Abrufen der IAM Identity Center-Benutzeranmeldedaten für die AWS CLI oder SDKs AWS - AWS IAM Identity Center
VoraussetzungenÜberlegungenTemporäre Anmeldeinformationen abrufen und aktualisieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Abrufen der IAM Identity Center-Benutzeranmeldedaten für die AWS CLI oder SDKs AWS

Sie können programmgesteuert auf AWS Dienste zugreifen, indem Sie die AWS Command Line Interface oder AWS Software Development Kits (SDKs) mit Benutzeranmeldedaten von IAM Identity Center verwenden. In diesem Thema wird beschrieben, wie Sie temporäre Anmeldeinformationen für einen Benutzer in IAM Identity Center abrufen.

Das AWS Zugriffsportal bietet Benutzern von IAM Identity Center mit einmaliger Anmeldung Zugriff auf ihre AWS-Konten und Cloud-Anwendungen. Nachdem Sie sich als IAM Identity Center-Benutzer beim AWS Zugriffsportal angemeldet haben, können Sie temporäre Anmeldeinformationen erhalten. Sie können dann die Anmeldeinformationen, die auch als IAM Identity Center-Benutzeranmeldedaten bezeichnet werden, in den AWS CLI oder AWS SDKs verwenden, um auf Ressourcen in einem zuzugreifen. AWS-Konto

Wenn Sie den für den programmgesteuerten AWS CLI Zugriff auf AWS Dienste verwenden, können Sie die Verfahren in diesem Thema verwenden, um den Zugriff auf die zu initiieren. AWS CLI Informationen zu den AWS CLI finden Sie im AWS Command Line Interface Benutzerhandbuch.

Wenn Sie die AWS SDKs für den programmgesteuerten Zugriff auf AWS Dienste verwenden, wird durch das Befolgen der Verfahren in diesem Thema auch direkt die Authentifizierung für die SDKs eingerichtet. AWS Informationen zu den SDKs finden Sie im AWS Referenzhandbuch zu AWS SDKs und Tools.

Anmerkung

Benutzer in IAM Identity Center unterscheiden sich von IAM-Benutzern. IAM-Benutzern werden langfristige Anmeldeinformationen für Ressourcen gewährt. AWS Benutzern im IAM Identity Center werden temporäre Anmeldeinformationen gewährt. Wir empfehlen Ihnen, temporäre Anmeldeinformationen als bewährte Sicherheitsmethode für den Zugriff auf Ihre zu verwenden AWS-Konten , da diese Anmeldeinformationen bei jeder Anmeldung generiert werden.

Voraussetzungen

Um temporäre Anmeldeinformationen für Ihren IAM Identity Center-Benutzer zu erhalten, benötigen Sie Folgendes:

Überlegungen

Bevor Sie die Schritte zum Abrufen temporärer Anmeldeinformationen für Ihren IAM Identity Center-Benutzer ausführen, sollten Sie die folgenden Überlegungen berücksichtigen:

  • IAM Identity Center erstellt IAM-Rollen — Wenn Sie einen Benutzer in IAM Identity Center einem Berechtigungssatz zuweisen, erstellt IAM Identity Center aus dem Berechtigungssatz eine entsprechende IAM-Rolle. Durch Berechtigungssätze erstellte IAM-Rollen unterscheiden sich von IAM-Rollen, die auf folgende Weise erstellt wurden: AWS Identity and Access Management

    • IAM Identity Center besitzt und schützt die Rollen, die durch Berechtigungssätze erstellt wurden. Nur IAM Identity Center kann diese Rollen ändern.

    • Nur Benutzer in IAM Identity Center können die Rollen übernehmen, die ihren zugewiesenen Berechtigungssätzen entsprechen. Sie können IAM-Benutzern, IAM-Verbundbenutzern oder Dienstkonten keinen Zugriff auf Berechtigungssätze zuweisen.

    • Sie können eine Rollenvertrauensrichtlinie für diese Rollen nicht ändern, um den Zugriff auf Prinzipale außerhalb von IAM Identity Center zu ermöglichen.

    Informationen zum Abrufen temporärer Anmeldeinformationen für eine Rolle, die Sie in IAM erstellen, finden Sie unter Verwenden temporärer Sicherheitsanmeldedaten mit dem AWS CLIAWS Identity and Access Management im Benutzerhandbuch.

  • Sie können die Sitzungsdauer für Berechtigungssätze festlegen. Nachdem Sie sich beim AWS Access Portal angemeldet haben, wird der Berechtigungssatz, dem Ihr IAM Identity Center-Benutzer zugewiesen ist, als verfügbare Rolle angezeigt. IAM Identity Center erstellt eine separate Sitzung für diese Rolle. Diese Sitzung kann je nach der für den Berechtigungssatz konfigurierten Sitzungsdauer zwischen einer und 12 Stunden dauern. Die Standardsitzungsdauer beträgt eine Stunde. Weitere Informationen finden Sie unter Legen Sie die Sitzungsdauer fest.

Temporäre Anmeldeinformationen abrufen und aktualisieren

Sie können temporäre Anmeldeinformationen für Ihren IAM Identity Center-Benutzer automatisch oder manuell abrufen und aktualisieren.

Automatische Aktualisierung der Anmeldeinformationen (empfohlen)

Die automatische Aktualisierung der Anmeldeinformationen verwendet den Gerätecode-Autorisierungsstandard Open ID Connect (OIDC). Mit dieser Methode initiieren Sie den Zugriff direkt, indem Sie den aws configure sso Befehl in der verwenden. AWS CLI Sie können diesen Befehl verwenden, um automatisch auf jede Rolle zuzugreifen, die einem beliebigen Berechtigungssatz zugeordnet ist, dem Sie für eine Rolle zugewiesen sind AWS-Konto.

Um auf die Rolle zuzugreifen, die für Ihren IAM Identity Center-Benutzer erstellt wurde, führen Sie den aws configure sso Befehl AWS CLI aus und autorisieren Sie ihn dann in einem Browserfenster. Solange Sie über eine aktive AWS Access-Portal-Sitzung verfügen, ruft das AWS CLI automatisch temporäre Anmeldeinformationen ab und aktualisiert die Anmeldeinformationen automatisch.

Weitere Informationen finden Sie unter Konfigurieren Ihres Profils mit dem aws configure sso wizard im AWS Command Line Interface Benutzerhandbuch.

Um temporäre Anmeldeinformationen zu erhalten, die automatisch aktualisiert werden

  1. Melden Sie sich mit der spezifischen Anmelde-URL, die Sie von Ihrem Administrator erhalten haben, beim AWS Zugriffsportal an. Wenn Sie den IAM Identity Center-Benutzer erstellt haben, AWS haben Sie eine E-Mail-Einladung mit Ihrer Anmelde-URL gesendet. Weitere Informationen finden Sie unter Anmelden im AWS Access-Portal im AWS Anmelde-Benutzerhandbuch.

  2. Suchen Sie auf der Registerkarte Konten nach dem Konto, AWS-Konto von dem Sie die Anmeldeinformationen abrufen möchten. Wenn Sie das Konto auswählen, werden der Kontoname, die Konto-ID und die E-Mail-Adresse angezeigt, die dem Konto zugeordnet sind.

    Anmerkung

    Wenn Sie nichts in der AWS-KontenListe sehen, wurde Ihnen wahrscheinlich noch kein Berechtigungssatz für dieses Konto zugewiesen. Wenden Sie sich in diesem Fall an Ihren Administrator und bitten Sie ihn, diesen Zugriff für Sie hinzuzufügen. Weitere Informationen finden Sie unter Weisen Sie Benutzerzugriff zu AWS-Konten.

  3. Unter dem Namen des Kontos wird der Berechtigungssatz, dem Ihr IAM Identity Center-Benutzer zugewiesen ist, als verfügbare Rolle angezeigt. Wenn Ihrem IAM Identity Center-Benutzer beispielsweise der PowerUserAccessBerechtigungssatz für das Konto zugewiesen ist, wird die Rolle im AWS Zugriffsportal als angezeigt. PowerUserAccess

  4. Abhängig von Ihrer Option neben dem Rollennamen wählen Sie entweder Zugriffstasten oder Befehlszeilen- oder programmgesteuerten Zugriff.

  5. Wählen Sie im Dialogfeld Anmeldeinformationen abrufen entweder macOS und Linux, Windows oder PowerShell, je nach dem Betriebssystem, auf dem Sie das installiert haben AWS CLI.

  6. Unter AWS IAM Identity Center-Anmeldeinformationen (empfohlen) SSO Region werden Ihr SSO Start URL und angezeigt. Diese Werte sind erforderlich, um sowohl ein für IAM Identity Center aktiviertes Profil als auch für Ihr Profil sso-session zu konfigurieren. AWS CLI Um diese Konfiguration abzuschließen, folgen Sie den Anweisungen unter Konfigurieren Sie Ihr Profil mit dem aws configure sso wizard im AWS Command Line Interface Benutzerhandbuch.

Verwenden Sie das AWS CLI so lange, wie es für Sie erforderlich ist, AWS-Konto bis die Anmeldeinformationen abgelaufen sind.

