SDK-Authentifizierung mit AWS - AWS SDK for JavaScript

Das AWS SDK for JavaScript V3-API-Referenzhandbuch beschreibt im Detail alle API-Operationen für die AWS SDK for JavaScript Version 3 (V3).

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SDK-Authentifizierung mit AWS

Sie müssen bei der Entwicklung mit AWS-Services festlegen, wie sich Ihr Code bei AWS authentifiziert. Sie können den programmatischen Zugriff auf AWS Ressourcen je nach Umgebung und verfügbarem AWS Zugriff auf unterschiedliche Weise konfigurieren.

Informationen zur Auswahl Ihrer Authentifizierungsmethode und deren Konfiguration für das SDK finden Sie unter Authentifizierung und Zugriff im Referenzhandbuch für AWS SDKs und Tools.

Wir empfehlen neuen Benutzern, die sich lokal weiterentwickeln und von ihrem Arbeitgeber keine Authentifizierungsmethode zur Einrichtung AWS IAM Identity Center erhalten. Diese Methode beinhaltet die Installation von, AWS CLI um die Konfiguration zu vereinfachen und sich regelmäßig beim AWS Zugangsportal anzumelden. Wenn Sie sich für diese Methode entscheiden, sollte Ihre Umgebung die folgenden Elemente enthalten, nachdem Sie das Verfahren zur IAM Identity Center-Authentifizierung im Referenzhandbuch für AWS SDKs und Tools abgeschlossen haben:

  • Die AWS CLI, mit der Sie eine AWS-Zugriffsportalsitzung starten, bevor Sie Ihre Anwendung ausführen.

  • Eine gemeinsam genutzte AWSconfig Datei mit einem [default] Profil mit einer Reihe von Konfigurationswerten, auf die vom SDK aus verwiesen werden kann. Den Speicherort dieser Datei finden Sie unter Speicherort der freigegebenen Dateien im Referenzhandbuch für AWS SDKs und Tools.

  • Die gemeinsam genutzte config Datei legt die regionEinstellung fest. Dies legt die Standardeinstellung AWS-Region fest, die das SDK für AWS Anfragen verwendet. Diese Region wird für SDK-Dienstanforderungen verwendet, für die keine zu verwendende Region angegeben ist.

  • Das SDK verwendet die Konfiguration des SSO-Token-Anbieters des Profils, um Anmeldeinformationen abzurufen, bevor Anfragen an gesendet AWS werden. Der sso_role_name Wert, bei dem es sich um eine IAM-Rolle handelt, die mit einem IAM Identity Center-Berechtigungssatz verbunden ist, ermöglicht den Zugriff auf die in Ihrer AWS-Services Anwendung verwendeten.

    Die folgende config Beispieldatei zeigt ein Standardprofil, das mit der Konfiguration des SSO-Token-Anbieters eingerichtet wurde. Die sso_session Einstellung des Profils bezieht sich auf den benannten sso-sessionAbschnitt. Der sso-session-Abschnitt enthält Einstellungen zum Initiieren einer AWS-Zugriffsportalsitzung.

    [default] sso_session = my-sso sso_account_id = 111122223333 sso_role_name = SampleRole region = us-east-1 output = json [sso-session my-sso] sso_region = us-east-1 sso_start_url = https://provided-domain.awsapps.com/start sso_registration_scopes = sso:account:access

Für AWS SDK for JavaScript Version 3 müssen Ihrer Anwendung keine zusätzlichen Pakete (wie SSO undSSOOIDC) hinzugefügt werden, um die IAM Identity Center-Authentifizierung zu verwenden.

Einzelheiten zur expliziten Verwendung dieses Anmeldeinformationsanbieters finden Sie fromSSO()auf der npm-Website (Node.js package manager).

Starten einer AWS-Zugriffsportalsitzung

Bevor Sie eine Anwendung ausführen, die zugreiftAWS-Services, benötigen Sie eine aktive AWS Access-Portal-Sitzung, damit das SDK die IAM Identity Center-Authentifizierung zur Auflösung von Anmeldeinformationen verwenden kann. Abhängig von Ihrer konfigurierten Sitzungsdauer läuft Ihr Zugriff irgendwann ab und das SDK wird auf einen Authentifizierungsfehler stoßen. Führen Sie den folgenden Befehl in der AWS CLI aus, um sich beim AWS-Zugriffsportal anzumelden.

aws sso login

Wenn Sie die Anweisungen befolgt haben und ein Standardprofil eingerichtet haben, müssen Sie den Befehl nicht mit einer --profile Option aufrufen. Wenn die Konfiguration Ihres SSO-Token-Anbieters ein benanntes Profil verwendet, lautet der Befehl aws sso login --profile named-profile.

Führen Sie den folgenden AWS CLI Befehl aus, um optional zu testen, ob Sie bereits eine aktive Sitzung haben.

aws sts get-caller-identity

Wenn Ihre Sitzung aktiv ist, werden in der Antwort auf diesen Befehl das in der gemeinsam genutzten config Datei konfigurierte IAM Identity Center-Konto und der Berechtigungssatz gemeldet.

Anmerkung

Wenn Sie bereits über eine aktive AWS-Zugriffsportalsitzung verfügen und aws sso login ausführen, müssen Sie keine Anmeldeinformationen angeben.

Während des Anmeldevorgangs werden Sie möglicherweise aufgefordert, der AWS CLI Zugriff auf Ihre Daten zu gewähren. Da AWS CLI das auf dem SDK für Python aufbaut, können Berechtigungsnachrichten Variationen des botocore Namens enthalten.

Weitere Authentifizierungsinformationen

Menschliche Benutzer, auch bekannt als menschliche Identitäten, sind die Personen, Administratoren, Entwickler, Betreiber und Verbraucher Ihrer Anwendungen. Sie müssen eine Identität haben, um auf Ihre AWS-Umgebungen und Anwendungen zugreifen zu können. Menschliche Benutzer, die Mitglieder Ihres Unternehmens sind, also Sie, der Entwickler, werden als Personalidentitäten bezeichnet.

Verwenden Sie beim Zugriff AWS temporäre Anmeldeinformationen. Sie können einen Identitätsanbieter für Ihre menschlichen Benutzer verwenden, um einen Verbundzugriff auf AWS-Konten zu ermöglichen, indem Sie Rollen übernehmen, die temporäre Anmeldedaten bereitstellen. Für eine zentralisierte Zugriffsverwaltung empfehlen wir Ihnen, AWS IAM Identity Center (IAM Identity Center) zu verwenden, um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Weitere Alternativen finden Sie im Folgenden: