Authentifizierung von IAM Identity Center

AWS IAM Identity Center ist die empfohlene Methode zur Bereitstellung von AWS Anmeldeinformationen bei der Entwicklung auf einem Dienst ohne AWS Rechenleistung. Das wäre zum Beispiel so etwas wie Ihre lokale Entwicklungsumgebung. Wenn Sie auf einer AWS Ressource wie Amazon Elastic Compute Cloud (Amazon EC2) oder entwickeln, empfehlen wir AWS Cloud9, stattdessen Anmeldeinformationen von diesem Service zu beziehen.

In diesem Tutorial richten Sie den Zugriff auf das IAM Identity Center ein und konfigurieren ihn für Ihr SDK oder Tool mithilfe des AWS Zugriffsportals und des. AWS CLI

• Das AWS Zugriffsportal ist die Webadresse, über die Sie sich manuell beim IAM Identity Center anmelden. Das Format der URL ist d-xxxxxxxxxx.awsapps.com/start oderyour_subdomain.awsapps.com/start. Wenn Sie im AWS Access Portal angemeldet sind, können Sie die Rollen einsehen AWS-Konten , die für diesen Benutzer konfiguriert wurden. Dieses Verfahren verwendet das AWS Zugriffsportal, um Konfigurationswerte abzurufen, die Sie für den SDK/Tool-Authentifizierungsprozess benötigen.

• Das AWS CLI wird verwendet, um Ihr SDK oder Tool so zu konfigurieren, dass es die IAM Identity Center-Authentifizierung für API-Aufrufe verwendet, die über Ihren Code getätigt werden. Dieser einmalige Vorgang aktualisiert Ihre gemeinsam genutzte AWS config Datei, die dann von Ihrem SDK oder Tool verwendet wird, wenn Sie Ihren Code ausführen.

Konfigurieren Sie den programmatischen Zugriff mithilfe von IAM Identity Center

Schritt 1: Richten Sie den Zugriff ein und wählen Sie den entsprechenden Berechtigungssatz aus

Wenn Sie IAM Identity Center noch nicht aktiviert haben, finden Sie weitere Informationen unter Aktivieren von IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.

Wählen Sie eine der folgenden Methoden, um auf Ihre AWS Anmeldeinformationen zuzugreifen.

Ich habe keinen Zugriff über IAM Identity Center eingerichtet

1. Fügen Sie einen Benutzer hinzu und fügen Sie Administratorberechtigungen hinzu, indem Sie das Verfahren Benutzerzugriff mit dem standardmäßigen IAM Identity Center-Verzeichnis konfigurieren im AWS IAM Identity Center Benutzerhandbuch befolgen.

2. Der AdministratorAccess Berechtigungssatz sollte nicht für die reguläre Entwicklung verwendet werden. Stattdessen empfehlen wir, den vordefinierten PowerUserAccess Berechtigungssatz zu verwenden, es sei denn, Ihr Arbeitgeber hat zu diesem Zweck einen benutzerdefinierten Berechtigungssatz erstellt.

   Gehen Sie erneut wie beim Konfigurieren des Benutzerzugriffs mit dem standardmäßigen IAM Identity Center-Verzeichnis vor, diesmal jedoch:

   • Anstatt die Admin team Gruppe zu erstellen, erstellen Sie eine Dev team Gruppe und ersetzen Sie diese anschließend in den Anweisungen.

   • Sie können den vorhandenen Benutzer verwenden, der Benutzer muss jedoch der neuen Dev team Gruppe hinzugefügt werden.

   • Anstatt den AdministratorAccess Berechtigungssatz zu erstellen, erstellen Sie einen PowerUserAccess Berechtigungssatz und ersetzen Sie ihn anschließend in der Anleitung.

   Wenn Sie fertig sind, sollten Sie über Folgendes verfügen:

   • Eine Dev team Gruppe.

   • Ein PowerUserAccess angehängter Berechtigungssatz für die Dev team Gruppe.

   • Ihr Benutzer wurde der Dev team Gruppe hinzugefügt.

3. Verlassen Sie das Portal und melden Sie sich erneut an, um Ihre Optionen AWS-Konten und Optionen für Administrator oder zu sehenPowerUserAccess. Wählen Sie diese OptionPowerUserAccess, wenn Sie mit Ihrem Tool/SDK arbeiten.

Ich habe bereits AWS über einen von meinem Arbeitgeber verwalteten Federated Identity Provider (wie Microsoft Entra oder Okta) Zugriff darauf

Melden Sie sich AWS über das Portal Ihres Identitätsanbieters an. Wenn Ihr Cloud-Administrator Ihnen PowerUserAccess (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.

Benutzerdefinierte Implementierungen können zu unterschiedlichen Erfahrungen führen, z. B. zu unterschiedlichen Namen von Berechtigungssätzen. Wenn Sie sich nicht sicher sind, welchen Berechtigungssatz Sie verwenden sollen, wenden Sie sich an Ihr IT-Team.

Ich habe bereits AWS über das von meinem Arbeitgeber verwaltete AWS Zugriffsportal Zugriff darauf

Melden Sie sich AWS über das AWS Zugangsportal an. Wenn Ihr Cloud-Administrator Ihnen PowerUserAccess (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.

Ich habe bereits AWS über einen föderierten Anbieter für benutzerdefinierte Identitäten, der von meinem Arbeitgeber verwaltet wird, Zugriff darauf

Wenden Sie sich an Ihr IT-Team, um Hilfe zu erhalten.

