# Conceitos do Centro de Identidade do AWS IAM para a AWS CLI
<a name="cli-configure-sso-concepts"></a>

Este tópico descreve os principais conceitos do Centro de Identidade do AWS IAM (Centro de Identidade do IAM). O Centro de Identidade do IAM é um serviço do IAM baseado em nuvem que simplifica o gerenciamento de acesso de usuários em várias Contas da AWS, aplicações, SDKs e ferramentas por meio da integração com os provedores de identidade (IdP) existentes. Ele permite login único seguro, gerenciamento de permissões e auditoria por meio de um portal de usuário centralizado, simplificando a governança de identidade e acesso para organizações.

**Topics**
+ [O que é o Centro de identidade do IAM](#cli-configure-sso-concepts-what)
+ [Termos](#cli-configure-sso-terms)
+ [Como o Centro de Identidade do IAM funciona](#cli-configure-sso-concepts-process)
+ [Recursos adicionais](#cli-configure-sso-concepts-resources)

## O que é o Centro de identidade do IAM
<a name="cli-configure-sso-concepts-what"></a>

O Centro de Identidade do IAM é um serviço de gerenciamento de identidade e acesso (IAM) baseado na nuvem que permite gerenciar de forma centralizada o acesso a várias Contas da AWS e aplicações comerciais.

Ele fornece um portal de usuário onde usuários autorizados podem acessar as Contas da AWS e as aplicações para os quais receberam permissão, usando suas credenciais corporativas existentes. Isso permite que as organizações apliquem políticas de segurança consistentes e simplifiquem o gerenciamento do acesso dos usuários.

Independentemente do IdP que você usa, o IAM Identity Center abstrai essas distinções. Por exemplo, é possível conectar o Microsoft Azure AD conforme descrito no artigo de blog [The Next Evolution in IAM Identity Center](https://aws.amazon.com/blogs/aws/the-next-evolution-in-aws-single-sign-on/) (O que há de mais novo no IAM Identity Center).

**nota**  
Para obter informações sobre como usar o bearer auth, que não usa ID de conta e perfil, consulte [Configuração para usar a AWS CLI com o CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) no *Guia do usuário do Amazon CodeCatalyst*.

## Termos
<a name="cli-configure-sso-terms"></a>

Os termos comuns ao usar o Centro de Identidade do IAM são os seguintes:

**Provedor de identidade (IdP)**  
Um sistema de gerenciamento de identidade, como o Centro de Identidade do IAM, o Microsoft Azure AD, o Okta ou seu próprio serviço de diretório corporativo.

**Centro de Identidade do AWS IAM**  
O Centro de Identidade do IAM é o serviço de IdP de propriedade da AWS. Anteriormente conhecidos como AWS Single Sign-On, os SDKs e as ferramentas mantêm os namespaces da API da `sso` para compatibilidade com versões anteriores. Para obter mais informações, consulte [Renomear o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) no *Guia do usuário do Centro de Identidade do AWS IAM*.

**URL do Portal de acesso da AWS, URL inicial do SSO, URL inicial**  
O URL do Centro de Identidade do IAM exclusivo da sua organização para acessar serviços, recursos e Contas da AWS autorizados.

**URL do emissor**  
O URL do emissor do Centro de Identidade do IAM exclusivo da sua organização para acesso programático aos serviços, recursos e Contas da AWS autorizados. A partir da versão 2.22.0 da AWS CLI, o URL do emissor pode ser usado de forma intercambiável com o URL inicial.

**Federação**  
O processo de estabelecer a confiança entre o Centro de Identidade do IAM e um provedor de identidade para habilitar a autenticação única (SSO).

**Contas da AWS**  
As Contas da AWS às quais você fornece acesso aos usuários por meio da Centro de Identidade do AWS IAM.

**Conjuntos de permissões, credenciais da AWS, credenciais, credenciais sigv4**  
Coleções predefinidas de permissões que podem ser atribuídas a usuários ou grupos aos quais conceder acesso a Serviços da AWS.

**Escopos de registro, escopos de acesso, escopos**  
Os escopos são um mecanismo no OAuth 2.0 para limitar o acesso de uma aplicação à conta de um usuário. Uma aplicação pode solicitar um ou mais escopos, e o token de acesso emitido para a aplicação está limitado aos escopos concedidos. Consulte informações sobre escopos em [Access scopes](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) no *Guia do usuário do Centro de Identidade do IAM*.

**Tokens, token de atualização, token de acesso**  
Os tokens são credenciais de segurança temporárias que são emitidas para você após a autenticação. Esses tokens contêm informações sobre sua identidade e as permissões que você recebeu.  
Quando você acessa uma aplicação ou recurso da AWS por meio do portal do Centro de Identidade do IAM, seu token é apresentado para a AWS para autenticação e autorização. Isso permite que a AWS verifique sua identidade e garanta que você tenha as permissões necessárias para realizar as ações solicitadas.   
O token de autenticação é armazenado em cache no disco sob o diretório `~/.aws/sso/cache` com um nome de arquivo JSON baseado no nome da sessão.

