ステップ 1: IAM Identity Center での認証ステップ 2: IAM Identity Center 情報を収集するステップ 3: Amazon S3 バケットを作成するステップ 4: をインストールする AWS CLI ステップ 6: プロファイルを設定する AWS CLI ステップ 7: IAM Identity Center にログインするステップ 8: Amazon S3 コマンドを実行するステップ 9: IAM Identity Center からログアウトするステップ 10: リソースをクリーンアップするトラブルシューティング追加リソース

チュートリアル: IAM Identity Center を使用してで Amazon S3 コマンドを実行する AWS CLI

このトピックでは、 AWS IAM Identity Center （IAMAmazon S3) の AWS Command Line Interface () コマンドを実行する認証情報を取得するために、現在の Amazon Simple Storage Service ( Identity Center AWS CLI) でユーザーを AWS CLI 認証するようにを設定する方法について説明します。

ステップ 1: IAM Identity Center での認証

IAM Identity Center 内のSSO認証にアクセスします。 AWS 認証情報にアクセスするには、次のいずれかの方法を選択します。

「AWS IAM Identity Center ユーザーガイド」の「開始方法」の手順に従います。このプロセスでは、IAMIdentity Center をアクティブ化し、管理ユーザーを作成し、適切な最小権限のアクセス許可セットを追加します。

注記

最小権限のアクセス許可を適用するアクセス許可セットを作成します。雇用主がこの目的のためにカスタムアクセス許可セットを作成していない限り、定義済みの PowerUserAccess アクセス許可セットを使用することをお勧めします。

ポータルを終了し、再度サインインして、 AWS アカウント、プログラムによるアクセスの詳細、 Administratorまたはのオプションを確認しますPowerUserAccess。を操作するPowerUserAccessときにを選択しますSDK。

ID プロバイダーのポータル AWS からにサインインします。Cloud Administrator がユーザー PowerUserAccess (開発者) にアクセス許可を付与している場合は、 AWS アカウントアクセスできるとアクセス許可セットが表示されます。アクセス許可セットの名前の横に、そのアクセス許可セットを使用してアカウントに手動またはプログラムでアクセスするオプションが表示されます。

カスタム実装では、アクセス許可セット名が異なるなど、エクスペリエンスが異なる場合があります。どのアクセス許可セットを使用すればよいかわからない場合は、IT チームにお問い合わせください。

AWS アクセスポータル AWS からにサインインします。Cloud Administrator がユーザーに PowerUserAccess (開発者) アクセス許可を付与している場合は、 AWS アカウントアクセスできるとアクセス許可セットが表示されます。アクセス許可セットの名前の横に、そのアクセス許可セットを使用してアカウントに手動またはプログラムでアクセスするオプションが表示されます。

サポートについては、IT チームにお問い合わせください。

ステップ 2: IAM Identity Center 情報を収集する

へのアクセスを取得したら AWS、以下を実行して IAM Identity Center 情報を収集します。

AWS アクセスポータルで、開発に使用するアクセス許可セットを選択し、アクセスキーリンクを選択します。
認証情報の取得ダイアログボックスで、オペレーティングシステムに一致するタブを選択します。
IAM Identity Center の認証情報方法を選択して、の実行に必要な SSO Start URLとSSO Region値を取得しますaws configure sso。登録するスコープ値の詳細については、IAM「 Identity Center ユーザーガイド」のOAuth「2.0 アクセススコープ」を参照してください。

ステップ 3: Amazon S3 バケットを作成する

にサインイン AWS Management Console し、で Amazon S3 コンソールを開きますhttps://console.aws.amazon.com/s3/。

このチュートリアルでは、後でリストで取得するいくつかのバケットを作成します。

ステップ 4: をインストールする AWS CLI

オペレーティングシステムの AWS CLI 以下の手順をインストールします。詳細については、「の最新バージョンへのインストールまたは更新 AWS CLI」を参照してください。

インストールしたら、希望するターミナルを開き、次のコマンドを実行してインストールを確認できます。これにより、のインストール済みバージョンが表示されます AWS CLI。


$ aws --version

ステップ 6: プロファイルを設定する AWS CLI

次のいずれかの方法を使用してプロファイルを設定する

config ファイルの sso-sessionセクションは、SSOアクセストークンを取得するための設定変数をグループ化するために使用されます。これにより、 AWS 認証情報を取得できます。次の設定を使用します。

sso-session セクションを定義し、プロファイルに関連付けます。sso_region および sso_start_url設定は、 sso-sessionセクション内で設定する必要があります。通常、がSSO認証情報をSDKリクエストできるように、 profile セクションで sso_account_idとを設定sso_role_nameする必要があります。

次の例では、SSO認証情報をリクエストSDKするようにを設定し、トークンの自動更新をサポートしています。


[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

sso-session セクションを定義してプロファイルに関連付けます。sso_region と sso_start_url は sso-session セクション内に設定する必要があります。通常、がSSO認証情報をSDKリクエストできるように、 profile セクションで sso_account_idとを設定sso_role_nameする必要があります。

次の例では、SSO認証情報をリクエストSDKするようにを設定し、トークンの自動更新をサポートしています。


[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

認証トークンは、セッション名に基づいたファイル名を使用して、~/.aws/sso/cache ディレクトリの下のディスクにキャッシュされます。

注記

サインインプロセスでは、データ AWS CLI へのアクセスを許可するように求められる場合があります。 AWS CLI は SDK for Python 上に構築されているため、アクセス許可メッセージにはbotocore名前のバリエーションが含まれている場合があります。

IAM Identity Center の認証情報を取得してキャッシュするには、 AWS CLI の次のコマンドを実行してデフォルトのブラウザを開き、IAMIdentity Center のログインを確認します。


$ aws sso login --profile my-dev-profile

ステップ 8: Amazon S3 コマンドを実行する

前に作成したバケットを一覧表示するには、 aws s3 ls コマンドを使用します。次の例では、すべての Amazon S3 バケットを一覧表示します。


$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2

ステップ 9: IAM Identity Center からログアウトする

IAM Identity Center プロファイルの使用が完了したら、次のコマンドを実行してキャッシュされた認証情報を削除します。


$ aws sso logout
Successfully signed out of all SSO profiles.

ステップ 10: リソースをクリーンアップする

このチュートリアルが完了したら、Amazon S3 バケットなど、このチュートリアル中に作成した不要になったリソースをクリーンアップします。

トラブルシューティング

を使用して問題が発生した場合は AWS CLI、一般的なトラブルシューティング手順のエラーのトラブルシューティング AWS CLIについては、「」を参照してください。

追加リソース

その他のリソースは次のとおりです。

AWS IAM Identity Center の概念 AWS CLI
を使用した IAM Identity Center 認証の設定 AWS CLI
の最新バージョンへのインストールまたは更新 AWS CLI
の設定と認証情報ファイルの設定 AWS CLI
aws configure sso AWS CLI バージョン 2 リファレンスの
aws configure sso-session AWS CLI バージョン 2 リファレンスの
aws sso login AWS CLI バージョン 2 リファレンスの
aws sso logout AWS CLI バージョン 2 リファレンスの
Amazon CodeCatalyst ユーザーガイドの AWS CLI でを使用するようにを設定する CodeCatalyst
OAuth 2.0 Identity Center ユーザーガイドのアクセススコープ IAM
IAM Identity Center ユーザーガイドの入門チュートリアル

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

IAM Identity Center の概念

短期の認証情報

チュートリアル: IAM Identity Center を使用して で Amazon S3 コマンドを実行する AWS CLI