IAM您的SDK或工具的身份中心身份验证 - AWS SDKs和工具
使用IAM身份中心配置编程访问权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM您的SDK或工具的身份中心身份验证

AWS IAM Identity Center 是在非AWS 计算服务上进行开发时推荐的提供 AWS 凭证的方法。例如,这将类似于您的本地开发环境。如果您正在使用诸如亚马逊弹性计算云 (AmazonEC2) 之类的 AWS 资源进行开发 AWS Cloud9,我们建议您改为从该服务获取证书。

在本教程中,您将建立 I IAM dentity Center 访问权限,并将使用 AWS 访问门户和,为您的SDK或工具配置访问权限 AWS CLI。

  • AWS 访问门户是您手动登录IAM身份中心的 Web 位置。的格式URL是d-xxxxxxxxxx.awsapps.com/startyour_subdomain.awsapps.com/start。登录 AWS 访问门户后,您可以查看 AWS 账户 已为该用户配置的角色。此过程使用 AWS 访问门户获取 SDK /tool 身份验证过程所需的配置值。

  • 用于将您的SDK或工具配置为对您的代码发出的API呼叫使用 IAM Identity Center 身份验证。 AWS CLI 此一次性过程会更新您的共享 AWS config文件,然后在您运行代码时由您的SDK或工具使用该文件。

使用IAM身份中心配置编程访问权限

步骤 1:建立访问权限并选择相应的权限集

如果您尚未启用 IAM Identity Center,请参阅AWS IAM Identity Center 用户指南中的启用IAM身份中心

选择以下方法之一来访问您的 AWS 证书。

  1. 按照用户指南中的使用默认 Identity C IAM enter 目录配置用户访问权限过程添加AWS IAM Identity Center 用户并添加管理权限。

  2. AdministratorAccess权限集不应用于常规开发。相反,我们建议使用预定义的PowerUserAccess权限集,除非您的雇主为此目的创建了自定义权限集。

    再次按照使用默认 Identity C IAM enter 目录配置用户访问权限的步骤进行操作,但这一次:

    • 与其创建Admin team群组,不如创建一个Dev team群组,然后将其替换为说明中。

    • 您可以使用现有用户,但必须将该用户添加到新Dev team组中。

    • 与其创建AdministratorAccess权限集,不如创建一个PowerUserAccess权限集,然后将其替换为说明中的权限集。

    完成后,你应该有以下几点:

    • 一个Dev team小组。

    • Dev team群组的附加PowerUserAccess权限集。

    • 您的用户已加入群Dev team组。

  3. 退出门户并再次登录以查看您的 AWS 账户 和Administrator或选项PowerUserAccessPowerUserAccess在使用您的工具时选择/ SDK。

AWS 通过身份提供商的门户网站登录。如果您的云管理员已授予您PowerUserAccess(开发者)权限,则您 AWS 账户 会看到您有权访问的权限和权限集。在您的权限集名称旁边,可以看到有关使用该权限集手动或以编程方式访问账户的选项。

自定义实现可能会产生不同的体验,例如不同的权限集名称。如果您不确定要使用哪个权限集,请联系 IT 团队以寻求帮助。

AWS 通过 AWS 访问门户登录。如果您的云管理员已授予您PowerUserAccess(开发者)权限,则您 AWS 账户 会看到您有权访问的权限和权限集。在您的权限集名称旁边,可以看到有关使用该权限集手动或以编程方式访问账户的选项。

请联系您的 IT 团队以寻求帮助。

步骤 2:配置SDKs和使用IAM身份中心的工具

  1. 在您的开发计算机上安装最新的 AWS CLI。

    1. 参阅 AWS Command Line Interface 用户指南中的安装或更新最新版本的 AWS CLI

    2. (可选)要验证是否 AWS CLI 正在运行,请打开命令提示符并运行该aws --version命令。

  2. 登录 AWS 访问门户。您的雇主可能会提供此信息,URL或者您可以按照第 1 步:建立访问权限通过电子邮件获得。如果没有,请在的控制面板URL上找到您的AWS 访问门户https://console.aws.amazon.com/singlesignon/

    1. 在 AWS 访问门户的账户选项卡中,选择要管理的个人账户。将显示您的用户的角色。选择访问密钥以获取命令行凭证或相应权限集的编程访问权限。使用预定义的 PowerUserAccess 权限集,或者您或您的雇主创建的任何权限集,以将最低权限应用于开发。

    2. 获取凭证对话框中,选择 MacOS 和 LinuxWindows,具体取决于您的操作系统。

    3. 选择 IAMIdentity Center 凭证方法以获取下一步所需的SSO Start URLSSO Region值。

  3. 在 AWS CLI 命令提示符下,运行该aws configure sso命令。出现提示时,输入在上一步中收集的配置值。有关此 AWS CLI 命令的详细信息,请参阅使用aws configure sso向导配置您的个人资料

    1. 对于CLI个人资料名称,我们建议输入 default 当你刚开始的时候。有关如何设置非默认(已命名)配置文件及其关联环境变量的信息,请参阅 配置文件

  4. (可选)在 AWS CLI 命令提示符下,通过运行aws sts get-caller-identity命令确认活动会话身份。响应应显示您配置的IAM身份中心权限集。

  5. 如果您使用的是 AWS SDK,请在您的开发环境SDK中为您创建一个应用程序。

    1. 对于某些人来说SDKs,在使用 Identity Center IAM 身份验证之前,SSOOIDC必须将其他软件包(例如SSO和)添加到您的应用程序中。有关详细信息,请参阅您的具体内容SDK。

    2. 如果您之前配置了对的访问权限 AWS,请查看您的共享 AWS credentials文件是否有任何访问权限AWS 访问密钥。由于凭证提供程序链优先顺序,在SDK或工具使用IAM身份中心凭证之前,您必须移除所有静态证书。

要深入了解SDKs和工具如何使用和使用此配置刷新凭据,请参阅了解 IAM Identity Center 身份验证

根据您配置的会话时长,您的访问权限最终将过期,并且SDK或工具将遇到身份验证错误。要在需要时再次刷新访问门户会话, AWS CLI 请使用运行aws sso login命令。

您可以延长 Ident IAM ity Center 访问门户会话持续时间和权限集会话持续时间。这会延长您在需要再次使用 AWS CLI手动登录之前运行代码的时间。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》中的以下主题:

有关所有 Ident IAM ity Center 提供商设置SDKs和工具的详细信息,请参阅本指南IAM身份中心凭证提供商中的。