenziali temporanee per un ruolo creato inIAM, vedere Utilizzo di credenziali di sicurezza temporanee con AWS CLI nella AWS Identity and Access Management Guida per l'utente.
È possibile impostare la durata della sessione per i set di autorizzazioni: dopo aver effettuato l'accesso a AWS al portale di accesso, il set di autorizzazioni a cui è assegnato l'utente di IAM Identity Center viene visualizzato come ruolo disponibile. IAMIdentity Center crea una sessione separata per questo ruolo. Questa sessione può durare da una a 12 ore, a seconda della durata della sessione configurata per il set di autorizzazioni. La durata predefinita della sessione è di un'ora. Per ulteriori informazioni, consulta Imposta la durata della sessione per Account AWS.

Acquisizione e aggiornamento delle credenziali temporanee

È possibile ottenere e aggiornare le credenziali temporanee per l'utente di IAM Identity Center automaticamente o manualmente.

Argomenti

Aggiornamento automatico delle credenziali (consigliato)
Aggiornamento manuale delle credenziali

Aggiornamento automatico delle credenziali (consigliato)

L'aggiornamento automatico delle credenziali utilizza lo standard Open ID Connect (OIDC) Device Code Authorization. Con questo metodo, si avvia l'accesso direttamente utilizzando il comando in aws configure sso AWS CLI. Puoi usare questo comando per accedere automaticamente a qualsiasi ruolo associato a qualsiasi set di autorizzazioni a cui sei assegnato per qualsiasi Account AWS.

Per accedere al ruolo creato per l'utente dell'IAMIdentity Center, esegui il aws configure sso comando e quindi autorizza il AWS CLI da una finestra del browser. Finché ne hai uno attivo AWS sessione di accesso al portale, la AWS CLI recupera automaticamente le credenziali temporanee e aggiorna automaticamente le credenziali.

Per ulteriori informazioni, consulta Configurare il profilo con in aws configure sso wizard AWS Command Line Interface Guida per l'utente.

Per ottenere credenziali temporanee che si aggiornano automaticamente

Accedi a AWS accedi al portale utilizzando l'accesso specifico URL fornito dall'amministratore. Se hai creato l'utente IAM Identity Center, AWS ha inviato un invito via e-mail che include il tuo accessoURL. Per ulteriori informazioni, consulta Accedere a AWS accedere al portale in AWS Guida per l'utente di accesso.
Nella scheda Account, individua Account AWS da cui desideri recuperare le credenziali. Quando scegli l'account, vengono visualizzati il nome dell'account, l'ID dell'account e l'indirizzo e-mail associati all'account.

Nota
Se non ne vedi nessuno Account AWSnell'elenco, è probabile che non ti sia ancora stato assegnato un set di autorizzazioni per quell'account. In questo caso, contatta l'amministratore e chiedigli di aggiungere questo accesso per te. Per ulteriori informazioni, consulta Assegna l'accesso utente a Account AWS.
Sotto il nome dell'account, il set di autorizzazioni a cui è assegnato l'utente dell'IAMIdentity Center appare come ruolo disponibile. Ad esempio, se l'utente dell'IAMIdentity Center è assegnato al set di PowerUserAccessautorizzazioni per l'account, il ruolo viene visualizzato nel AWS accedi al portale come PowerUserAccess.
A seconda dell'opzione scelta accanto al nome del ruolo, scegli Tasti di accesso oppure scegli Accesso da riga di comando o accesso programmatico.
Nella finestra di dialogo Ottieni credenziali, scegli macOS e Linux, Windows PowerShelloppure, a seconda del sistema operativo su cui hai installato AWS CLI.
In AWS IAMVengono visualizzate le credenziali di Identity Center (consigliate), le tue SSO Start URL eSSO Region. Questi valori sono necessari per configurare sia un profilo abilitato per IAM Identity Center sso-session che per AWS CLI. Per completare questa configurazione, segui le istruzioni in Configura il aws configure sso wizard tuo profilo con AWS Command Line Interface Guida per l'utente.

Continua a utilizzare il AWS CLI se necessario per il tuo Account AWS fino alla scadenza delle credenziali.

Aggiornamento manuale delle credenziali

È possibile utilizzare il metodo di aggiornamento manuale delle credenziali per ottenere credenziali temporanee per un ruolo associato a un set di autorizzazioni specifico in uno specifico Account AWS. A tale scopo, copiate e incollate i comandi richiesti per le credenziali temporanee. Con questo metodo, è necessario aggiornare manualmente le credenziali temporanee.

È possibile eseguire AWS CLI comandi fino alla scadenza delle credenziali temporanee.

Per ottenere credenziali da aggiornare manualmente

Accedi a AWS accedi al portale utilizzando l'accesso specifico URL fornito dall'amministratore. Se hai creato l'utente IAM Identity Center, AWS ha inviato un invito via e-mail che include il tuo accessoURL. Per ulteriori informazioni, consulta Accedere a AWS accedere al portale in AWS Guida per l'utente di accesso.
Nella scheda Account, individua Account AWS da cui desideri recuperare le credenziali di accesso ed espanderle per mostrare il nome del IAM ruolo (ad esempio Amministratore). A seconda dell'opzione che hai accanto al nome del IAM ruolo, scegli Tasti di accesso o scegli Accesso da riga di comando o accesso programmatico.

Nota
Se non ne vedi nessuna Account AWSnell'elenco, è probabile che non ti sia ancora stato assegnato un set di autorizzazioni per quell'account. In questo caso, contatta l'amministratore e chiedigli di aggiungere questo accesso per te. Per ulteriori informazioni, consulta Assegna l'accesso utente a Account AWS.
Nella finestra di dialogo Ottieni credenziali, scegli macOS e Linux, Windows PowerShelloppure, a seconda del sistema operativo su cui hai installato AWS CLI.
Selezionare una delle seguenti opzioni:
- Opzione 1: Imposta AWS variabili di ambiente
  
  Scegliete questa opzione per sovrascrivere tutte le impostazioni delle credenziali, incluse quelle contenute nei credentials file e config nei file. Per ulteriori informazioni, consulta Variabili di ambiente per configurare AWS CLI nella AWS CLI Guida per l'utente.
  
  Per utilizzare questa opzione, copia i comandi negli appunti, incollali nei AWS CLI finestra del terminale, quindi premi Invio per impostare le variabili di ambiente richieste.
- Opzione 2: aggiungi un profilo al tuo AWS file di credenziali
  
  Scegliete questa opzione per eseguire comandi con diversi set di credenziali.
  
  Per utilizzare questa opzione, copia i comandi negli appunti, quindi incollali nella cartella condivisa AWS credentialsfile per configurare un nuovo profilo denominato. Per ulteriori informazioni, consulta File di configurazione e credenziali condivisi nel AWS SDKse Guida di riferimento agli strumenti. Per utilizzare questa credenziale, specifica l'--profileopzione nel AWS CLI comando. Ciò influisce su tutti gli ambienti che utilizzano lo stesso file di credenziali.
- Opzione 3: utilizza valori individuali nel AWS cliente di servizio
  
  Scegli questa opzione per accedere AWS risorse provenienti da un AWS cliente di servizio. Per ulteriori informazioni, consulta Strumenti su cui costruire AWS.
  
  Per utilizzare questa opzione, copia i valori negli appunti, incolla i valori nel codice e assegnali alle variabili appropriate. SDK Per ulteriori informazioni, consulta la documentazione specifica. SDK API

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Reimpostazione della password utente

Creazione di collegamenti rapidi