获取IAM身份中心用户凭证 AWS CLI 或者 AWS SDKs - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

获取IAM身份中心用户凭证 AWS CLI 或者 AWS SDKs

你可以访问 AWS 通过使用,以编程方式提供服务 AWS Command Line Interface 或者 AWS 带有IAM身份中心用户凭证的软件开发套件 (SDKs)。本主题介绍如何在 Ident IAM ity Center 中为用户获取临时证书。

这些区域有: AWS 访问门户为 Id IAM entity Center 用户提供单点登录访问权限 AWS 账户 和云应用程序。登录后 AWS 以IAM身份中心用户身份访问门户,您可以获得临时证书。然后,您可以在中使用这些证书(也称为 Ident IAM ity Center 用户证书) AWS CLI 或者 AWS SDKs访问中的资源 AWS 账户.

如果你使用的是 AWS CLI 访问 AWS 通过编程方式,您可以使用本主题中的过程启动对服务的访问 AWS CLI。 有关信息 AWS CLI,请参阅 AWS Command Line Interface 用户指南

如果你使用的是 AWS SDKs访问 AWS 以编程方式提供服务,按照本主题中的步骤,还可以直接为服务建立身份验证 AWS SDKs。有关信息 AWS SDKs,请参阅 AWS SDKs和《工具参考指南》

注意

Ident IAM ity Center 中的用户与IAM用户不同。IAM向用户授予长期证书 AWS 资源的费用。Ident IAM ity Center 中的用户将获得临时证书。我们建议您使用临时凭证作为安全最佳实践来访问您的 AWS 账户 因为这些凭证是在您每次登录时生成的。

先决条件

要为您的 Ident IAM ity Center 用户获取临时证书,您需要具备以下条件:

  • IAM身份中心用户-您将登录 AWS 以此用户身份访问门户。您或您的管理员可能会创建此用户。有关如何启用IAM身份中心和创建IAM身份中心用户的信息,请参阅开始在 Ident IAM ity Center 中完成常见任务

  • 用户对的访问权限 AWS 账户— 要授予IAM身份中心用户检索其临时证书的权限,您或管理员必须为该IAM身份中心用户分配权限集。权限集存储在 Ident IAM ity Center 中,用于定义IAM身份中心用户对权限的访问级别 AWS 账户。 如果您的管理员为您创建了 IAM Identity Center 用户,请让他们为您添加此访问权限。有关更多信息,请参阅 将用户访问权限分配给 AWS 账户

  • AWS CLI 已安装 — 要使用临时证书,必须安装 AWS CLI。 有关说明,请参阅安装或更新最新版本的 AWS CLI中的 AWS CLI 用户指南

注意事项

在完成为 Ident IAM ity Center 用户获取临时证书的步骤之前,请记住以下注意事项:

  • IAMIdentity Center 创建IAM角色 — 当您将IAM身份中心中的用户分配给权限集时,Ident IAM ity Center 会根据该权限集创建相应的IAM角色。IAM权限集创建的角色与在中创建的IAM角色不同 AWS Identity and Access Management 通过以下方式:

    • IAMIdentity Center 拥有并保护由权限集创建的角色。只有 IAM Identity Center 可以修改这些角色。

    • 只有 Ident IAM ity Center 中的用户才能扮演与其分配的权限集相对应的角色。您不能将权限集访问权限分配给IAM用户、IAM联合用户或服务账户。

    • 您不能修改这些角色的角色信任策略以允许IAM身份中心以外的委托人进行访问。

    有关如何获取您在中创建的角色的临时证书的信息IAM,请参阅将临时安全证书与 AWS CLI中的 AWS Identity and Access Management 用户指南

  • 您可以为权限集设置会话持续时间 — 登录后 AWS 访问门户,您的 Ident IAM ity Center 用户所分配的权限集显示为可用角色。IAMIdentity Center 会为此角色创建单独的会话。此会话可能为 1 到 12 小时,具体取决于为权限集配置的会话持续时间。默认会话持续时间为一小时。有关更多信息,请参阅 将会话持续时间设置为 AWS 账户

获取和刷新临时凭证

您可以自动或手动获取和刷新 Ident IAM ity Center 用户的临时证书。

自动刷新凭证(推荐)

自动刷新凭据使用 Open ID Connect (OIDC) 设备代码授权标准。使用此方法,您可以使用中的aws configure sso命令直接启动访问 AWS CLI。 您可以使用此命令自动访问与您分配给的任何权限集关联的任何角色 AWS 账户.

要访问为您的 Ident IAM ity Center 用户创建的角色,aws configure sso请运行命令,然后授权 AWS CLI 从浏览器窗口。只要你有活跃的 AWS 访问门户会话, AWS CLI 自动检索临时证书并自动刷新证书。

有关更多信息,请参阅使用aws configure sso wizard中的配置您的个人资料 AWS Command Line Interface 用户指南

获取可自动刷新的临时凭证
  1. 登录 AWS 使用管理员URL提供的特定登录名访问门户。如果您创建了IAM身份中心用户, AWS 发送了一封包含您的登录URL信息的电子邮件邀请。有关更多信息,请参阅登录 AWS 访问中的门户 AWS 登录用户指南

  2. 在 “帐户” 选项卡中,找到 AWS 账户 您要从中检索凭证。当您选择帐户时,会显示与该帐户关联的帐户名称、帐户 ID 和电子邮件地址。

    注意

    如果你什么都没看见 AWS 账户列出后,很可能您尚未被分配到该账户的权限集。在这种情况下,请联系您的管理员并要求他们为您添加此访问权限。有关更多信息,请参阅 将用户访问权限分配给 AWS 账户

  3. 在账户名称下方,分配给您的 Ident IAM ity Center 用户的权限集显示为可用角色。例如,如果您的 Ident IAM ity Center 用户被分配到该帐户的PowerUserAccess权限集,则该角色将显示在 AWS 访问门户的身份为PowerUserAccess

  4. 根据角色名称旁边的选项,选择访问密钥或选择命令行或编程访问权限

  5. 在 “获取凭据” 对话框中,选择 macOS 和 LinuxWindows PowerShell,或者根据您安装的操作系统选择 AWS CLI.

  6. 下AWS IAM将显示身份中心凭证(推荐)、您的SSO Start URLSSO Region。配置启用IAM身份中心的配置文件和sso-session您的 Identity Center 配置文件都需要这些值 AWS CLI。 要完成此配置,请按照配置您的配置文件aws configure sso wizard中的说明进行操作 AWS Command Line Interface 用户指南

继续使用 AWS CLI 视您的需要而定 AWS 账户 直到证书过期。

手动凭证刷新

您可以使用手动刷新凭证方法来获取与特定权限集关联的角色的临时证书 AWS 账户。 为此,您需要复制并粘贴临时证书所需的命令。使用此方法,您必须手动刷新临时凭证。

你可以跑 AWS CLI 命令直到您的临时证书过期。

获取您手动刷新的凭证
  1. 登录 AWS 使用管理员URL提供的特定登录名访问门户。如果您创建了IAM身份中心用户, AWS 发送了一封包含您的登录URL信息的电子邮件邀请。有关更多信息,请参阅登录 AWS 访问中的门户 AWS 登录用户指南

  2. 在 “帐户” 选项卡中,找到 AWS 账户 您要从中检索访问凭证并将其展开以显示IAM角色名称(例如管理员)。根据IAM角色名称旁边的选项,选择访问密钥或选择命令行或编程访问权限

    注意

    如果你什么都没看见 AWS 账户列出后,很可能您尚未被分配到该账户的权限集。在这种情况下,请联系您的管理员并要求他们为您添加此访问权限。有关更多信息,请参阅 将用户访问权限分配给 AWS 账户

  3. 在 “获取凭据” 对话框中,选择 macOS 和 Linux PowerShellWindows,或者根据你安装的操作系统 AWS CLI.

  4. 选择以下任一选项:

    • 选项 1:设置 AWS 环境变量

      选择此选项可覆盖所有凭据设置,包括credentials文件和config文件中的任何设置。有关更多信息,请参阅用于配置的环境变量 AWS CLI中的 AWS CLI 用户指南

      要使用此选项,请将命令复制到剪贴板,然后将命令粘贴到剪贴板中 AWS CLI 终端窗口,然后按 Enter 键设置所需的环境变量。

    • 选项 2:将个人资料添加到您的 AWS 凭证文件

      选择此选项可使用不同的凭证集运行命令。

      要使用此选项,请将命令复制到剪贴板,然后将命令粘贴到共享文件中 AWS credentials文件来设置新的命名配置文件。有关更多信息,请参阅中的共享配置和凭据文件 AWS SDKs和《工具参考指南》。要使用此凭证,请在您的证书中指定该--profile选项 AWS CLI 命令。这会影响使用相同凭证文件的所有环境。

    • 选项 3:在你的值中使用单个值 AWS 服务客户端

      选择此选项进行访问 AWS 资源来自 AWS 服务客户端。有关更多信息,请参阅构建工具 AWS.

      要使用此选项,请将值复制到剪贴板,将值粘贴到代码中,然后将其分配给适合您的相应变量SDK。有关更多信息,请参阅您的特定文档SDKAPI。