Usar un perfil con nombre del Centro de identidades de IAM - AWS Command Line Interface
Requisitos previosInicio de sesión y obtención de credencialesEjecución de un comando con el perfil del Centro de identidades de IAMCierre de sesiones de IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Usar un perfil con nombre del Centro de identidades de IAM

En este tema, se describe cómo usar la AWS CLI para autenticar a los usuarios con AWS IAM Identity Center (IAM Identity Center) para obtener credenciales para ejecutar comandos de la AWS CLI.

nota

Que sus credenciales sean temporales o se actualicen automáticamente depende de cómo haya configurado previamente su perfil.

Requisitos previos

Ha configurado un perfil de IAM Identity Center. Para obtener más información, consulte Configure las credenciales del proveedor de token de IAM Identity Center AWS CLI para utilizar con la actualización automática de la autenticación y Configuración heredada no actualizable para AWS IAM Identity Center.

Inicio de sesión y obtención de credenciales

nota

El proceso de inicio de sesión puede pedirle que permita que la AWS CLI acceda a sus datos. Dado que la AWS CLI se ha creado con el SDK para Python, los mensajes de permiso pueden contener variaciones del nombre botocore.

Después de configurar un perfil con nombre, puede invocarlo para solicitar credenciales de AWS. Para poder ejecutar un comando de servicio de la AWS CLI, debe recuperar y almacenar en caché un conjunto de credenciales. Para obtener estas credenciales, ejecute el siguiente comando.

$ aws sso login --profile my-dev-profile

La AWS CLI abre el navegador predeterminado y verifica su inicio de sesión de IAM Identity Center. 

SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start

Si actualmente no ha iniciado sesión en IAM Identity Center, debe proporcionar sus credenciales de IAM Identity Center.

Si la AWS CLI no puede abrir el navegador, se le pedirá que lo abra usted y que introduzca el código especificado.

$ aws sso login --profile my-dev-profile
Using a browser, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

La AWS CLI abre el navegador predeterminado (o usted abre manualmente el navegador de su elección) en la página especificada e introduce el código proporcionado. A continuación, la página web le pedirá sus credenciales de IAM Identity Center.

Sus credenciales de sesión del Centro de identidades de IAM se almacenan en caché. Si estas credenciales son temporales, incluye una marca de tiempo de caducidad y cuando caducan la AWS CLI le solicita que inicie sesión de nuevo en el Centro de identidades de IAM.

Si sus credenciales del Centro de identidades de IAM son válidas, la AWS CLI las utiliza para recuperar de forma segura las credenciales de AWS del rol de IAM especificado en el perfil. 

Welcome, you have successfully signed-in to the AWS-CLI.

También puede especificar qué perfil de sso-session utilizar al iniciar la sesión utilizando el parámetro --sso-session del comando aws sso login. 

$ aws sso login --sso-session my-dev-session
Attempting to automatically open the SSO authorization page in your default browser.
If the browser does not open or you wish to use a different device to authorize this request, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

Successfully logged into Start URL: https://cli-reinvent.awsapps.com/start

Ejecución de un comando con el perfil del Centro de identidades de IAM

Puede utilizar estas credenciales para invocar un comando de la AWS CLI con el perfil con nombre asociado. En el ejemplo siguiente se muestra que el comando se ejecutó bajo un rol asumido que forma parte de la cuenta especificada.

$ aws sts get-caller-identity --profile my-dev-profile
{
    "UserId": "AROA12345678901234567:test-user@example.com",
    "Account": "123456789011",
    "Arn": "arn:aws:sts::123456789011:assumed-role/AWSPeregrine_readOnly_12321abc454d123/test-user@example.com"
}

Mientras haya iniciado sesión en el Centro de identidades de IAM y esas credenciales almacenadas en caché no hayan caducado, la AWS CLI renovará automáticamente las credenciales de AWS caducadas cuando sea necesario. Sin embargo, si sus credenciales de IAM Identity Center caducan, debe renovarlas explícitamente iniciando sesión de nuevo en la cuenta de IAM Identity Center.

$ aws s3 ls --profile my-sso-profile
Your short-term credentials have expired. Please sign-in to renew your credentials
SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.

Cierre de sesiones de IAM Identity Center

Cuando haya terminado de usar los perfiles del Centro de identidades de IAM, puede elegir no hacer nada y dejar que caduquen las credenciales temporales de AWS y las credenciales del Centro de identidades de IAM. Sin embargo, también puede optar por ejecutar el siguiente comando para eliminar inmediatamente todas las credenciales almacenadas en la carpeta de la caché de credenciales de SSO, así como todas las credenciales temporales de AWS basadas en las credenciales de IAM Identity Center. Esto hará que esas credenciales no estén disponibles para ser utilizadas en un comando futuro.

$ aws sso logout
Successfully signed out of all SSO profiles.

Si más adelante desea ejecutar comandos con uno de los perfiles del Centro de identidades de IAM, deberá volver a ejecutar el comando aws sso login (consulte la sección anterior) y especificar el perfil que desea utilizar.