**Sessão**  
Uma sessão do Centro de Identidade do IAM se refere ao período em que um usuário é autenticado e autorizado a acessar aplicações ou recursos da AWS. Quando um usuário faz login no portal do Centro de Identidade do IAM, uma sessão é estabelecida e o token do usuário é válido por um período especificado. Para obter mais informações sobre como configurar as durações da sessão, consulte [Configurar a duração da sessão](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.  
Durante a sessão, você pode navegar entre aplicações e contas da AWS diferentes sem precisar se autenticar novamente, desde que a sessão permaneça ativa. Quando a sessão expirar, entre novamente para renovar seu acesso.  
As sessões do Centro de Identidade do IAM ajudam a fornecer uma experiência de usuário perfeita, além de aplicar as melhores práticas de segurança ao limitar a validade das credenciais de acesso do usuário.

**Concessão de código de autorização com Proof Key for Code Exchange (PKCE)**  
A partir da versão 2.22.0, o Proof Key for Code Exchange (PKCE) é um fluxo de concessão de autenticação OAuth 2.0 para dispositivos com um navegador. O PKCE oferece uma maneira simples e segura para autenticar e obter consentimento para acessar seus recursos da AWS em desktops e dispositivos móveis com navegadores da web. Esse é o comportamento padrão de autorização. Consulte mais informações sobre o PKCE em [Authorization Code Grant with PKCE](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#auth-code-grant-pkce) no *Guia do usuário do Centro de Identidade do AWS IAM*.

**Concessão de autorização de dispositivo**  
Um fluxo de concessão de autenticação OAuth 2.0 para dispositivos com ou sem um navegador da web. Consulte mais informações sobre como definir a duração das sessões em [Device Authorization Grant](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#device-auth-grant) no *Guia do usuário do Centro de Identidade do AWS IAM*.

## Como o Centro de Identidade do IAM funciona
<a name="cli-configure-sso-concepts-process"></a>

O Centro de Identidade do IAM se integra ao provedor de identidade da sua organização, como o Centro de Identidade do IAM, o Microsoft Azure AD ou o Okta. Os usuários se autenticam nesse provedor de identidade e, em seguida, o Centro de Identidade do IAM mapeia essas identidades de acordo com as permissões e o acesso apropriados em seu ambiente da AWS.

O fluxo de trabalho do Centro de Identidade do IAM a seguir pressupõe que você já tenha configurado sua AWS CLI para usar o Centro de Identidade do IAM:

1. No terminal de sua preferência, execute o comando `aws sso login`.

1. Faça login no seu Portal de acesso da AWS para iniciar uma nova sessão. 
   + Ao iniciar uma nova sessão, você recebe um token de atualização e um token de acesso que está armazenado em cache.
   + Se você já tiver uma sessão ativa, a sessão existente será reutilizada e expirará sempre que a sessão existente expirar.

1. Com base no perfil que você configurou em seu arquivo `config`, o Centro de Identidade do IAM assume os conjuntos de permissões apropriados, concedendo acesso às Contas da AWS e aplicações relevantes. 

1. A AWS CLI, os SDKs e as ferramentas usam seu perfil assumido do IAM para fazer chamadas para os Serviços da AWS, Para criar buckets do Amazon S3, até que a sessão expire.

1. O token de acesso do Centro de Identidade do IAM é atualizado automaticamente a cada hora usando o token de atualização.
   + Se o token de acesso expirar, o SDK ou a ferramenta usará o token de atualização para tentar obter um novo token de acesso. As durações das sessões desses tokens são então comparadas e, se o token de atualização não expirar, o Centro de Identidade do IAM fornecerá um novo token de acesso.
   + Se o token de atualização tiver expirado, nenhum novo token de acesso será fornecido e sua sessão será encerrada.

1. As sessões terminam após a expiração dos tokens de atualização ou quando você se desconecta manualmente usando o comando `aws sso logout`. As credenciais armazenadas em cache são removidas. Para continuar acessando os serviços usando o Centro de Identidade do IAM, você deve iniciar uma nova sessão usando o comando `aws sso login`.

## Recursos adicionais
<a name="cli-configure-sso-concepts-resources"></a>

Os recursos adicionais são os seguintes.
+ [Definição da autenticação do Centro de Identidade do IAM com a AWS CLI](cli-configure-sso.md)
+ [Tutorial: como usar o Centro de Identidade do IAM para executar comandos do Amazon S3 na AWS CLI](cli-configure-sso-tutorial.md)
+ [Instalar ou atualizar a versão mais recente da AWS CLI](getting-started-install.md)
+ [Configurações do arquivo de configuração e credenciais na AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) na *Referência da AWS CLI versão 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) na *Referência da AWS CLI versão 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) na *Referência da AWS CLI versão 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) na *Referência da AWS CLI versão 2*
+ [Configuração para usar a AWS CLI com o CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) no *Guia do usuário do Amazon CodeCatalyst*
+ [Renomeação do Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) no *Guia do usuário do Centro de Identidade do AWS IAM*
+ [Escopos de acesso do OAuth 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) no *Guia do usuário do Centro de Identidade do IAM*
+ [Definir a duração da sessão](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) no *Guia do usuário do Centro de Identidade do AWS IAM*
+ [Tutoriais de conceitos básicos](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) no *Guia do usuário do Centro de Identidade do IAM*