As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como a autenticação do IAM Identity Center é resolvida AWS SDKs e as ferramentas
Termos relevantes do Centro de Identidade do IAM
Os termos a seguir ajudam você a entender o processo e a configuração por trás do AWS IAM Identity Center. A documentação do AWS SDK APIs usa nomes diferentes do IAM Identity Center para alguns desses conceitos de autenticação. É útil conhecer os dois nomes.
A tabela a seguir mostra como os nomes alternativos se relacionam.
| Nome do IAM Identity Center | Nome da API do SDK | Descrição |
|---|---|---|
| Identity Center | sso
|
Embora o AWS Single Sign-On tenha sido renomeado, os namespaces da sso API manterão seu nome original para fins de compatibilidade com versões anteriores. Para obter mais informações, consulte Renomear o IAM Identity Center no Guia do usuário do AWS IAM Identity Center . |
Console do IAM Identity Center Console administrativo |
O console que você usa para configurar o single sign-on. | |
| AWS URL do portal de acesso | Um URL exclusivo para sua conta do IAM Identity Center, como https://. Você faz login neste portal usando suas credenciais de login do IAM Identity Center. |
|
| Sessão do portal de acesso ao IAM Identity Center | Sessão de autenticação | Fornece um token de acesso do portador ao chamador. |
| Sessão de definição de permissões | A sessão do IAM que o SDK usa internamente para fazer as AWS service (Serviço da AWS) chamadas. Em discussões informais, você pode ver isso incorretamente chamado de “sessão de funções”. | |
| Credenciais do conjunto de permissões | AWS credenciais credenciais sigv4 |
As credenciais que o SDK realmente usa para a maioria das AWS service (Serviço da AWS) chamadas (especificamente, todas as chamadas sigv4 AWS service (Serviço da AWS) ). Em discussões informais, você pode ver isso incorretamente chamado de “credenciais de função”. |
| Provedor de credenciais do IAM Identity Center | Provedor de credenciais de SSO | Como você obtém as credenciais, como a classe ou o módulo que fornece a funcionalidade. |
Entenda a resolução de credenciais do SDK para Serviços da AWS
A API do IAM Identity Center troca as credenciais do token do portador por credenciais sigv4. A Serviços da AWS maioria é sigv4 APIs, com algumas exceções, como e. Amazon CodeWhisperer Amazon CodeCatalyst A seguir, descrevemos o processo de resolução de credenciais para dar suporte à maioria das AWS service (Serviço da AWS) chamadas para o código do seu aplicativo por meio AWS IAM Identity Center de.
Iniciar uma sessão do portal de AWS acesso
-
Inicie o processo entrando na sessão com suas credenciais.
-
Use o
aws sso logincomando no AWS Command Line Interface (AWS CLI). Isso inicia uma nova sessão do IAM Identity Center se você ainda não tiver uma sessão ativa.
-
-
Ao iniciar uma nova sessão, você recebe um token de atualização e um token de acesso do IAM Identity Center. Ele AWS CLI também atualiza um arquivo JSON de cache SSO com um novo token de acesso e token de atualização e o disponibiliza para uso por. SDKs
-
Se você já tiver uma sessão ativa, o AWS CLI comando reutilizará a sessão existente e expirará sempre que a sessão existente expirar. Para saber como definir a duração de uma sessão do IAM Identity Center, consulte Configurar a duração das sessões do portal de AWS acesso de seus usuários no Guia do AWS IAM Identity Center usuário.
-
A duração máxima da sessão foi estendida para 90 dias para reduzir a necessidade de logins frequentes.
-
Como o SDK obtém credenciais para chamadas AWS service (Serviço da AWS)
SDKs forneça acesso a Serviços da AWS quando você instancia um objeto cliente por serviço. Quando o perfil selecionado do AWS config arquivo compartilhado é configurado para resolução de credenciais do IAM Identity Center, o IAM Identity Center é usado para resolver as credenciais do seu aplicativo.
-
O processo de resolução de credenciais é concluído durante o runtime quando um cliente é criado.
Para recuperar credenciais para sigv4 APIs usando o login único do IAM Identity Center, o SDK usa o token de acesso do IAM Identity Center para obter uma sessão do IAM. Essa sessão do IAM é chamada de sessão de conjunto de permissões e fornece AWS acesso ao SDK assumindo uma função do IAM.
-
A duração da sessão do conjunto de permissões é definida independentemente da duração da sessão do IAM Identity Center.
-
Para saber como definir a duração da sessão do conjunto de permissões, consulte Definir a duração da sessão no Guia do usuário do AWS IAM Identity Center .
-
-
Lembre-se de que as credenciais do conjunto de permissões também são chamadas de credenciais e AWS credenciais sigv4 na maioria das documentações da API do SDK. AWS
As credenciais do conjunto de permissões são retornadas de uma chamada getRoleCredentialsda API do IAM Identity Center para o SDK. O objeto cliente do SDK usa essa função assumida do IAM para fazer chamadas para o AWS service (Serviço da AWS), como pedir ao Amazon S3 que liste os buckets em sua conta. O objeto cliente pode continuar operando usando essas credenciais do conjunto de permissões até que a sessão do conjunto de permissões expire.
Expiração e atualização da sessão
Ao usar o Configuração do provedor de token do SSO, o token de acesso por hora obtido do IAM Identity Center é atualizado automaticamente usando o token de atualização.
-
Se o token de acesso expirar quando o SDK tentar usá-lo, o SDK usará o token de atualização para tentar obter um novo token de acesso. O IAM Identity Center compara o token de atualização com a duração da sessão do portal de acesso do IAM Identity Center. Se o token de atualização não expirar, o IAM Identity Center responderá com outro token de acesso.
-
Esse token de acesso pode ser usado para atualizar a sessão do conjunto de permissões de clientes existentes ou para resolver credenciais para novos clientes.
No entanto, se a sessão do portal de acesso do IAM Identity Center expirar, nenhum novo token de acesso será concedido. Portanto, a duração do conjunto de permissões não pode ser renovada. Ele expirará (e o acesso será perdido) sempre que a duração da sessão definida em cache expirar para os clientes existentes.
Qualquer código que crie um novo cliente falhará na autenticação assim que a sessão do IAM Identity Center expirar. Isso ocorre porque as credenciais do conjunto de permissões não são armazenadas em cache. Seu código não conseguirá criar um novo cliente e concluir o processo de resolução de credenciais até que você tenha um token de acesso válido.
Para recapitular, quando o SDK precisa de novas credenciais de conjunto de permissões, ele primeiro verifica se há credenciais válidas existentes e as usa. Isso se aplica se as credenciais são para um novo cliente ou para um cliente existente com credenciais expiradas. Se as credenciais não forem encontradas ou não forem válidas, o SDK chama a API do IAM Identity Center para obter novas credenciais. Para chamar a API, ela precisa do token de acesso. Se o token de acesso expirar, o SDK usará o token de atualização para tentar obter um novo token de acesso a partir do seriço IAM Identity Center. Esse token é concedido se sua sessão do portal de acesso ao IAM Identity Center não tiver expirado.
