Obter credenciais de usuário do IAM Identity Center para os SDKs AWS CLI ou AWS. - AWS IAM Identity Center
Pré-requisitosConsideraçõesObtendo e atualizando credenciais temporárias

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Obter credenciais de usuário do IAM Identity Center para os SDKs AWS CLI ou AWS.

Você pode acessar os serviços AWS programaticamente usando o AWS Command Line Interface ou os kits de desenvolvimento de software (SDKs) AWS com credenciais de usuário do IAM Identity Center. Este tópico descreve como obter credenciais temporárias para um usuário no IAM Identity Center.

O portal de acesso da AWS fornece aos usuários do IAM Identity Center logon único a seus aplicativos e à nuvem Contas da AWS. Depois de entrar no portal de acesso da AWS como usuário do IAM Identity Center, você pode obter credenciais temporárias. Em seguida, você pode usar as credenciais, também conhecidas como credenciais de usuário do IAM Identity Center, no AWS CLI ou AWS SDKs para acessar recursos em um Conta da AWS.

Se você estiver usando o AWS CLI para acessar os serviços AWS de forma programática, você pode usar os procedimentos neste tópico para iniciar o acesso ao AWS CLI. Para obter informações sobre o AWS CLI, consulte o Guia do usuário do AWS Command Line Interface.

Se você estiver usando os SDKs AWS para acessar os serviços AWS de forma programática, seguir os procedimentos neste tópico também estabelecerá diretamente a autenticação dos SDKs AWS. Para obter informações sobre os SDKs AWS, consulte o Guia de referência de SDKs AWS e ferramentas.

nota

Os usuários do IAM Identity Center são diferentes dos usuários do IAM. Os usuários do IAM recebem credenciais de longo prazo para seus recursos da AWS. São concedidas credenciais temporárias aos usuários no IAM Identity Center. Recomendamos que você use credenciais temporárias como uma prática recomendada de segurança para acessar suas Contas da AWS, pois essas credenciais são geradas toda vez que você faz login.

Pré-requisitos

Para obter credenciais temporárias para seu usuário do IAM Identity Center, você precisará do seguinte:

  • Um usuário do IAM Identity Center — Você entrará no portal de acesso da AWS como esse usuário. Você ou seu administrador podem criar esse usuário. Para obter informações sobre como habilitar o IAM Identify Center e criar um usuário do IAM Identify Center, consulteIntrodução às tarefas comuns do IAM Identity Center.

  • Acesso de usuário a um Conta da AWS — Para conceder a um usuário do IAM Identity Center permissão para recuperar suas credenciais temporárias, você ou um administrador deve atribuir ao usuário do IAM Identity Center um conjunto de permissões. Os conjuntos de permissões são armazenados no IAM Identity Center e definem o nível de acesso que um usuário do IAM Identity Center tem a um Conta da AWS. Se seu administrador criou o usuário do IAM Identity Center para você, peça que ele adicione esse acesso para você. Para ter mais informações, consulte Atribuir acesso de usuário a Contas da AWS.

  • AWS CLI instalado — Para usar as credenciais temporárias, você deve instalar o AWS CLI. Para obter mais instruções, consulte Instalar ou atualizar a versão mais recente da AWS CLI no Guia do usuário do AWS CLI.

Considerações

Antes de concluir as etapas para obter credenciais temporárias para o usuário do IAM Identify Center, tenha em mente as seguintes considerações:

  • O IAM Identity Center cria funções do IAM — Quando você atribui um usuário no IAM Identity Center a um conjunto de permissões, o IAM Identity Center cria uma função do IAM correspondente a partir do conjunto de permissões. Os perfis do IAM criados por conjuntos de permissões diferem dos perfis do IAM criados em AWS Identity and Access Management das seguintes maneiras:

    • O IAM Identity Center possui e protege as funções criadas pelos conjuntos de permissões. Somente o IAM Identity Center pode modificar essas funções.

    • Somente usuários no IAM Identity Center podem assumir as funções que correspondem aos conjuntos de permissões designados. Você não pode atribuir acesso ao conjunto de permissões a usuários do IAM, usuários federados do IAM ou contas de serviço.

    • Você não pode modificar uma política de confiança de funções nessas funções para permitir acesso às entidades principais fora do IAM Identity Center.

    Para obter informações sobre como obter credenciais temporárias para uma função que você cria no IAM, consulte Como usar credenciais de segurança temporárias com o AWS CLI no Guia do usuário AWS Identity and Access Management.

  • Você pode definir a duração da sessão para os conjuntos de permissões — Depois de entrar no portal de acesso da AWS, o conjunto de permissões ao qual seu usuário do IAM Identity Center foi designado aparece como uma função disponível. O IAM Identity Center cria uma sessão separada para essa função. Essa sessão pode durar de uma a 12 horas, dependendo da duração da sessão configurada para o conjunto de permissões. Por padrão, a duração da sessão é de uma hora. Para ter mais informações, consulte Definir a duração da sessão para as Contas da AWS.

Obtendo e atualizando credenciais temporárias

Você pode obter e atualizar as credenciais temporárias do usuário do IAM Identity Center de forma automática ou manual.

Atualização automática de credenciais (recomendada)

A atualização automática de credenciais usa o padrão de autorização de código de dispositivo Open ID Connect (OIDC). Com esse método, você inicia o acesso diretamente usando o comando aws configure sso no AWS CLI. Você pode usar esse comando para acessar automaticamente qualquer perfil associado a qualquer conjunto de permissões atribuído a você para qualquer Conta da AWS.