Manuelle Aktualisierung der Anmeldeinformationen

Sie können die Methode zur manuellen Aktualisierung von Anmeldeinformationen verwenden, um temporäre Anmeldeinformationen für eine Rolle abzurufen, die mit einem bestimmten Berechtigungssatz in einer bestimmten Rolle verknüpft ist. AWS-Konto Dazu kopieren Sie die erforderlichen Befehle für die temporären Anmeldeinformationen und fügen sie ein. Bei dieser Methode müssen Sie die temporären Anmeldeinformationen manuell aktualisieren.

Sie können AWS CLI Befehle ausführen, bis Ihre temporären Anmeldeinformationen ablaufen.

Um Anmeldeinformationen abzurufen, die Sie manuell aktualisieren

  1. Melden Sie sich mit der spezifischen Anmelde-URL, die Sie von Ihrem Administrator erhalten haben, beim AWS Zugriffsportal an. Wenn Sie den IAM Identity Center-Benutzer erstellt haben, AWS haben Sie eine E-Mail-Einladung mit Ihrer Anmelde-URL gesendet. Weitere Informationen finden Sie unter Anmelden im AWS Access-Portal im AWS Anmelde-Benutzerhandbuch.

  2. Suchen Sie auf der Registerkarte Konten die Datei, AWS-Konto von der Sie die Zugangsdaten abrufen möchten, und erweitern Sie sie, sodass der IAM-Rollenname angezeigt wird (z. B. Administrator). Abhängig von Ihrer Option neben dem IAM-Rollennamen wählen Sie entweder Zugriffstasten oder Befehlszeilen - oder programmgesteuerten Zugriff aus.

    Anmerkung

    Wenn Sie keine Rechte in der AWS-KontenListe sehen, wurde Ihnen wahrscheinlich noch kein Berechtigungssatz für dieses Konto zugewiesen. Wenden Sie sich in diesem Fall an Ihren Administrator und bitten Sie ihn, diesen Zugriff für Sie hinzuzufügen. Weitere Informationen finden Sie unter Weisen Sie Benutzerzugriff zu AWS-Konten.

  3. Wählen Sie im Dialogfeld Anmeldeinformationen abrufen die Option macOS und Linux, Windows oder PowerShell, je nachdem, auf welchem Betriebssystem Sie das installiert haben AWS CLI.

  4. Wählen Sie eine der folgenden Optionen:

    • Option 1: Legen Sie AWS Umgebungsvariablen fest

      Wählen Sie diese Option, um alle Anmeldeinformationseinstellungen zu überschreiben, einschließlich aller Einstellungen in den credentials Dateien und config Dateien. Weitere Informationen finden Sie unter Umgebungsvariablen zur Konfiguration von AWS CLI im AWS CLI Benutzerhandbuch.

      Um diese Option zu verwenden, kopieren Sie die Befehle in die Zwischenablage, fügen Sie sie in Ihr AWS CLI Terminalfenster ein und drücken Sie dann die EINGABETASTE, um die erforderlichen Umgebungsvariablen festzulegen.

    • Option 2: Fügen Sie Ihrer AWS Anmeldeinformationsdatei ein Profil hinzu

      Wählen Sie diese Option, um Befehle mit unterschiedlichen Anmeldeinformationen auszuführen.

      Um diese Option zu verwenden, kopieren Sie die Befehle in Ihre Zwischenablage und fügen Sie sie dann in Ihre gemeinsam genutzte AWS credentials Datei ein, um ein neues benanntes Profil einzurichten. Weitere Informationen finden Sie im Referenzhandbuch für AWS SDKs und Tools unter Dateien mit gemeinsam genutzten Konfigurationen und Anmeldeinformationen. Um diese Anmeldeinformationen zu verwenden, geben Sie die --profile Option in Ihrem AWS CLI Befehl an. Dies wirkt sich auf alle Umgebungen aus, die dieselbe Anmeldeinformationsdatei verwenden.

    • Option 3: Verwenden Sie individuelle Werte in Ihrem AWS Service-Client

      Wählen Sie diese Option, um von einem AWS Service-Client aus auf AWS Ressourcen zuzugreifen. Weitere Informationen finden Sie unter Tools, auf denen Sie aufbauen können AWS.

      Um diese Option zu verwenden, kopieren Sie die Werte in Ihre Zwischenablage, fügen Sie die Werte in Ihren Code ein und weisen Sie sie den entsprechenden Variablen für Ihr SDK zu. Weitere Informationen finden Sie in der Dokumentation zu Ihrer spezifischen SDK-API.