# Configuración de la autenticación de IAM Identity Center con la AWS CLI
<a name="cli-configure-sso"></a>

En este tema se proporcionan instrucciones sobre cómo configurar laAWS CLI con AWS IAM Identity Center (IAM Identity Center) para recuperar las credenciales que permiten ejecutar comandos de la AWS CLI. Existen principalmente dos formas de autenticar a los usuarios con IAM Identity Center para que obtengan las credenciales que permiten ejecutar los comandos de AWS CLI a través del archivo `config`: 
+ **(Recomendada)** Configuración del proveedor de token de SSO.
+ Configuración heredada no actualizable.

Para obtener información sobre el uso de autenticación de portador, que no utiliza ID de cuenta ni rol, consulte [Configuración para utilizar la AWS CLI con CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) en la *Guía del usuario de Amazon CodeCatalyst*.

**nota**  
Para ver un proceso guiado sobre el uso de IAM Identity Center con los comandos de la AWS CLI, consulte [Tutorial: uso de IAM Identity Center para ejecutar comandos de Amazon S3 en la AWS CLI](cli-configure-sso-tutorial.md).

**Temas**
+ [Requisitos previos](#cli-configure-sso-prereqs)
+ [Configurar el perfil con el asistente de `aws configure sso`](#cli-configure-sso-configure)
+ [Configurar solo la sección `sso-session` con el asistente de `aws configure sso-session`](#cli-configure-sso-session)
+ [Configuración manual mediante el archivo `config`](#cli-configure-sso-manual)
+ [Inicio de sesión en IAM Identity Center](#cli-configure-sso-login)
+ [Ejecución de un comando con el perfil de IAM Identity Center](#cli-configure-sso-use)
+ [Cierre de sesiones de IAM Identity Center](#cli-configure-sso-logout)
+ [Solución de problemas](#cli-configure-sso-tshoot)
+ [Recursos relacionados](#cli-configure-sso-resources)

## Requisitos previos
<a name="cli-configure-sso-prereqs"></a>
+ Instala la AWS CLI. Para obtener más información, consulte [Instalación o actualización de la versión más reciente de AWS CLI](getting-started-install.md).
+ Primero debe tener acceso a la autenticación de SSO en el Centro de identidades de IAM. Elija uno de los siguientes métodos para acceder a las credenciales de AWS.

### No he establecido el acceso a través de IAM Identity Center
<a name="idc-access"></a>

Siga las instrucciones en [Introducción](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) en la *Guía del usuario de AWS IAM Identity Center*. Este proceso activa IAM Identity Center, crea un usuario administrativo y agrega un conjunto apropiado de permisos de privilegio mínimo.

**nota**  
Cree un conjunto de permisos que aplique los permisos de privilegio mínimo. Le recomendamos que utilice el conjunto de permisos predefinido `PowerUserAccess`, a menos que su empleador haya creado un conjunto de permisos personalizado para este fin. 

Salga del portal e inicie sesión de nuevo para ver las Cuentas de AWS, los detalles sobre el acceso programático y las opciones para `Administrator` o `PowerUserAccess`. Seleccione `PowerUserAccess` cuando trabaje con el SDK.

### Ya tengo acceso a AWS a través de un proveedor de identidades federado administrado por mi empleador (como Azure AD u Okta)
<a name="federated-access"></a>

Inicie sesión en AWS a través del portal de su proveedor de identidades. Si su administrador de la nube le ha concedido permisos `PowerUserAccess` (desarrollador), verá las Cuentas de AWS a las que tiene acceso y su conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos. 

Las implementaciones personalizadas pueden dar lugar a experiencias diferentes, como distintos nombres de conjuntos de permisos. Si no está seguro de qué configuración de permisos debe utilizar, contacte con su equipo de TI para obtener ayuda. 

### Ya tengo acceso a AWS a través del portal de acceso de AWS administrado por mi empleador
<a name="accessportal-access"></a>

Inicie sesión en AWS a través del portal de acceso de AWS. Si su administrador de la nube le ha concedido permisos `PowerUserAccess` (desarrollador), verá las Cuentas de AWS a las que tiene acceso y su conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos. 

### Ya tengo acceso a AWS a través de un proveedor de identidades federado administrado por mi empleador
<a name="customfederated-access"></a>

Contacte con su equipo de TI para obtener ayuda.

Tras acceder a IAM Identity Center, recopile la información de IAM Identity Center realizando lo siguiente:

1. Recopilación de los valores `SSO Start URL` y `SSO Region` que necesita para ejecutar `aws configure sso`

   1. En el portal de acceso de AWS, seleccione el conjunto de permisos que utiliza para el desarrollo y seleccione el enlace **Claves de acceso**.

   1. En el cuadro de diálogo **Obtener credenciales**, elija la pestaña que coincida con su sistema operativo. 

   1. Elija el método de **credenciales de IAM Identity Center** para obtener los valores `SSO Start URL` y `SSO Region`.

1. Como alternativa, a partir de la versión 2.22.0, puede utilizar la URL del emisor en lugar de la URL de inicio. La URL del emisor se ubica en la consola de AWS IAM Identity Center en una de las siguientes ubicaciones:
   + En la página del **panel**, la URL del emisor aparece en el resumen de la configuración.
   + En la página de **configuración**, la URL del emisor se encuentra en los ajustes del **origen de identidad**. 