Para acessar a função criada para o usuário do IAM Identity Center, execute o comando aws configure sso e, em seguida, autorize o AWS CLI em uma janela do navegador. Desde que você tenha uma sessão ativa do portal de acesso da AWS, o AWS CLI recupera automaticamente as credenciais temporárias e atualiza as credenciais automaticamente.

Para obter mais informações, consulte Configure your profile with the aws configure sso wizard no AWS Command Line Interface User Guide.

Para obter credenciais temporárias que são atualizadas automaticamente

  1. Entre no portal de acesso da AWS usando o URL de login específico fornecido pelo seu administrador. Se você criou o usuário do IAM Identify Center, AWS enviou um convite por e-mail que inclui o URL de login. Para obter informações sobre como acessar a página de login, consulte Sign in to the AWS access portal in the AWS Sign-In User Guide.

  2. Na guia Contas, localize a Conta da AWS da qual você deseja recuperar credenciais. Quando você escolhe a conta, o nome da conta, o ID da conta e o endereço de e-mail associados à conta aparecem.

    nota

    Se você não vê as Contas da AWS listadas, é provável que o usuário ainda não tenha sido designado a um conjunto de permissões para essa conta. Nesse caso, entre em contato com seu administrador e peça que ele adicione esse acesso para você. Para ter mais informações, consulte Atribuir acesso de usuário a Contas da AWS.

  3. Abaixo do nome da conta, o conjunto de permissões ao qual seu usuário do IAM Identity Center foi designado aparece como uma função disponível. Por exemplo, se o usuário do IAM Identity Center estiver designado ao conjunto de permissões PowerUserAccess para a conta, a função aparecerá no portal de acesso da AWS como PowerUserAccess.

  4. Dependendo da sua opção ao lado do nome do perfil, escolha Chaves de acesso ou Linha de comando ou acesso programático.

  5. Na caixa de diálogo Obter credenciais, escolha macOS e Linux, Windows ou PowerShell, dependendo do sistema operacional no qual você instalou o AWS CLI.

  6. Em Credenciais AWS do IAM Identity Center (Recomendado), seu SSO Start URL e SSO Region são exibidos. Esses valores são exigidos para configurar um perfil compatível com o IAM Identity Center e sso-session para a sua AWS CLI Para concluir essa configuração, siga as instruções em Configurar seu perfil com o aws configure sso wizard no Guia do usuário AWS Command Line Interface.

Continue usando a AWS CLI conforme necessário para sua Conta da AWS até que as credenciais expirem.

Atualização manual de credenciais

Você pode usar o método de atualização manual de credenciais para obter credenciais temporárias para um perfil associado a um conjunto de permissões específico, em uma Conta da AWS específica. Para fazer isso, você copia e cola os comandos necessários para as credenciais temporárias. Com esse método, você deve atualizar as credenciais temporárias manualmente.

Você pode executar comandos AWS CLI até que suas credenciais temporárias expirem.

Para obter credenciais que você atualiza manualmente

  1. Entre no portal de acesso da AWS usando o URL de login específico fornecido pelo seu administrador. Se você criou o usuário do IAM Identify Center, AWS enviou um convite por e-mail que inclui o URL de login. Para obter informações sobre como acessar a página de login, consulte Sign in to the AWS access portal in the AWS Sign-In User Guide.

  2. Na guia Contas, localize a Conta da AWS da qual você deseja recuperar as credenciais de acesso e a expanda para mostrar o nome do perfil do IAM (por exemplo, Administrador). Dependendo da opção ao lado do nome do perfil do IAM, escolha Chaves de acesso ou Linha de comando ou acesso programático.

    nota

    Se você não vê as Contas da AWS listadas, é provável que o usuário ainda não tenha sido designado a um conjunto de permissões para essa conta. Nesse caso, entre em contato com seu administrador e peça que ele adicione esse acesso para você. Para ter mais informações, consulte Atribuir acesso de usuário a Contas da AWS.

  3. Na caixa de diálogo Get credentials (Obter credenciais), MacOS e Linux, Windowsou PowerShell, dependendo do sistema operacional que você instalou na AWS CLI.

  4. Escolha uma das seguintes opções:

    • Opção 1: AWSdefinir variáveis de ambiente

      Escolha essa opção para substituir todas as configurações de credenciais, inclusive as configurações nos arquivos credentials e nos arquivos config. Para obter mais informações, consulte Variáveis de ambiente para configurar no AWS CLI no Guia do usuário AWS CLI.

      Para usar essa opção, copie os comandos na área de transferência, cole os comandos na janela do terminal AWS CLI e pressione Enter para definir as variáveis de ambiente necessárias.

    • Opção 2: adicionar manualmente um perfil ao arquivo de credenciais da AWS

      Escolha essa opção para executar comandos com diferentes conjuntos de credenciais.

      Para usar essa opção, copie os comandos na área de transferência e cole os comandos no arquivo compartilhado AWS credentials para configurar um novo perfil nomeado. Para obter mais informações, consulte Shared config and credentials files (“Arquivos compartilhados de configuração e de credenciais”) no Guia de referência de AWS SDKs e ferramentas. Para usar essa credencial, especifique a opção --profile em seu comando AWS CLI. Isso afeta todos os ambientes que usam o mesmo arquivo de credenciais.

    • Opção 3: use valores individuais em seu cliente de serviço AWS

      Escolha essa opção para acessar os recursos AWS de um cliente de serviço AWS. Para obter mais informações, consulte Ferramentas para criar na AWS.

      Para usar essa opção, copie os valores para sua área de transferência, cole os valores em seu código e atribua-os às variáveis apropriadas para seu SDK. Para obter mais informações, consulte a documentação específica para sua API do SDK.