Schritt 2: Konfigurieren Sie SDKs und Tools für die Verwendung von IAM Identity Center

1. Installieren Sie auf Ihrem Entwicklungscomputer die neueste Version. AWS CLI

   1. Weitere Informationen finden Sie im AWS Command Line Interface Benutzerhandbuch unter Installation oder Aktualisierung AWS CLI der neuesten Version von.

   2. (Optional) Um zu überprüfen, ob der AWS CLI funktioniert, öffnen Sie eine Befehlszeile und führen Sie den aws --version Befehl aus.

2. Melden Sie sich beim AWS Access Portal an. Ihr Arbeitgeber kann diese URL angeben oder Sie erhalten sie in einer E-Mail nach Schritt 1: Zugriff einrichten. Wenn nicht, finden Sie die URL Ihres AWS Zugangsportals im Dashboard von https://console.aws.amazon.com/singlesignon/.

   1. Wählen Sie im AWS Zugriffsportal auf der Registerkarte Konten das einzelne Konto aus, das Sie verwalten möchten. Die Rollen für Ihren Benutzer werden angezeigt. Wählen Sie Zugriffstasten, um Anmeldeinformationen für den Befehlszeilen- oder programmgesteuerten Zugriff für den entsprechenden Berechtigungssatz zu erhalten. Verwenden Sie den vordefinierten PowerUserAccess Berechtigungssatz oder einen beliebigen Berechtigungssatz, den Sie oder Ihr Arbeitgeber erstellt haben, um Berechtigungen mit den geringsten Rechten für die Entwicklung anzuwenden.

   2. Wählen Sie im Dialogfeld Anmeldeinformationen abrufen entweder MacOS und Linux oder Windows aus (je nach dem Betriebssystem.

   3. Wählen Sie die IAM Identity Center-Anmeldeinformationsmethode, um die SSO Region Werte SSO Start URL und Werte zu erhalten, die Sie für den nächsten Schritt benötigen.

3. Führen AWS CLI Sie den Befehl in der aws configure sso Befehlszeile aus. Wenn Sie dazu aufgefordert werden, geben Sie die Konfigurationswerte ein, die Sie im vorherigen Schritt gesammelt haben. Einzelheiten zu diesem AWS CLI Befehl finden Sie unter Konfigurieren Ihres Profils mit dem aws configure sso Assistenten.

   1. Für den CLI-Profilnamen empfehlen wir, zu Beginn die Standardeinstellung einzugeben. Informationen darüber, wie Sie nicht standardmäßige (benannte) Profile und die zugehörige Umgebungsvariable einrichten, finden Sie unterProfile.

4. (Optional) Bestätigen Sie in der AWS CLI Befehlszeile die Identität der aktiven Sitzung, indem Sie den aws sts get-caller-identity Befehl ausführen. In der Antwort sollte der von Ihnen konfigurierte IAM Identity Center-Berechtigungssatz angezeigt werden.

5. Wenn Sie ein AWS SDK verwenden, erstellen Sie eine Anwendung für Ihr SDK in Ihrer Entwicklungsumgebung.

   1. Bei einigen SDKs SSOOIDC müssen zusätzliche Pakete wie SSO und zu Ihrer Anwendung hinzugefügt werden, bevor Sie die IAM Identity Center-Authentifizierung verwenden können. Einzelheiten finden Sie in Ihrem spezifischen SDK.

   2. Wenn Sie den Zugriff auf zuvor konfiguriert haben AWS, überprüfen Sie Ihre geteilte AWS credentials Datei auf etwaigeAWS Zugriffstasten. Aufgrund der Kette von Anbietern von Anmeldeinformationen Rangfolge müssen Sie alle statischen Anmeldeinformationen entfernen, bevor das SDK oder das Tool die IAM Identity Center-Anmeldeinformationen verwendet.

Ausführliche Informationen darüber, wie die SDKs und Tools Anmeldeinformationen mithilfe dieser Konfiguration verwenden und aktualisieren, finden Sie unter. Verstehen Sie die IAM Identity Center-Authentifizierung

Abhängig von der Länge Ihrer konfigurierten Sitzung läuft Ihr Zugriff irgendwann ab und beim SDK oder Tool tritt ein Authentifizierungsfehler auf. Um die Access-Portal-Sitzung bei Bedarf erneut zu aktualisieren, verwenden Sie den, AWS CLI um den aws sso login Befehl auszuführen.

Sie können sowohl die Sitzungsdauer des IAM Identity Center-Zugriffsportals als auch die Sitzungsdauer des Berechtigungssatzes verlängern. Dadurch verlängert sich die Zeit, in der Sie Code ausführen können, bevor Sie sich erneut manuell mit dem anmelden müssen. AWS CLI Weitere Informationen finden Sie in folgenden Themen im AWS IAM Identity Center -Benutzerhandbuch:

• Dauer der IAM Identity Center-Sitzung — Konfigurieren Sie die Dauer der AWS Zugriffsportalsitzungen Ihrer Benutzer

• Sitzungsdauer mit Zugriffsrechten — Legen Sie die Sitzungsdauer fest

Einzelheiten zu allen IAM Identity Center-Anbietereinstellungen für SDKs und Tools finden Sie IAM Identity Center-Anmeldeinformationsanbieter in diesem Handbuch.