1. Para obtener información sobre qué ámbitos se deben registrar, consulte [Ámbitos de acceso de OAuth 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) en la *Guía del usuario del IAM Identity Center*.

## Configurar el perfil con el asistente de `aws configure sso`
<a name="cli-configure-sso-configure"></a>

**Para configurar un perfil de IAM Identity Center en la AWS CLI:**

1. En el terminal que prefiera, ejecute el comando `aws configure sso`.

------
#### [ (Recommended) IAM Identity Center ]

   Cree un nombre de sesión, proporcione la URL de inicio de IAM Identity Center o la URL del emisor, la Región de AWS que aloja el directorio de IAM Identity Center y el ámbito del registro.

   ```
   $ aws configure sso
   SSO session name (Recommended): my-sso
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]: us-east-1
   SSO registration scopes [None]: sso:account:access
   ```

   Para la compatibilidad de doble pila, use la URL de inicio del SSO de doble pila:

   ```
   $ aws configure sso
   SSO session name (Recommended): my-sso
   SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
   SSO region [None]: us-east-1
   SSO registration scopes [None]: sso:account:access
   ```

   La autorización de la clave de prueba para el intercambio de códigos (PKCE) se utiliza de forma predeterminada para la AWS CLI a partir de la versión **2.22.0** y se debe utilizar en dispositivos con navegador. Para seguir utilizando la autorización de dispositivos, agregue la opción `--use-device-code`.

   ```
   $ aws configure sso --use-device-code
   ```

------
#### [ Legacy IAM Identity Center ]

   Sáltese el nombre de sesión y proporcione su URL de inicio de IAM Identity Center y la región de AWS que aloja el directorio del Identity Center. 

   ```
   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]:us-east-1
   ```

   Para compatibilidad de doble pila:

   ```
   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
   SSO region [None]:us-east-1
   ```

------

1. La AWS CLI intenta abrir su navegador predeterminado para el proceso de inicio de sesión de su cuenta de IAM Identity Center. El proceso puede pedirle que permita que la AWS CLI acceda a los datos. Dado que la AWS CLI se ha creado con el SDK para Python, los mensajes de permiso pueden contener variaciones del nombre `botocore`.
   + **Si la AWS CLI no puede abrir el navegador**, se muestran las instrucciones para iniciar el proceso de inicio de sesión de forma manual en función del tipo de autorización que está usando. 

------
#### [ PKCE authorization ]

     La autorización de la clave de prueba para el intercambio de códigos (PKCE) se utiliza de forma predeterminada para la AWS CLI a partir de la versión 2.22.0. La URL que se muestra es una URL única que comienza por:
     + IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
     + Doble pila: *https://oidc.us-east-1.api.aws/authorize*

     Las URL de autorización de la PKCE se deben abrir en el mismo dispositivo en el que está iniciando sesión y se deben usar en un dispositivo con navegador.

     ```
     Attempting to automatically open the SSO authorization page in your 
     default browser.
     If the browser does not open or you wish to use a different device to 
     authorize the request, open the following URL:
     
     https://oidc.us-east-1.amazonaws.com/authorize?<abbreviated>
     ```

------
#### [ Device authorization ]

     En las versiones anteriores a 2.22.0, la AWS CLI utiliza la autorización de dispositivos OAuth 2.0. Puede habilitar este método en las versiones más recientes mediante la opción `--use-device-code`.

     Las URL de autorización de dispositivo no se tienen que abrir en el mismo dispositivo en el que está iniciando sesión y se pueden usar en un dispositivo con o sin navegador. El formato del punto de conexión depende de la configuración:
     + IPv4: *https://device.sso.us-west-2.amazonaws.com/*
     + Doble pila: *https://device.sso.us-west-2.api.aws/*

     ```
     If the browser does not open or you wish to use a different device to 
     authorize this request, open the following URL:
     https://device.sso.us-west-2.amazonaws.com/
     
     Then enter the code:
     QCFK-N451
     ```

------

1. Seleccione la cuenta de AWS que desee utilizar de la lista que aparece. Si solo tiene autorización para usar una única cuenta, la AWS CLI selecciona esa cuenta automáticamente y omite la petición.

   ```
   There are 2 AWS accounts available to you.
   > DeveloperAccount, developer-account-admin@example.com (123456789011) 
     ProductionAccount, production-account-admin@example.com (123456789022)
   ```

1. Seleccione el rol de IAM que desee utilizar en la lista que aparece. Si solo hay un rol disponible, la AWS CLI selecciona automáticamente ese rol y omite la petición.

   ```
   Using the account ID 123456789011
   There are 2 roles available to you.
   > ReadOnly
     FullAccess
   ```

1. Especifique el [formato de salida predeterminado](cli-configure-files.md#cli-config-output), la [Región de AWS](cli-configure-files.md#cli-config-region) predeterminada a la que se enviarán los comandos y un [nombre para el perfil](cli-configure-files.md). Si especifica `default` como nombre de perfil, este perfil pasa a ser el perfil predeterminado. En el ejemplo siguiente, el usuario introduce una región predeterminada, un formato de salida predeterminado y el nombre del perfil.

   ```
   Default client Region [None]: us-west-2<ENTER>
   CLI default output format (json if not specified) [None]: json<ENTER>
   Profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>
   ```

1. Un mensaje final describe la configuración del perfil completada. Ahora puede utilizar este perfil para solicitar credenciales. Utilice el comando `aws sso login` para solicitar y recuperar realmente las credenciales necesarias para ejecutar comandos. Para obtener instrucciones, consulte [Inicio de sesión en IAM Identity Center](#cli-configure-sso-login).

