Tutorial: como usar o Centro de Identidade do IAM para executar comandos do Amazon S3 na AWS CLI - AWS Command Line Interface
Etapa 1: autenticação no Centro de Identidade do IAMEtapa 2: coletar as informações do Centro de Identidade do IAMEtapa 3: criar buckets do Amazon S3Etapa 4: instalar a AWS CLIEtapa 5: configurar seu perfil da AWS CLIEtapa 6: fazer login no Centro de Identidade do IAMEtapa 7: executar comandos do Amazon S3 Etapa 8: fazer logout do Centro de Identidade do IAMEtapa 9: limpar os recursosSolução de problemasRecursos adicionais

Tutorial: como usar o Centro de Identidade do IAM para executar comandos do Amazon S3 na AWS CLI

Este tópico descreve como configurar a AWS CLI para autenticar o usuário com o AWS IAM Identity Center (Centro de Identidade do IAM) e obter credenciais para executar comandos do AWS Command Line Interface (AWS CLI) no Amazon Simple Storage Service (Amazon S3).

Etapa 1: autenticação no Centro de Identidade do IAM

Obtenha acesso à autenticação SSO no Centro de Identidade do IAM. Escolha um dos métodos a seguir para acessar as credenciais da AWS.

Siga as instruções em Conceitos básicos no Guia do usuário do AWS IAM Identity Center. Esse processo ativa o Centro de Identidade do IAM, cria um usuário administrativo e adiciona um conjunto de permissões apropriado com privilégio mínimo.

nota

Criar um conjunto de permissões que aplica permissões de privilégio mínimo. Recomendamos usar o conjunto de permissões predefinido PowerUserAccess, a menos que seu empregador tenha criado um conjunto de permissões personalizado para essa finalidade.

Saia do portal e faça login novamente para ver as Contas da AWS, detalhes de acesso programático e as opções para Administrator ou PowerUserAccess. Selecione PowerUserAccess ao trabalhar com o SDK.

Faça login na AWS por meio do portal do seu provedor de identidade. Se o seu administrador de nuvem concedeu permissões PowerUserAccess (de desenvolvedor) a você, serão exibidas as Contas da AWS às quais você tem acesso e seu conjunto de permissões. Ao lado do nome do seu conjunto de permissões, você vê opções para acessar as contas manual ou programaticamente usando esse conjunto de permissões.

Implementações personalizadas podem resultar em experiências diferentes, como nomes de conjuntos de permissões diferentes. Se não tiver certeza sobre qual conjunto de permissões usar, entre em contato com a equipe de TI para obter ajuda.

Faça login na AWS pelo seu portal de acesso da AWS. Se o seu administrador de nuvem concedeu permissões PowerUserAccess (de desenvolvedor) a você, serão exibidas as Contas da AWS às quais você tem acesso e seu conjunto de permissões. Ao lado do nome do seu conjunto de permissões, você vê opções para acessar as contas manual ou programaticamente usando esse conjunto de permissões.

Entre em contato com a equipe de TI para obter ajuda.

Etapa 2: coletar as informações do Centro de Identidade do IAM

Após obter acesso à AWS, reúna as informações do Centro de Identidade do IAM fazendo o seguinte:

  1. Em seu portal de acesso da AWS, selecione o conjunto de permissões utilizado para desenvolvimento e escolha o link Chaves de acesso.

  2. Na caixa de diálogo Obter credenciais, escolha a guia que corresponde ao seu sistema operacional.

  3. Selecione o método Credenciais do Centro de Identidade do IAM para obter os valores SSO Start URL e SSO Region necessários para executar aws configure sso. Para obter informações sobre qual valor de escopo registrar, consulte Escopos de acesso do OAuth 2.0 no Guia do usuário do Centro de Identidade do IAM.

Etapa 3: criar buckets do Amazon S3

Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

Para este tutorial, crie alguns buckets para serem recuperados posteriormente em uma lista.

Etapa 4: instalar a AWS CLI

Instale a AWS CLI a seguir seguindo as instruções do seu sistema operacional. Para ter mais informações, consulte Instalar ou atualizar a versão mais recente da AWS CLI.

Depois de instalado, você pode verificar a instalação abrindo o terminal de sua preferência e executando o comando a seguir. Isso deve exibir sua versão instalada da AWS CLI. 

$ aws --version

Etapa 5: configurar seu perfil da AWS CLI

Configure o perfil usando um dos métodos a seguir

A seção do sso-session do arquivo config é usada para agrupar variáveis de configuração para adquirir tokens de acesso do SSO, que podem então ser usados para adquirir credenciais da AWS. As seguintes configurações são usadas:

Você define uma seção sso-session e a associa a um perfil. O sso_start_url e as configurações de sso_region e devem ser definidas na seção sso-session. Normalmente, sso_account_id e sso_role_name devem ser definidos na seção profile para que o SDK possa solicitar credenciais do SSO.

O exemplo a seguir configura o SDK para solicitar credenciais do SSO e é compatível com a atualização automática de tokens: 

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

A seção do sso-session do arquivo config é usada para agrupar variáveis de configuração para adquirir tokens de acesso do SSO, que podem então ser usados para adquirir credenciais da AWS. As seguintes configurações são usadas:

Defina uma seção de sso-session e associe-a a um perfil. sso_region e sso_start_url devem ser definidos na seção sso-session. Normalmente, sso_account_id e sso_role_name devem ser definidos na seção profile para que o SDK possa solicitar credenciais do SSO.

O exemplo a seguir configura o SDK para solicitar credenciais do SSO e é compatível com a atualização automática de tokens: 

[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

O token de autenticação é armazenado em cache no disco sob o diretório ~/.aws/sso/cache com um nome de arquivo baseado no nome da sessão.

Etapa 6: fazer login no Centro de Identidade do IAM

nota

O processo de login pode solicitar que você permita que a AWS CLI acesse seus dados. Como a AWS CLI é criada sobre o SDK para Python, as mensagens de permissão podem conter variações do nome botocore.

Para recuperar e armazenar em cache suas credenciais do Centro de Identidade do IAM, execute o comando a seguir para a AWS CLI para abrir seu navegador padrão e verificar seu login no Centro de Identidade do IAM.

$ aws sso login --profile my-dev-profile

Etapa 7: executar comandos do Amazon S3

Para listar os buckets que você criou anteriormente, use o comando aws s3 ls. O exemplo a seguir lista todos os seus buckets do Amazon S3.

$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2

Etapa 8: fazer logout do Centro de Identidade do IAM

Quando você terminar de usar seu perfil do Centro de Identidade do IAM, execute o comando a seguir para excluir suas credenciais em cache.

$ aws sso logout
Successfully signed out of all SSO profiles.

Etapa 9: limpar os recursos

Depois de concluir este tutorial, limpe todos os recursos que você criou durante este tutorial e que você não precisa mais, incluindo buckets do Amazon S3.

Solução de problemas

Se você encontrar problemas a usar a AWS CLI, consulte Solução de problemas da AWS CLI para obter as etapas comuns de solução de problemas.

Recursos adicionais

Os recursos adicionais são os seguintes.