v AWS CDK 2 개발자 안내서입니다. 이전 CDK v1은 2022년 6월 1일에 유지 관리에 들어갔고 2023년 6월 1일에 지원을 종료했습니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

예: 에 사용할 IAM Identity Center 자동 토큰 새로 고침으로 인증 AWS CDK CLI

이 예제에서는 Identity Center 토큰 공급자 구성으로 사용자를 인증하도록 AWS Command Line Interface (AWS CLI)를 AWS IAM 구성합니다. SSO 토큰 공급자 구성을 사용하면 가 새로 고쳐진 인증 토큰을 AWS CLI 자동으로 검색하여 AWS Cloud Development Kit (AWS CDK) 명령줄 인터페이스(AWS CDK CLI).

사전 조건

이 예제에서는 다음 사전 조건이 완료되었다고 가정합니다.

1단계: 구성 AWS CLI

이 단계에 대한 자세한 지침은 AWS Command Line Interface 사용 설명서의 자동 인증 새로 고침과 함께 IAM Identity Center 토큰 공급자 자격 증명을 AWS CLI 사용하도록 구성을 참조하세요.

Identity IAM Center 정보를 수집하기 위해 조직에서 제공하는 AWS 액세스 포털에 로그인합니다. 여기에는 SSO 시작 URL 및 SSO 리전이 포함됩니다.

다음으로 명령을 AWS CLI aws configure sso 사용하여 sso-session 로컬 시스템에서 IAM Identity Center 프로파일 및 를 구성합니다.

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [sso:account:access]: <ENTER>

는 IAM Identity Center 계정의 로그인 프로세스를 시작하기 위해 기본 브라우저를 열려고 AWS CLI 시도합니다. AWS CLI 가 브라우저를 열 수 없는 경우 로그인 프로세스를 수동으로 시작하라는 지침이 제공됩니다. 이 프로세스는 IAM Identity Center 세션을 현재 AWS CLI 세션과 연결합니다.

세션을 설정하면 에 사용 AWS 계정 가능한 가 AWS CLI 표시됩니다.

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (123456789011) 
  ProductionAccount, production-account-admin@example.com (123456789022)

화살표 키를 사용하여 를 선택합니다DeveloperAccount.

다음으로 에는 선택한 계정에서 사용할 수 있는 IAM 역할이 AWS CLI 표시됩니다.

Using the account ID 123456789011
There are 2 roles available to you.
> ReadOnly
  FullAccess

화살표 키를 사용하여 를 선택합니다FullAccess.

다음으로 는 프로필의 기본 출력 형식, 기본 AWS 리전, 이름을 지정하여 구성을 완료하라는 AWS CLI 메시지를 표시합니다.

CLI default client Region [None]: us-west-2 <ENTER>>
CLI default output format [None]: json <ENTER>
CLI profile name [123456789011_FullAccess]: my-dev-profile <ENTER>

에는 에서 명명된 프로파일을 사용하는 방법을 보여주는 최종 메시지가 AWS CLI 표시됩니다 AWS CLI.

To use this profile, specify the profile name using --profile, as shown:

aws s3 ls --profile my-dev-profile

이 단계를 완료하면 config 파일은 다음과 같습니다.

[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = fullAccess
region = us-west-2
output = json
			
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

이제 이 프로필sso-session과 이름이 지정된 프로필을 사용하여 보안 자격 증명을 요청할 수 있습니다.

2단계: AWS CLI 를 사용하여 보안 자격 증명 생성

이 단계에 대한 자세한 지침은 AWS Command Line Interface 사용 설명서의 라는 IAM 이름의 Identity Center 프로파일을 참조하세요.

명령을 사용하여 프로필에 AWS CLI aws sso login 대한 보안 자격 증명을 요청합니다.

$ aws sso login --profile my-dev-profile

는 기본 브라우저 AWS CLI 를 열고 IAM 로그인을 확인합니다. 현재 IAM Identity Center에 로그인하지 않은 경우 로그인 프로세스를 완료하라는 메시지가 표시됩니다. AWS CLI 가 브라우저를 열 수 없는 경우 권한 부여 프로세스를 수동으로 시작하라는 지침이 제공됩니다.

성공적으로 로그인하면 는 IAM Identity Center 세션 보안 인증을 AWS CLI 캐시합니다. 이러한 자격 증명에는 만료 타임스탬프가 포함됩니다. 만료되면 AWS CLI 는 IAM Identity Center에 다시 로그인하도록 요청합니다.

유효한 IAM Identity Center 자격 증명을 사용하여 는 프로필에 지정된 IAM 역할에 대한 AWS 자격 증명을 AWS CLI 안전하게 검색합니다. 여기에서 를 사용할 수 있습니다. AWS CDK CLI 보안 인증 정보를 사용합니다.

3단계: 사용 CDK CLI

와 함께 CDK CLI 명령의 경우 --profile 옵션을 사용하여 보안 인증 정보를 생성한 명명된 프로필을 지정합니다. 보안 인증 정보가 유효한 경우 CDK CLI 는 명령을 성공적으로 수행합니다. 다음은 그 예제입니다.

$ cdk diff --profile my-dev-profile
Stack CdkAppStack
Hold on while we create a read-only change set to get a diff with accurate replacement information (use --no-change-set to use a less accurate but faster template-only diff)
Resources
[-] AWS::S3::Bucket amzn-s3-demo-bucket amzn-s3-demo-bucket5AF9C99B destroy

Outputs
[-] Output BucketRegion: {"Value":{"Ref":"AWS::Region"}}


✨  Number of stacks with differences: 1

보안 인증이 만료되면 다음과 같은 오류 메시지가 표시됩니다.

$ cdk diff --profile my-dev-profile
Stack CdkAppStack

Unable to resolve AWS account to use. It must be either configured when you define your CDK Stack, or through the environment

자격 증명을 새로 고치려면 다음 명령을 사용합니다. AWS CLI aws sso login

$ aws sso login --profile my-dev-profile