本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
取得的IAM身分識別中心使用者認證 AWS CLI 或 AWS SDKs
您可以訪問 AWS 以程式設計方式使用 AWS Command Line Interface 或 AWS 軟體開發套件 (SDKs),含有IAM身分識別中心的使用者認證。本主題說明如何在IAM身分識別中心取得使用者的暫時認證。
所以此 AWS 存取入口網站提供IAM身分識別中心使用者的單一登入存取權 AWS 帳戶 和雲端應用程式。在您登入之後 AWS 以IAM身分識別中心使用者身分存取入口網站,您可以取得臨時認證。然後,您可以使用認證 (也稱為IAM身分識別中心使用者認證) AWS CLI 或 AWS SDKs訪問資源 AWS 帳戶.
如果您正在使用 AWS CLI 訪問 AWS 透過程式設計的方式,您可以使用本主題中的程序來啟動對 AWS CLI。 如需有關的資訊 AWS CLI,請參閱 AWS Command Line Interface 使用者指南。
如果您正在使用 AWS SDKs訪問 AWS 服務以程式設計方式,遵循本主題中的程序也會直接建立 AWS SDKs。如需有關的資訊 AWS SDKs,請參閱 AWS SDKs和工具參考指南。
注意
IAM身分識別中心中的使用者與IAM使用者不同。IAM將長期認證授與使用者 AWS 的費用。IAM身分識別中心的使用者會被授與臨時認證。我們建議您使用臨時登入資料作為存取您的安全性最佳作法 AWS 帳戶 因為每次登錄時都會生成這些憑據。
必要條件
若要取得IAM身分識別中心使用者的臨時登入資料,您需要下列項目:
-
身IAM分識別中心使用者 — 您將登入 AWS 以此使用者身分存取入口網站 您或您的管理員可能會建立此使用者。如需如何啟用IAM身分識別中心和建立身分識別中心使用者的相關資訊,請參閱Identity IAM Center 中的常見任務入門。IAM
-
使用者存取 AWS 帳戶— 若要授與 I IAM dentity Center 使用者擷取其臨時認證的權限,您或管理員必須將 IAM Identity Center 使用者指派給權限集。權限集儲存在IAM身分識別中心,並定義IAM身分識別中心使用者具有的存取層級 AWS 帳戶。 如果您的管理員為您建立了 IAM Identity Center 使用者,請他們為您新增此存取權。如需詳細資訊,請參閱將使用者存取權指派給 AWS 帳戶。
-
AWS CLI 已安裝 — 若要使用臨時認證,您必須安裝 AWS CLI。 如需指示,請參閱安裝或更新最新版本的 AWS CLI 中的 AWS CLI 使用者指南。
考量事項
在您完成取得 IAM Identity Center 使用者的臨時登入資料的步驟之前,請記住下列考量事項:
-
IAM身分識別中心建立IAM角色 — 當您將IAM身分識別中心中的使用者指派給權限集時,IAMIdentity Center 會從權限集建立對應的IAM角色。IAM權限集建立的角色與在中建立的IAM角色不同 AWS Identity and Access Management 通過以下幾種方式:
-
IAM身分識別中心擁有並保護權限集所建立的角色。只有IAM身分識別中心可以修改這些角色。
-
只有 IAM Identity Center 中的使用者可以擔任與其指派的權限集相對應的角色。您無法將權限集存取權指派給IAM使用者、IAM同盟使用者或服務帳戶。
-
您無法修改這些角色上的角色信任原則,以允許存取IAM身分識別中心以外的主體。
如需如何取得您在中建立之角色之臨時登入資料的詳細資訊IAM,請參閱使用臨時安全登入資料搭配 AWS CLI 中的 AWS Identity and Access Management 使用者指南。
-
-
您可以設定權限集的工作階段持續時間 — 在您登入 AWS 存取入口網站,您的IAM身分識別中心使用者所指派的權限集會顯示為可用角色。IAM身分識別中心會為此角色建立個別的工作階段。此工作階段可以從 1 到 12 小時,具體取決於為權限集配置的工作階段持續時間。預設的工作階段持續時間為一小時。如需詳細資訊,請參閱設定 的工作階段持續時間 AWS 帳戶。
取得並重新整理暫時認證
您可以自動或手動取得和重新整理身IAM分識別中心使用者的臨時登入資料。
自動認證重新整理 (建議)
自動認證重新整理使用 Open ID Connect (OIDC) 裝置代碼授權標準。使用此方法,您可以使用中的aws configure
sso命令直接啟動存取 AWS CLI。 您可以使用此命令自動存取與您為任何指派的任何權限集相關聯的任何角色 AWS 帳戶.