### Archivo de configuración generado
<a name="cli-configure-sso-generated"></a>

Estos pasos dan como resultado la creación de una sección `sso-session` y un perfil con un nombre en el archivo `config` similar al siguiente:

------
#### [ IAM Identity Center ]

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

Para compatibilidad de doble pila:

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

------
#### [ Legacy IAM Identity Center ]

```
[profile my-dev-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```

Para compatibilidad de doble pila:

```
[profile my-dev-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```

------

## Configurar solo la sección `sso-session` con el asistente de `aws configure sso-session`
<a name="cli-configure-sso-session"></a>

**nota**  
Esta configuración no es compatible con IAM Identity Center heredado.

El comando `aws configure sso-session` solo actualiza las secciones `sso-session` del archivo `~/.aws/config`. Ejecute el comando `aws configure sso-session` y proporcione la URL de inicio de IAM Identity Center o la URL del emisor y la región de AWS que aloja el directorio del IAM Identity Center. 

```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

Para la compatibilidad de doble pila, use la URL de inicio del SSO de doble pila:

```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

## Configuración manual mediante el archivo `config`
<a name="cli-configure-sso-manual"></a>

La información de configuración de IAM Identity Center se almacena en el archivo `config` y se puede editar con un editor de texto. Para añadir manualmente compatibilidad con IAM Identity Center a un perfil con nombre, debe añadir claves y valores al archivo `config`. 

### Configuración del archivo de IAM Identity Center
<a name="cli-configure-sso-manual-config"></a>

La sección `sso-session` del archivo `config` se usa para agrupar las variables de configuración para adquirir los tokens de acceso SSO, que luego se pueden usar para adquirir credenciales de AWS. Se utilizan las siguientes configuraciones:
+ **(Obligatorio)** `sso\$1start\$1url`
+ **(Obligatorio)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

Defina una sección `sso-session` y asóciela a un perfil. Los ajustes de `sso_start_url` y `sso_region` se deben definir dentro de la sección `sso-session`. Normalmente, `sso_account_id` y `sso_role_name` deben establecerse en la sección `profile` para que el SDK pueda solicitar las credenciales de SSO. 

En el siguiente ejemplo se configura el SDK para que solicite credenciales de SSO y admita la actualización automática de tokens: 

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```

Para la compatibilidad de doble pila, use el formato de URL de inicio del SSO de doble pila:

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```

Esto también permite reutilizar las configuraciones de `sso-session` en varios perfiles: 

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```

Para la compatibilidad de doble pila, use el formato de URL de inicio del SSO de doble pila:

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```

No obstante, `sso_account_id` y `sso_role_name` no son necesarios para todos los escenarios de configuración de token de SSO. Si su aplicación solo utiliza servicios de AWS que admiten la autenticación de portador, no son necesarias las credenciales de AWS tradicionales. La autenticación de portador es un esquema de autenticación HTTP que utiliza tokens de seguridad denominados tokens de portador. En este escenario, no se necesitan `sso_account_id` ni `sso_role_name`. Consulte la guía individual de su servicio de AWS para determinar si admite la autorización de token de portador.

Además, los ámbitos de registro pueden configurarse como parte de `sso-session`. El alcance es un mecanismo de OAuth 2.0 para limitar el acceso de una aplicación a la cuenta de un usuario. Una solicitud puede pedir uno o varios ámbitos y el token de acceso emitido a la solicitud se limitará a los ámbitos concedidos. Estos ámbitos definen los permisos cuya autorización se solicita para el cliente OIDC registrado y los tokens de acceso recuperados por el cliente. El siguiente ejemplo establece `sso_registration_scopes` para proporcionar acceso para enumerar cuentas/roles: 

```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

Para compatibilidad de doble pila:

```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

El token de autenticación se almacena en caché en el disco en el directorio `sso/cache` con un nombre de archivo basado en el nombre de la sesión. 

### Archivo de configuración de IAM Identity Center heredado
<a name="cli-configure-sso-manual-legacy"></a>

**nota**  
La actualización automática de tokens no se admite con la configuración no actualizable heredada. Le recomendamos que utilice la configuración del token de SSO.

Para agregar manualmente compatibilidad con IAM Identity Center a un perfil con nombre, debe agregar las siguientes claves y valores a la definición del perfil en el archivo `config`.
+ `sso\$1start\$1url`
+ `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`

Puede incluir otras claves y valores válidos en el archivo `.aws/config`. A continuación, se muestra un ejemplo de perfil de IAM Identity Center:

```
[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```

Para compatibilidad de doble pila:

```
[profile my-sso-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```

Para ejecutar comandos, primero debe utilizar [Inicio de sesión en IAM Identity Center](#cli-configure-sso-login) para solicitar y recuperar las credenciales temporales.

Para obtener más información sobre los archivos de `config` y ‎`credentials`, consulte ‎[Opciones de los archivos de configuración y credenciales en la AWS CLI](cli-configure-files.md).

## Inicio de sesión en IAM Identity Center
<a name="cli-configure-sso-login"></a>

**nota**  
El proceso de inicio de sesión puede pedirle que permita que la AWS CLI acceda a sus datos. Dado que la AWS CLI se ha creado con el SDK para Python, los mensajes de permiso pueden contener variaciones del nombre `botocore`.

