Autenticação do IAM Identity Center - AWS SDKse ferramentas
Configure o acesso programático usando o Centro de Identidade do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação do IAM Identity Center

AWS IAM Identity Center é o método recomendado de fornecer AWS credenciais ao desenvolver em um serviço não AWS computacional. Por exemplo, isso seria algo como seu ambiente de desenvolvimento local. Se você estiver desenvolvendo em um AWS recurso, como o Amazon Elastic Compute Cloud (Amazon EC2) AWS Cloud9 ou, recomendamos que você obtenha credenciais desse serviço.

Neste tutorial, você estabelece o acesso ao IAM Identity Center e o configura para seu SDK ou ferramenta usando o portal de AWS acesso e o. AWS CLI

  • O portal de AWS acesso é o local da web em que você faz login manualmente no IAM Identity Center. O formato da URL é d-xxxxxxxxxx.awsapps.com/start ou your_subdomain.awsapps.com/start. Quando conectado ao portal de AWS acesso, você pode visualizar Contas da AWS as funções que foram configuradas para esse usuário. Esse procedimento usa o portal de AWS acesso para obter os valores de configuração necessários para o processo de autenticação do SDK/ferramenta.

  • O AWS CLI é usado para configurar seu SDK ou ferramenta para usar a autenticação do IAM Identity Center para chamadas de API feitas pelo seu código. Esse processo único atualiza seu AWS config arquivo compartilhado, que é usado pelo SDK ou pela ferramenta quando você executa o código.

Configure o acesso programático usando o Centro de Identidade do IAM

Etapa 1: Estabelecer o acesso e selecionar o conjunto de permissões apropriado

Se você ainda não ativou o IAM Identity Center, consulte Habilitar o IAM Identity Center no Guia AWS IAM Identity Center do usuário.

Escolha um dos métodos a seguir para acessar suas AWS credenciais.

  1. Adicione um usuário e adicione permissões administrativas seguindo o procedimento Configurar o acesso do usuário com o diretório padrão do IAM Identity Center no Guia AWS IAM Identity Center do usuário.

  2. O conjunto de AdministratorAccess permissões não deve ser usado para desenvolvimento regular. Em vez disso, recomendamos usar o conjunto de PowerUserAccess permissões predefinido, a menos que seu empregador tenha criado um conjunto de permissões personalizado para essa finalidade.

    Siga o mesmo procedimento de configuração do acesso do usuário com o procedimento de diretório padrão do IAM Identity Center novamente, mas desta vez:

    • Em vez de criar o Admin team grupo, crie um Dev team grupo e substitua-o posteriormente nas instruções.

    • Você pode usar o usuário existente, mas o usuário deve ser adicionado ao novo Dev team grupo.

    • Em vez de criar o AdministratorAccess conjunto de PowerUserAccess permissões, crie um conjunto de permissões e substitua-o posteriormente nas instruções.

    Quando terminar, você deve ter o seguinte:

    • Um Dev team grupo.

    • Um conjunto de PowerUserAccess permissões anexado ao Dev team grupo.

    • Seu usuário foi adicionado ao Dev team grupo.

  3. Saia do portal e entre novamente para ver suas opções Contas da AWS e para Administrator ouPowerUserAccess. Selecione PowerUserAccess ao trabalhar com sua ferramenta/SDK.

Faça login AWS por meio do portal do seu provedor de identidade. Se o seu administrador de nuvem concedeu permissões a você PowerUserAccess (desenvolvedor), você vê o Contas da AWS que você tem acesso e seu conjunto de permissões. Ao lado do nome do seu conjunto de permissões, você vê opções para acessar as contas manual ou programaticamente usando esse conjunto de permissões.

Implementações personalizadas podem resultar em experiências diferentes, como nomes de conjuntos de permissões diferentes. Se não tiver certeza sobre qual conjunto de permissões usar, entre em contato com a equipe de TI para obter ajuda.

