Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
SDK-Authentifizierung mitAWS
Sie müssen festlegen, wie Ihr Code authentifiziert wirdAWS, wenn Sie mit entwickelnAWS-Services. Sie können den programmatischen Zugriff aufAWS Ressourcen je nach Umgebung und dem Ihnen zur Verfügung stehendenAWS Zugriff auf unterschiedliche Weise konfigurieren.
Informationen zur Auswahl Ihrer Authentifizierungsmethode und deren Konfiguration für das SDK finden Sie unter Authentifizierung und Zugriff im AWSSDKs and Tools Reference Guide.
Wir empfehlen neuen Benutzern, die sich vor Ort weiterentwickeln und von ihrem Arbeitgeber keine Authentifizierungsmethode erhalten, die EinrichtungAWS IAM Identity Center. Diese Methode beinhaltet die Installation von,AWS CLI um die Konfiguration zu vereinfachen und sich regelmäßig beimAWS Access-Portal anzumelden. Wenn Sie diese Methode wählen, sollte Ihre Umgebung die folgenden Elemente enthalten, nachdem Sie das Verfahren zur IAM Identity Center-Authentifizierung im AWSSDKs and Tools Reference Guide abgeschlossen haben:
-
DasAWS CLI, mit dem Sie eineAWS Access-Portal-Sitzung starten, bevor Sie Ihre Anwendung ausführen.
-
Eine gemeinsam genutzteAWS
config
Datei mit einem[default]
Profil mit einer Reihe von Konfigurationswerten, auf die vom SDK aus verwiesen werden kann. Den Speicherort dieser Datei finden Sie unter Speicherort der gemeinsam genutzten Dateien im AWSSDKs- und Tool-Referenzhandbuch. -
Die gemeinsam genutzte
config
Datei legt dieregion
Einstellung fest. Dies legt die StandardeinstellungAWS-Region fest, die das SDK fürAWS Anfragen verwendet. Diese Region wird für SDK-Serviceanfragen verwendet, für die keine zu verwendende Region angegeben ist. -
Das SDK verwendet die SSO-Token-Provider-Konfiguration des Profils, um Anmeldeinformationen abzurufen, bevor Anfragen an gesendetAWS werden. Der
sso_role_name
Wert, bei dem es sich um eine IAM-Rolle handelt, die mit einem IAM Identity Center-Berechtigungssatz verbunden ist, ermöglicht den Zugriff auf die in Ihrer AnwendungAWS-Services verwendeten.Die folgende
config
Beispieldatei zeigt ein Standardprofil, das mit der Konfiguration des SSO-Tokenanbieters eingerichtet wurde. Diesso_session
Profileinstellung bezieht sich auf den benanntensso-session
Abschnitt. Dersso-session
Abschnitt enthält Einstellungen zum Initiieren einerAWS Access-Portal-Sitzung.[default] sso_session = my-sso sso_account_id =
111122223333
sso_role_name =SampleRole
region = us-east-1 output = json [sso-session my-sso] sso_region = us-east-1 sso_start_url =https://provided-domain.awsapps.com/start
sso_registration_scopes = sso:account:access
Für dasAWS SDK for Ruby müssen Ihrer Anwendung keine zusätzlichen Pakete (wieSSO
undSSOOIDC
) hinzugefügt werden, um die IAM Identity Center-Authentifizierung verwenden zu können.
Starten Sie eineAWS Access-Portal-Sitzung
Bevor Sie eine zugreifende Anwendung ausführenAWS-Services, benötigen Sie eine aktiveAWS Access-Portalsitzung, damit das SDK die IAM Identity Center-Authentifizierung zur Auflösung von Anmeldeinformationen verwenden kann. Abhängig von Ihrer konfigurierten Sitzungslänge läuft Ihr Zugriff irgendwann ab und im SDK tritt ein Authentifizierungsfehler auf. Um sich beimAWS Access-Portal anzumelden, führen Sie den folgenden Befehl in der ausAWS CLI.
aws sso login
Wenn Sie die Anleitung befolgt haben und ein Standardprofil eingerichtet haben, müssen Sie den Befehl nicht mit einer--profile
Option aufrufen. Wenn Ihre SSO-Token-Provider-Konfiguration ein benanntes Profil verwendet, lautet der Befehlaws sso login --profile named-profile
.
Führen Sie den folgendenAWS CLI Befehl aus, um optional zu testen, ob Sie bereits eine aktive Sitzung haben.
aws sts get-caller-identity
Wenn Ihre Sitzung aktiv ist, werden in der Antwort auf diesen Befehl das IAM Identity Center-Konto und der in der gemeinsam genutztenconfig
Datei konfigurierte Berechtigungssatz gemeldet.
Anmerkung
Wenn Sie bereits eine aktiveAWS Access-Portalsitzung haben und diese ausführenaws sso
login
, müssen Sie keine Anmeldeinformationen angeben.
Während des Anmeldevorgangs werden Sie möglicherweise aufgefordert, derAWS CLI Zugriff auf Ihre Daten zu gewähren. DaAWS CLI die auf dem SDK für Python aufbaut, können Berechtigungsnachrichten Variationen desbotocore
Namens enthalten.
Weitere fizierungs
Menschliche Benutzer, auch bekannt als menschliche Identitäten, sind die Personen, Administratoren, Entwickler, Betreiber und Verbraucher Ihrer Anwendungen. Sie müssen eine Identität haben, um auf Ihre AWS-Umgebungen und Anwendungen zugreifen zu können. Menschliche Benutzer, die Mitglieder Ihrer Organisation sind — also Sie als Mitarbeiteridentitäten bezeichnet werden.
Verwenden Sie beim Zugriff temporäre AnmeldeinformationenAWS. Sie können einen Identitätsanbieter für Ihre menschlichen Benutzer verwenden, um einen Verbundzugriff auf AWS-Konten zu ermöglichen, indem Sie Rollen übernehmen, die temporäre Anmeldedaten bereitstellen. Für eine zentrale Zugriffsverwaltung empfehlen wir Ihnen die Verwendung vonAWS IAM Identity Center (IAM Identity Center), um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Weitere Informationen finden Sie unter:
-
Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.
-
Informationen zum Erstellen kurzfristigerAWS Anmeldeinformationen finden Sie unter Temporäre Sicherheitsanmeldeinformationen im IAM-Benutzerhandbuch.
-
Weitere Informationen zu anderenAWS SDK for Ruby Ruby-Anmeldeinformationsanbieter finden Sie unter Standardisierte Anmeldeinformationsanbieter im AWSSDKs and Tools Reference Guide.