若要存取為您的IAM身分識別中心使用者建立的角色,請執行aws configure sso命令,然後授權 AWS CLI 從瀏覽器窗口。只要你有一個活躍 AWS 存取入口網站工作階段, AWS CLI 自動擷取暫時認證,並自動重新整理認證。
如需詳細資訊,請參閱 aws configure sso wizard AWS Command Line Interface 使用者指南。
取得自動重新整理的臨時登入資料
-
登入 AWS 使用系統管理員URL提供的特定登入來存取入口網站。如果您建立了IAM身分識別中心使用者, AWS 已傳送包含您登入資料的電子郵件邀請函URL。如需詳細資訊,請參閱登入 AWS 存取入口網站 AWS 登入使用者指南。
-
在 [帳戶] 索引標籤中,找出 AWS 帳戶 您要從中擷取認證。當您選擇帳戶時,會顯示與該帳戶相關聯的帳戶名稱、帳戶 ID 和電子郵件地址。
注意
如果你沒有看到任何 AWS 帳戶列出時,您可能尚未被指派給該帳戶的權限集。在此情況下,請聯絡您的系統管理員,並要求他們為您新增此存取權。如需詳細資訊,請參閱將使用者存取權指派給 AWS 帳戶。
-
在帳戶名稱下方,IAMIdentity Center 使用者所指派的權限集會顯示為可用角色。例如,如果您的 IAM Identity Center 使用者已指派給帳戶的PowerUserAccess權限集,則該角色會顯示在 AWS 訪問門戶網站為PowerUserAccess。
-
根據您在角色名稱旁邊的選項,選擇 [存取鍵] 或選擇 [命令列] 或 [程式設計存取]。
-
在「取得認證」對話方塊中,選擇 macOS 和 Linux、Windows,或者 PowerShell,視您所安裝的作業系統而定。 AWS CLI.
-
在 下AWS IAM身分識別中心認證 (建議使用),會顯示
SSO Region您的SSO Start URL和。需要這些值才能同時設定已啟用IAM身分識別中心的設定檔sso-session以及您的 AWS CLI。 若要完成此設定,請遵循中的 [設定您的設定檔]aws configure sso wizard中的指示 AWS Command Line Interface 使用者指南。
繼續使用 AWS CLI 根據需要為您 AWS 帳戶 直到憑據過期為止。
手動認證重新整
您可以使用手動認證重新整理方法,取得與特定權限集相關聯之角色的臨時認證 AWS 帳戶。 若要這麼做,請複製並貼上暫時認證所需的命令。使用此方法時,您必須手動重新整理暫時認證。
你可以跑 AWS CLI 命令,直到您的臨時憑據過期。
取得您手動重新整理的認證
-
登入 AWS 使用系統管理員URL提供的特定登入來存取入口網站。如果您建立了IAM身分識別中心使用者, AWS 已傳送包含您登入資料的電子郵件邀請函URL。如需詳細資訊,請參閱登入 AWS 存取入口網站 AWS 登入使用者指南。
-
在 [帳戶] 索引標籤中,找出 AWS 帳戶 您要從中擷取存取認證,並將其展開以顯示IAM角色名稱 (例如「管理員」)。根據您在IAM角色名稱旁邊的選項,選擇 [存取鍵] 或選擇 [命令列] 或 [程式設計存取]。
注意
如果你沒有看到任何 AWS 帳戶列出時,您可能尚未被指派給該帳戶的權限集。在此情況下,請聯絡您的系統管理員,並要求他們為您新增此存取權。如需詳細資訊,請參閱將使用者存取權指派給 AWS 帳戶。
-
在「取得認證」對話方塊中,選擇 MacOS 和 Linux、Windows PowerShell,或者,視您所安裝的作業系統而定。 AWS CLI.
-
選擇下列任一選項:
選項 1:設置 AWS 環境變數
選擇此選項可覆寫所有身份證明設定,包括
credentials檔案和config檔案中的任何設定。如需詳細資訊,請參閱環境變數以設定 AWS CLI 中的 AWS CLI 使用者指南。要使用此選項,請將命令複製到剪貼板,將命令粘貼到 AWS CLI 終端機視窗,然後按 Enter 鍵來設定所需的環境變數。
選項 2:新增設定檔至您的 AWS 認證檔
選擇此選項可使用不同的證明資料集執行命令。
若要使用此選項,請將指令複製到剪貼簿,然後將這些指令貼到您的共用指令 AWS
credentials用於設置新的具名配置文件的文件。如需詳細資訊,請參閱 AWS SDKs和工具參考指南。若要使用此認證,請在--profileAWS CLI 指令。這會影響使用相同認證檔案的所有環境。選項 3:在您的 AWS 客戶服務
選擇此選項以存取 AWS 資源 AWS 服務客戶端。如需詳細資訊,請參閱建置在其上的工具 AWS
. 若要使用此選項,請將值複製到剪貼簿,將值貼到程式碼中,然後將它們指派給您的SDK. 如需詳細資訊,請參閱您特定的文件SDKAPI。