Faça login AWS por meio do portal de AWS acesso. Se o seu administrador de nuvem concedeu permissões a você PowerUserAccess (desenvolvedor), você vê o Contas da AWS que você tem acesso e seu conjunto de permissões. Ao lado do nome do seu conjunto de permissões, você vê opções para acessar as contas manual ou programaticamente usando esse conjunto de permissões.

Entre em contato com a equipe de TI para obter ajuda.

Etapa 2: configurar SDKs e ferramentas para usar o Centro de Identidade do IAM

  1. Em sua máquina de desenvolvimento, instale o mais recente AWS CLI.

    1. Consulte Instalar ou atualizar a versão mais recente da AWS CLI no Guia do usuário AWS Command Line Interface .

    2. (Opcional) Para verificar se o AWS CLI está funcionando, abra um prompt de comando e execute o aws --version comando.

  2. Faça login no portal de AWS acesso. Seu empregador pode fornecer esse URL ou você pode recebê-lo em um e-mail seguindo a Etapa 1: Estabelecer acesso. Caso contrário, encontre a URL do seu portal de AWS acesso no painel de controle de https://console.aws.amazon.com/singlesignon/.

    1. No portal de AWS acesso, na guia Contas, selecione a conta individual a ser gerenciada. As funções do seu usuário são exibidas. Escolha Teclas de acesso para obter credenciais de linha de comando ou acesso programático para o conjunto de permissões apropriado. Use o conjunto de permissões PowerUserAccess predefinido ou qualquer conjunto de permissões que você ou seu empregador tenha criado para aplicar as permissões de privilégios mínimos para desenvolvimento.

    2. Na caixa de diálogo Obter credenciais, selecione MacOS e Linux ou Windows, dependendo do sistema operacional.

    3. Selecione o método Credenciais IAM Identity Center para obter os valores SSO Start URL e SSO Region necessários para a próxima etapa.

  3. No prompt de AWS CLI comando, execute o aws configure sso comando. Quando solicitado, insira os valores de configuração que você coletou na etapa anterior. Para obter detalhes sobre esse AWS CLI comando, consulte Configurar seu perfil com o aws configure sso assistente.

    1. Para o nome do perfil CLI, recomendamos inserir o padrão ao começar. Para obter informações sobre como definir perfis não padrão (nomeados) e suas variáveis de ambiente associadas, consulte Perfis.

  4. (Opcional) No prompt de AWS CLI comando, confirme a identidade da sessão ativa executando o aws sts get-caller-identity comando. A resposta deve mostrar o conjunto de permissões do IAM Identity Center que você configurou.

  5. Se você estiver usando um AWS SDK, crie um aplicativo para seu SDK em seu ambiente de desenvolvimento.

    1. Para alguns SDKs, pacotes adicionais, como SSO e SSOOIDC devem ser adicionados ao seu aplicativo antes que você possa usar a autenticação do IAM Identity Center. Para obter detalhes, consulte seu SDK específico.

    2. Se você configurou anteriormente o acesso ao AWS, revise o AWS credentials arquivo compartilhado para verificar se há algumAWS chaves de acesso. Você deve remover todas as credenciais estáticas antes que o SDK ou a ferramenta usem as credenciais do IAM Identity Center devido à precedência. Cadeia de provedores de credenciais

Para saber mais sobre como os SDKs e as ferramentas usam e atualizam as credenciais usando essa configuração, consulte Entenda a autenticação do IAM Identity Center.

Dependendo da duração da sessão configurada, o seu acesso acabará expirando e o SDK ou ferramenta encontrarão um erro de autenticação. Para atualizar a sessão do portal de acesso novamente quando necessário, use o AWS CLI para executar o aws sso login comando.

Você pode estender a duração da sessão do portal de acesso do IAM Identity Center e a duração da sessão do conjunto de permissões. Isso aumenta a quantidade de tempo que você pode executar o código antes de precisar entrar manualmente novamente com o AWS CLI. Para obter mais informações, consulte os seguintes tópicos no Guia do usuário do AWS IAM Identity Center :

Para obter detalhes sobre todas as configurações do provedor do IAM Identity Center para SDKs e ferramentas, consulte este guia IAMProvedor de credenciais do Identity Center.