本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS IAM Identity Center 是在非AWS 计算服务上开发 AWS 应用程序时推荐的提供 AWS 凭证的方法。例如,这将类似于您的本地开发环境。如果您正在使用诸如亚马逊弹性计算云 (Amazon EC2) 之类的 AWS 资源进行开发 AWS Cloud9,我们建议您改为从该服务获取证书。
在本教程中,您将建立 IAM Identity Center 访问权限,并将使用 AWS 访问门户和,为您的软件开发工具包或工具配置访问权限 AWS CLI。
-
AWS 访问门户是您手动登录 IAM 身份中心的网址。URL 的格式为
d-xxxxxxxxxx.awsapps.com/start或your_subdomain.awsapps.com/start -
AWS CLI 用于配置您的软件开发工具包或工具,使其对您的代码发出的 API 调用使用 IAM 身份中心身份验证。此一次性过程会更新您的共享 AWS
config文件,然后在您运行代码时由您的 SDK 或工具使用该文件。
先决条件
在开始此过程之前,您应该已完成以下操作:
-
如果您没有 AWS 账户,请注册 AWS 账户
. -
如果您尚未启用 IAM 身份中心,请按照AWS IAM Identity Center 用户指南中的说明启用 IAM 身份中心。
使用 IAM Identity Center 配置以编程方式访问权限
步骤 1:建立访问权限并选择相应的权限集
选择以下方法之一来访问您的 AWS 证书。
-
按照用户指南中的使用默认 IAM Identity Center 目录配置用户访问权限过程添加AWS IAM Identity Center 用户并添加管理权限。
-
AdministratorAccess权限集不应用于常规开发。相反,我们建议使用预定义的PowerUserAccess权限集,除非您的雇主为此目的创建了自定义权限集。再次按照使用默认 IAM Identity Center 目录配置用户访问权限的步骤进行操作,但这一次:
-
与其创建
Admin teamDev team -
您可以使用现有用户,但必须将该用户添加到新
Dev team -
与其创建
AdministratorAccessPowerUserAccess
完成后,你应该有以下几点:
-
一个
Dev team小组。 -
Dev team群组的附加PowerUserAccess权限集。 -
您的用户已加入群
Dev team组。
-
-
退出门户并再次登录以查看您的 AWS 账户 和
Administrator或选项PowerUserAccess。PowerUserAccess在使用您的工具/SDK 时选择。
AWS 通过身份提供商的门户网站登录。如果您的云管理员已授予您PowerUserAccess(开发者)权限,则您 AWS 账户 会看到您有权访问的权限和权限集。在您的权限集名称旁边,可以看到有关使用该权限集手动或以编程方式访问账户的选项。
自定义实现可能会产生不同的体验,例如不同的权限集名称。如果您不确定要使用哪个权限集,请联系 IT 团队以寻求帮助。
AWS 通过 AWS 访问门户登录。如果您的云管理员已向您授予 PowerUserAccess(开发人员)权限,您将看到您有权访问的 AWS 账户 和您的权限集。在您的权限集名称旁边,可以看到有关使用该权限集手动或以编程方式访问账户的选项。
请联系您的 IT 团队以寻求帮助。
步骤 2:配置 SDKs 和使用 IAM 身份中心的工具
-
在您的开发计算机上安装最新的 AWS CLI。
-
参阅 AWS Command Line Interface 用户指南中的安装或更新最新版本的 AWS CLI。
-
(可选)要验证是否 AWS CLI 正在运行,请打开命令提示符并运行该
aws --version命令。
-
-
登录 AWS 访问门户。您的雇主可能会提供此 URL,或者您可以按照步骤 1:建立访问权限通过电子邮件获得该 URL。如果没有,请在的控制面板上找到您的AWS 访问门户 URL https://console.aws.amazon.com/singlesignon/
。 -
在 AWS 访问门户的账户选项卡中,选择要管理的个人账户。将显示您的用户的角色。选择访问密钥以获取命令行凭证或相应权限集的编程访问权限。使用预定义的
PowerUserAccess权限集,或者您或您的雇主创建的任何权限集,以将最低权限应用于开发。 -
在获取凭证对话框中,选择 MacOS 和 Linux 或 Windows,具体取决于您的操作系统。
-
选择 IAM Identity Center 凭证方法以获取下一个步骤所需的
Issuer URL和SSO Region值。注意:SSO Start URL可以与互换使用。Issuer URL
-
-
在 AWS CLI 命令提示符下,运行
aws configure sso命令。出现提示时,输入在上一步中收集的配置值。有关此 AWS CLI 命令的详细信息,请参阅使用aws configure sso向导配置您的个人资料。-
对于提示
SSO Start URL,请输入您获得的值Issuer URL。 -
对于 CLI 配置文件名称,我们建议您在开始
default时输入。有关如何设置非默认(已命名)配置文件及其关联环境变量的信息,请参阅 配置文件。
-
-
(可选)在 AWS CLI 命令提示符下,通过运行
aws sts get-caller-identity命令确认活动会话身份。响应应显示您配置的 IAM Identity Center 权限集。 -
如果您使用的是 S AWS DK,请在您的开发环境中为 SDK 创建应用程序。
要深入了解 SDKs 和工具如何使用和使用此配置刷新凭据,请参阅如何解决 AWS SDKs 和工具的 IAM 身份中心身份验证问题。
要直接在共享config文件中配置 IAM 身份中心提供商设置,请参阅本指南IAM Identity Center 凭证提供者中的。
刷新门户访问会话
您的访问权限最终将过期,SDK 或工具将遇到身份验证错误。何时到期取决于您配置的会话时长。要在需要时再次刷新访问门户会话, AWS CLI 请使用运行aws sso login命令。
您可以延长 IAM Identity Center 访问门户会话持续时间和权限集会话持续时间。这会延长您在需要再次使用 AWS CLI手动登录之前运行代码的时间。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》中的以下主题:
-
IAM Identity Center 会话持续时间 – 配置用户 AWS 访问门户会话的持续时间
-
权限集会话持续时间 – 设置会话持续时间