Para recuperar y almacenar en caché un conjunto de credenciales de IAM Identity Center, ejecute el siguiente comando de la AWS CLI para abrir su navegador predeterminado y comprobar que ha iniciado sesión en IAM Identity Center. 

```
$ aws sso login --profile my-dev-profile
SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start
```

Sus credenciales de IAM Identity Center se guardan en la caché y la AWS CLI las utiliza para recuperar de forma segura las credenciales de AWS del rol de IAM especificado en el perfil. 

### Si la AWS CLI no puede abrir su navegador
<a name="cli-configure-sso-login-browser"></a>

Si la AWS CLI no puede abrir el navegador de forma automática, se muestran las instrucciones para iniciar el proceso de inicio de sesión de forma manual en función del tipo de autorización que está usando. 

------
#### [ PKCE authorization ]

La autorización de la clave de prueba para el intercambio de códigos (PKCE) se utiliza de forma predeterminada para la AWS CLI a partir de la versión 2.22.0. La URL que se muestra es una URL única que comienza por:
+ IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
+ Doble pila: *https://oidc.us-east-1.api.aws/authorize*

Las URL de autorización de la PKCE se deben abrir en el mismo dispositivo en el que está iniciando sesión y se deben usar en un dispositivo con navegador.

```
Attempting to automatically open the SSO authorization page in your 
default browser.
If the browser does not open or you wish to use a different device to 
authorize the request, open the following URL:

https://oidc.us-east-1.amazonaws.com/authorize?<abbreviated>
```

------
#### [ Device authorization ]

En las versiones anteriores a 2.22.0, la AWS CLI utiliza la autorización de dispositivos OAuth 2.0. Puede habilitar este método en las versiones más recientes mediante la opción `--use-device-code`.

Las URL de autorización de dispositivo no se tienen que abrir en el mismo dispositivo en el que está iniciando sesión y se pueden usar en un dispositivo con o sin navegador.

```
If the browser does not open or you wish to use a different device to 
authorize this request, open the following URL:
https://device.sso.us-west-2.amazonaws.com/

Then enter the code:
QCFK-N451
```

------

También puede especificar qué perfil de `sso-session` utilizar al iniciar la sesión utilizando el parámetro `--sso-session` del comando `aws sso login`. La opción `sso-session` no está disponible para IAM Identity Center heredado.

```
$ aws sso login --sso-session my-dev-session
```

A partir de la versión 2.22.0, la autorización de la PKCE es la predeterminada. Para usar la autorización del dispositivo para iniciar sesión, agregue la opción `--use-device-code`.

```
$ aws sso login --profile my-dev-profile --use-device-code
```

El token de autenticación se almacena en caché en el disco en el directorio `~/.aws/sso/cache` con un nombre de archivo basado en la `sso_start_url`. 

## Ejecución de un comando con el perfil de IAM Identity Center
<a name="cli-configure-sso-use"></a>

Una vez que haya iniciado sesión, puede utilizar estas credenciales para invocar comandos de la AWS CLI con el perfil con nombre asociado. En el ejemplo siguiente se muestra un comando que usa un perfil:

```
$ aws sts get-caller-identity --profile my-dev-profile
```

Mientras haya iniciado sesión en IAM Identity Center y esas credenciales almacenadas en caché no hayan caducado, la AWS CLI renovará automáticamente las credenciales de AWS caducadas cuando sea necesario. Sin embargo, si sus credenciales de IAM Identity Center caducan, debe renovarlas explícitamente iniciando sesión de nuevo en la cuenta de IAM Identity Center.

## Cierre de sesiones de IAM Identity Center
<a name="cli-configure-sso-logout"></a>

Cuando haya terminado de utilizar su perfil de IAM Identity Center, puede dejar que las credenciales caduquen o ejecutar el siguiente comando para eliminar las credenciales almacenadas en caché.

```
$ aws sso logout
Successfully signed out of all SSO profiles.
```

## Solución de problemas
<a name="cli-configure-sso-tshoot"></a>

Si tiene problemas con la AWS CLI, consulte [Solución de errores para la AWS CLI](cli-chap-troubleshooting.md) para ver los pasos de solución de problemas.

## Recursos relacionados
<a name="cli-configure-sso-resources"></a>

Los recursos adicionales son los siguientes.
+ [Conceptos de AWS IAM Identity Center para la AWS CLI](cli-configure-sso-concepts.md)
+ [Tutorial: uso de IAM Identity Center para ejecutar comandos de Amazon S3 en la AWS CLI](cli-configure-sso-tutorial.md)
+ [Instalación o actualización de la versión más reciente de AWS CLI](getting-started-install.md)
+ [Opciones de los archivos de configuración y credenciales en la AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) en la *AWS CLI version 2 Reference*
+ [Setting up to use the AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) en la *Guía del usuario de Amazon CodeCatalyst*
+ [Ámbitos de acceso de OAuth 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) en la *Guía del usuario del IAM Identity Center*
+ [Tutoriales de introducción](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) en la *Guía del usuario del IAM Identity Center*

# Conceptos de AWS IAM Identity Center para la AWS CLI
<a name="cli-configure-sso-concepts"></a>

En este tema se describen los conceptos clave de AWS IAM Identity Center (IAM Identity Center). IAM Identity Center es un servicio de IAM basado en la nube que simplifica la administración del acceso de los usuarios a múltiples Cuentas de AWS, aplicaciones, SDK y herramientas mediante la integración con los proveedores de identidad (IdP) existentes. Permite un inicio de sesión único seguro, la administración de permisos y la auditoría a través de un portal de usuarios centralizado, lo que agiliza el control de identidades y accesos para las organizaciones.

**Topics**
+ [Qué es IAM Identity Center](#cli-configure-sso-concepts-what)
+ [Términos](#cli-configure-sso-terms)
+ [Cómo funciona IAM Identity Center](#cli-configure-sso-concepts-process)
+ [Recursos adicionales](#cli-configure-sso-concepts-resources)

## Qué es IAM Identity Center
<a name="cli-configure-sso-concepts-what"></a>

IAM Identity Center es un servicio de administración de identidades y accesos (IAM) basado en la nube que le permite administrar de forma centralizada el acceso a múltiples Cuentas de AWS y aplicaciones empresariales.

Proporciona un portal de usuarios en el que los usuarios autorizados pueden acceder a las Cuentas de AWS y las aplicaciones para las que se les haya concedido permiso utilizando sus credenciales corporativas actuales. Esto permite a las organizaciones aplicar políticas de seguridad coherentes, así como agilizar la administración del acceso de los usuarios.

Independientemente del IdP que utilice, el Centro de identidades de IAM abstrae esas distinciones. Por ejemplo, puede conectar Microsoft Azure AD como se describe en el artículo del blog [The Next Evolution in IAM Identity Center](https://aws.amazon.com/blogs/aws/the-next-evolution-in-aws-single-sign-on/) (La próxima evolución en el Centro de identidades de IAM).

**nota**  
Para obtener información sobre el uso de autenticación de portador, que no utiliza ID de cuenta ni rol, consulte [Configuración para utilizar la AWS CLI con CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) en la *Guía del usuario de Amazon CodeCatalyst*.

## Términos
<a name="cli-configure-sso-terms"></a>

Los términos más comunes en el uso de IAM Identity Center son los siguientes:

**Proveedor de identidad (IdP)**  
Un sistema de administración de identidades como IAM Identity Center, Microsoft Azure AD, Okta o su propio servicio de directorio corporativo.

**AWS IAM Identity Center**  
IAM Identity Center es el servicio de proveedor de identidades propiedad de AWS. Antes se le conocía como AWS Single Sign-On y los SDK y las herramientas conservan los espacios de nombres de las API de `sso` para garantizar la compatibilidad con versiones anteriores. Para más información, consulte [IAM Identity Center rename](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) en la *Guía del usuario de AWS IAM Identity Center*.

**URL de Portal de acceso a AWS, URL de inicio del SSO, URL de inicio**  
La URL exclusiva de IAM Identity Center de la organización para acceder a las Cuentas de AWS, los servicios y los recursos autorizados.

**URL del emisor**  
La URL del emisor exclusiva de IAM Identity Center de la organización para el acceso programático a las Cuentas de AWS, los servicios y los recursos autorizados. A partir de la versión 2.22.0 de la AWS CLI, la URL del emisor se puede utilizar indistintamente con la URL de inicio.

**Federación**  
Se trata del proceso que permite establecer la confianza entre IAM Identity Center y un proveedor de identidades a la hora de habilitar el inicio de sesión único (SSO).

**Cuentas de AWS**  
Las Cuentas de AWS para las que se proporciona acceso a los usuarios a través de AWS IAM Identity Center.

**Conjuntos de permisos, credenciales de AWS, credenciales de sigv4**  
Conjuntos predefinidos de permisos que se pueden asignar a usuarios o grupos para concederles acceso a los Servicios de AWS.

**Ámbitos de registro, ámbitos de acceso, ámbitos**  
Los ámbitos son un mecanismo de OAuth 2.0 para limitar el acceso de una aplicación a la cuenta de un usuario. Una solicitud puede pedir uno o varios ámbitos y el token de acceso emitido a la solicitud se limita a los ámbitos concedidos. Para obtener información sobre los ámbitos, consulte [Ámbitos de acceso](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) en la *Guía del usuario del IAM Identity Center*.

**Tokens, token de actualización, token de acceso**  
Los tokens son credenciales de seguridad temporales que se emiten en la autenticación. Estos tokens contienen información sobre su identidad y los permisos que se le han concedido.  
Cuando accede a una aplicación o recurso de AWS a través del portal de IAM Identity Center, se presenta tu token a AWS para la autenticación y autorización. Esto permite a AWS verificar su identidad y asegurarse de que cuenta con los permisos necesarios para realizar las acciones solicitadas.   
El token de autenticación se almacena en caché en el disco en el directorio `~/.aws/sso/cache` con un nombre de archivo JSON basado en el nombre de la sesión.

**Sesión**  
Una sesión en IAM Identity Center hace referencia al período durante el cual un usuario está autenticado y autorizado a acceder a las aplicaciones o recursos de AWS. Cuando un usuario inicia sesión en el portal de IAM Identity Center, se establece una sesión y el token del usuario es válido durante un período específico. Para obtener más información sobre la duración de la sesión, consulte [Set session duration](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) en la *Guía del usuario de AWS IAM Identity Center*.  
Durante la sesión, puede navegar entre diferentes aplicaciones y cuentas de AWS sin tener que volver a autenticarse, siempre y cuando la sesión permanezca activa. Cuando la sesión caduque, deberá volver a iniciar sesión para renovar el acceso.  
Las sesiones de IAM Identity Center ayudan a proporcionar una experiencia de usuario fluida y, al mismo tiempo, aplican las prácticas recomendadas de seguridad mediante la limitación de la validez de las credenciales de acceso de los usuarios.

**Concesión de códigos de autorización con clave de prueba para el intercambio de códigos (PKCE)**  
A partir de la versión 2.22.0, la clave de prueba para el intercambio de códigos (PKCE) es un flujo de concesión de autenticación de OAuth 2.0 para dispositivos con navegador. La PKCE es una forma sencilla y segura de autenticarse y obtener el consentimiento para acceder a los recursos de AWS desde ordenadores de sobremesa y dispositivos móviles con navegadores web. Este es el comportamiento de autorización predeterminado. Para obtener más información sobre la PKCE, consulte [Authorization Code Grant with PKCE](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#auth-code-grant-pkce) en la *Guía del usuario de AWS IAM Identity Center*.

**Concesión de autorización de dispositivo**  
Un flujo de concesión de autenticación de OAuth 2.0 para dispositivos con o sin navegador web. Para obtener más información sobre cómo configurar la duración de las sesiones, consulte [Device Authorization Grant](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#device-auth-grant) en la *Guía del usuario de AWS IAM Identity Center*.

## Cómo funciona IAM Identity Center
<a name="cli-configure-sso-concepts-process"></a>

IAM Identity Center se integra con el proveedor de identidades de su organización, por ejemplo, IAM Identity Center, Microsoft Azure AD u Okta. Los usuarios se autentican con este proveedor de identidades y, a continuación, IAM Identity Center asigna dichas identidades a los permisos y accesos adecuados de su entorno de AWS.

En el siguiente flujo de trabajo de IAM Identity Center, se da por hecho que ya ha configurado la AWS CLI para utilizar IAM Identity Center:

1. Ejecute el comando `aws sso login` en el terminal que desee.

1. Inicie sesión en su Portal de acceso a AWS para comenzar una nueva sesión. 
   + Al iniciar una nueva sesión, recibirá un token de actualización y un token de acceso que se almacena en la caché.
   + Si ya tiene una sesión activa, se reutiliza la sesión existente y caducará cuando lo haga la sesión existente.

1. En función del perfil que haya configurado en su archivo `config`, IAM Identity Center asume los conjuntos de permisos adecuados y le concede acceso a las Cuentas de AWS y aplicaciones correspondientes. 

1. Las AWS CLI, los SDK y las herramientas utilizan su rol de IAM asumido para realizar llamadas a los Servicios de AWS, por ejemplo, para crear buckets de Amazon S3 hasta que caduque la sesión.

1. El token de acceso obtenido de IAM Identity Center se comprueba cada hora y se actualiza automáticamente mediante el token de actualización.
   + Si el token de acceso ha caducado, el SDK utiliza el token de actualización para obtener un nuevo token de acceso. A continuación, se comparan las duraciones de las sesiones de estos tokens y, si el token de actualización no ha caducado, IAM Identity Center proporciona un nuevo token de acceso.
   + Si el token de actualización ha caducado, no se proporcionan nuevos tokens de acceso y la sesión habrá finalizado.

1. Las sesiones finalizan cuando los tokens de actualización caducan o cuando cierra la sesión manualmente mediante el comando `aws sso logout`. Se eliminan las credenciales almacenadas en caché. Para seguir accediendo a los servicios mediante IAM Identity Center, debe iniciar una nueva sesión con el comando `aws sso login`.

## Recursos adicionales
<a name="cli-configure-sso-concepts-resources"></a>

Los recursos adicionales son los siguientes.
+ [Configuración de la autenticación de IAM Identity Center con la AWS CLI](cli-configure-sso.md)
+ [Tutorial: uso de IAM Identity Center para ejecutar comandos de Amazon S3 en la AWS CLI](cli-configure-sso-tutorial.md)
+ [Instalación o actualización de la versión más reciente de AWS CLI](getting-started-install.md)
+ [Opciones de los archivos de configuración y credenciales en la AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) en la *AWS CLI version 2 Reference*
+ [Setting up to use the AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) en la *Guía del usuario de Amazon CodeCatalyst*
+ [IAM Identity Center rename](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) en la * Guía del usuario de AWS IAM Identity Center*
+ [Ámbitos de acceso de OAuth 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) en la *Guía del usuario del IAM Identity Center*
+ [Set session duration](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) en la * Guía del usuario de AWS IAM Identity Center*
+ [Tutoriales de introducción](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) en la *Guía del usuario del IAM Identity Center*

# Tutorial: uso de IAM Identity Center para ejecutar comandos de Amazon S3 en la AWS CLI
<a name="cli-configure-sso-tutorial"></a>

En este tema se describe cómo configurar la AWS CLI para autenticar a los usuarios con AWS IAM Identity Center (IAM Identity Center) actual, de manera que se recuperen las credenciales para ejecutar comandos de la AWS Command Line Interface (AWS CLI) para Amazon Simple Storage Service (Amazon S3). 

**Topics**
+ [Paso 1: autenticación en IAM Identity Center](#cli-configure-sso-tutorial-authentication)
+ [Paso 2: recopilación de la información de IAM Identity Center](#cli-configure-sso-tutorial-gather)
+ [Paso 3: creación de buckets de Amazon S3](#cli-configure-sso-tutorial-buckets)
+ [Paso 4: Instalar la AWS CLI](#cli-configure-sso-tutorial-install)
+ [Paso 5: configuración del perfil de la AWS CLI](#cli-configure-sso-tutorial-configure)
+ [Paso 6: inicio de sesión en IAM Identity Center](#cli-configure-sso-tutorial-login.title)
+ [Paso 7: ejecución de comandos de Amazon S3](#cli-configure-sso-tutorial-commands)
+ [Paso 8: cierre de sesión en IAM Identity Center](#cli-configure-sso-tutorial-logout)
+ [Paso 9: eliminación de recursos](#cli-configure-sso-tutorial-cleanup)
+ [Solución de problemas](#cli-configure-sso-tutorial-tshoot)
+ [Recursos adicionales](#cli-configure-sso-tutorial-resources.title)

## Paso 1: autenticación en IAM Identity Center
<a name="cli-configure-sso-tutorial-authentication"></a>

Obtenga acceso a la autenticación de SSO en IAM Identity Center. Elija uno de los siguientes métodos para acceder a las credenciales de AWS.

### No he establecido el acceso a través de IAM Identity Center
<a name="idc-access"></a>

Siga las instrucciones en [Introducción](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) en la *Guía del usuario de AWS IAM Identity Center*. Este proceso activa IAM Identity Center, crea un usuario administrativo y agrega un conjunto apropiado de permisos de privilegio mínimo.

**nota**  
Cree un conjunto de permisos que aplique los permisos de privilegio mínimo. Le recomendamos que utilice el conjunto de permisos predefinido `PowerUserAccess`, a menos que su empleador haya creado un conjunto de permisos personalizado para este fin. 

Salga del portal e inicie sesión de nuevo para ver las Cuentas de AWS, los detalles sobre el acceso programático y las opciones para `Administrator` o `PowerUserAccess`. Seleccione `PowerUserAccess` cuando trabaje con el SDK.

### Ya tengo acceso a AWS a través de un proveedor de identidades federado administrado por mi empleador (como Azure AD u Okta)
<a name="federated-access"></a>

Inicie sesión en AWS a través del portal de su proveedor de identidades. Si su administrador de la nube le ha concedido permisos `PowerUserAccess` (desarrollador), verá las Cuentas de AWS a las que tiene acceso y su conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos. 

Las implementaciones personalizadas pueden dar lugar a experiencias diferentes, como distintos nombres de conjuntos de permisos. Si no está seguro de qué configuración de permisos debe utilizar, contacte con su equipo de TI para obtener ayuda. 

### Ya tengo acceso a AWS a través del portal de acceso de AWS administrado por mi empleador
<a name="accessportal-access"></a>

Inicie sesión en AWS a través del portal de acceso de AWS. Si su administrador de la nube le ha concedido permisos `PowerUserAccess` (desarrollador), verá las Cuentas de AWS a las que tiene acceso y su conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos. 

### Ya tengo acceso a AWS a través de un proveedor de identidades federado administrado por mi empleador
<a name="customfederated-access"></a>

Contacte con su equipo de TI para obtener ayuda.

## Paso 2: recopilación de la información de IAM Identity Center
<a name="cli-configure-sso-tutorial-gather"></a>

Tras acceder a AWS, recopile la información que este contiene realizando lo siguiente:

1. Recopilación de los valores `SSO Start URL` y `SSO Region` que necesita para ejecutar `aws configure sso`

   1. En el portal de acceso de AWS, seleccione el conjunto de permisos que utiliza para el desarrollo y seleccione el enlace **Claves de acceso**.

   1. En el cuadro de diálogo **Obtener credenciales**, elija la pestaña que coincida con su sistema operativo. 

   1. Elija el método de **credenciales de IAM Identity Center** para obtener los valores `SSO Start URL` y `SSO Region`.

1. Como alternativa, a partir de la versión 2.22.0, puede utilizar la nueva URL del emisor en lugar de la URL de inicio. La URL del emisor se ubica en la consola de AWS IAM Identity Center en una de las siguientes ubicaciones:
   + En la página del **panel**, la URL del emisor aparece en el resumen de la configuración.
   + En la página de **configuración**, la URL del emisor se encuentra en los ajustes del **origen de identidad**. 

1. Para obtener información sobre qué ámbitos se deben registrar, consulte [Ámbitos de acceso de OAuth 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) en la *Guía del usuario del IAM Identity Center*.

## Paso 3: creación de buckets de Amazon S3
<a name="cli-configure-sso-tutorial-buckets"></a>

Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

Para este tutorial, cree algunos buckets que pueda recuperar más tarde en una lista.

## Paso 4: Instalar la AWS CLI
<a name="cli-configure-sso-tutorial-install"></a>

Para instalar la AWS CLI, siga las instrucciones de su sistema operativo. Para obtener más información, consulte [Instalación o actualización de la versión más reciente de AWS CLI](getting-started-install.md).

Una vez instalada, puede verificar la instalación abriendo el terminal que prefiera y ejecutando el siguiente comando. Debería aparecer la versión instalada de la AWS CLI. 

```
$ aws --version
```

## Paso 5: configuración del perfil de la AWS CLI
<a name="cli-configure-sso-tutorial-configure"></a>

Configure su perfil con uno de los siguientes métodos.

### Configurar el perfil con el asistente de `aws configure sso`
<a name="li-configure-sso-tutorial-configure-wizard"></a>

La sección `sso-session` del archivo `config` se usa para agrupar las variables de configuración para adquirir los tokens de acceso SSO, que luego se pueden usar para adquirir credenciales de AWS. Se utilizan las siguientes configuraciones:
+ **(Obligatorio)** `sso\$1start\$1url`
+ **(Obligatorio)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

Defina una sección `sso-session` y asóciela a un perfil. Los ajustes de `sso_start_url` y `sso_region` se deben definir dentro de la sección `sso-session`. Normalmente, `sso_account_id` y `sso_role_name` deben establecerse en la sección `profile` para que el SDK pueda solicitar las credenciales de SSO. 

En el siguiente ejemplo se configura el SDK para que solicite credenciales de SSO y admita la actualización automática de tokens: 

```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

Para la compatibilidad de doble pila, puede usar el formato de URL de inicio del SSO de doble pila:

```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

La autorización de la clave de prueba para el intercambio de códigos (PKCE) se utiliza de forma predeterminada para la AWS CLI a partir de la versión 2.22.0 y se debe utilizar en dispositivos con navegador. Para seguir utilizando la autorización de dispositivos, agregue la opción `--use-device-code`.

```
$ aws configure sso --use-device-code
```

### Configuración manual mediante el archivo `config`
<a name="cli-configure-sso-tutorial-configure-manual"></a>

La sección `sso-session` del archivo `config` se usa para agrupar las variables de configuración para adquirir los tokens de acceso SSO, que luego se pueden usar para adquirir credenciales de AWS. Se utilizan las siguientes configuraciones:
+ **(Obligatorio)** `sso\$1start\$1url`
+ **(Obligatorio)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

Defina una sección `sso-session` y asóciela a un perfil. `sso_region` y`sso_start_url` deben establecerse en la sección `sso-session`. Normalmente, `sso_account_id` y `sso_role_name` deben establecerse en la sección `profile` para que el SDK pueda solicitar las credenciales de SSO. 

En el siguiente ejemplo se configura el SDK para que solicite credenciales de SSO y admita la actualización automática de tokens: 

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

Para la compatibilidad de doble pila, use el formato de URL de inicio del SSO de doble pila:

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

El token de autenticación se almacena en caché en el disco en el directorio `~/.aws/sso/cache` con un nombre de archivo basado en el nombre de la sesión. 

## Paso 6: inicio de sesión en IAM Identity Center
<a name="cli-configure-sso-tutorial-login.title"></a>

**nota**  
El proceso de inicio de sesión puede pedirle que permita que la AWS CLI acceda a sus datos. Dado que la AWS CLI se ha creado con el SDK para Python, los mensajes de permiso pueden contener variaciones del nombre `botocore`.

Para recuperar y almacenar en caché las credenciales de IAM Identity Center, ejecute el siguiente comando de la AWS CLI para abrir su navegador predeterminado y compruebe que ha iniciado sesión en IAM Identity Center.

```
$ aws sso login --profile my-dev-profile
```

A partir de la versión 2.22.0, la autorización de la PKCE es la predeterminada. Para usar la autorización del dispositivo para iniciar sesión, agregue la opción `--use-device-code`.

```
$ aws sso login --profile my-dev-profile --use-device-code
```

## Paso 7: ejecución de comandos de Amazon S3
<a name="cli-configure-sso-tutorial-commands"></a>

Para generar una lista de los buckets que creó anteriormente, utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html](https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html). En el siguiente ejemplo se enumeran todos los buckets de Amazon S3.

```
$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2
```

## Paso 8: cierre de sesión en IAM Identity Center
<a name="cli-configure-sso-tutorial-logout"></a>

Cuando haya terminado de utilizar su perfil de IAM Identity Center, ejecute el siguiente comando para eliminar las credenciales almacenadas en caché.

```
$ aws sso logout
Successfully signed out of all SSO profiles.
```

## Paso 9: eliminación de recursos
<a name="cli-configure-sso-tutorial-cleanup"></a>

Cuando termine este tutorial, elimine todos los recursos que haya creado durante el tutorial y que ya no necesite, incluidos los buckets de Amazon S3.

## Solución de problemas
<a name="cli-configure-sso-tutorial-tshoot"></a>

Si tiene problemas con la AWS CLI, consulte [Solución de errores para la AWS CLI](cli-chap-troubleshooting.md) para ver los pasos comunes de solución de problemas.

## Recursos adicionales
<a name="cli-configure-sso-tutorial-resources.title"></a>

Los recursos adicionales son los siguientes.
+ [Conceptos de AWS IAM Identity Center para la AWS CLI](cli-configure-sso-concepts.md)
+ [Configuración de la autenticación de IAM Identity Center con la AWS CLI](cli-configure-sso.md)
+ [Instalación o actualización de la versión más reciente de AWS CLI](getting-started-install.md)
+ [Opciones de los archivos de configuración y credenciales en la AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) en la *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) en la *AWS CLI version 2 Reference*
+ [Setting up to use the AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) en la *Guía del usuario de Amazon CodeCatalyst*
+ [Ámbitos de acceso de OAuth 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) en la *Guía del usuario del IAM Identity Center*
+ [Tutoriales de introducción](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) en la *Guía del usuario del IAM Identity Center*