Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Proveedor de credenciales del IAM Identity Center
Este mecanismo de autenticación se utiliza AWS IAM Identity Center para obtener acceso a tu código mediante el inicio de sesión único (SSO). Servicios de AWS
nota
En la documentación de la API del AWS SDK, el proveedor de credenciales del IAM Identity Center se denomina proveedor de credenciales de SSO.
Tras activar el Centro de identidades de IAM, debe definir un perfil para su configuración en el archivo compartido. AWS
config Este perfil se utiliza para conectarse al portal de acceso al Centro de identidades de IAM. Cuando un usuario se autentica correctamente en el Centro de identidades de IAM, el portal devuelve las credenciales de corta duración para el rol de IAM asociado a ese usuario. Para saber cómo el SDK obtiene las credenciales temporales de la configuración y las utiliza para las Servicio de AWS solicitudes, consulteComprender la autenticación del Centro de identidades de IAM.
Hay dos formas de configurar el Centro de identidades de IAM a través del archivo config:
-
Configuración del proveedor de tokens de SSO (recomendada): duraciones de sesión prolongadas.
-
Configuración antigua que no se puede actualizar: utiliza una sesión fija de ocho horas.
En ambas configuraciones, tendrá que volver a iniciar sesión cuando caduque la sesión.
Para establecer duraciones de sesión personalizadas, debe usar la configuración del proveedor de token de SSO.
Las dos guías siguientes contienen información adicional sobre el Centro de identidades de IAM:
Requisitos previos
Primero debe activar el Centro de identidades de IAM. Para más detalles sobre la activación de la autenticación en el Centro de identidades de IAM, consulte la Introducción en la Guía del usuario de AWS IAM Identity Center .
Como alternativa, siga las instrucciones Autenticación del Centro de identidades de IAM de esta guía. Estas instrucciones proporcionan una guía completa, desde la activación del Centro de identidades de IAM hasta la realización de la configuración necesaria de archivos compartidos config, que se indica a continuación.
Configuración del proveedor de token de SSO
nota
Para utilizarla AWS CLI y crear esta configuración por usted, consulte Configurar su perfil con el aws configure sso asistente en AWS CLI.
Al utilizar la configuración del proveedor de token de SSO, el AWS SDK o la herramienta actualizan automáticamente la sesión hasta el período de sesión extendido. Para obtener más información sobre la duración y la duración máxima de la sesión, consulte Configurar la duración de la sesión del portal de AWS acceso y de las aplicaciones integradas del IAM Identity Center en la Guía del AWS IAM Identity Center usuario.
La sso-session sección del config archivo se usa para agrupar las variables de configuración para adquirir los tokens de acceso del SSO, que luego se pueden usar para adquirir AWS credenciales. Para obtener más información sobre el formato de las secciones de un archivo config, consulte Formato del archivo de configuración.
Defina una sección sso-session y asóciela a un perfil. sso_region ysso_start_url deben establecerse en la sección sso-session. Normalmente, sso_account_id se sso_role_name debe configurar en la profile sección para que el SDK pueda solicitar AWS credenciales.
nota
Para obtener información detallada sobre cómo los SDK y las herramientas utilizan y actualizan las credenciales con esta configuración, consulte Comprender la autenticación del Centro de identidades de IAM.
En el siguiente ejemplo se configura el SDK para que solicite credenciales de Centro de identidades de IAM. También admite la actualización automática de los tokens.
[profiledev] sso_session =my-ssosso_account_id =111122223333sso_role_name =SampleRole[sso-sessionmy-sso] sso_region =us-east-1sso_start_url =https://my-sso-portal.awsapps.com/startsso_registration_scopes =sso:account:access
Puede reutilizar las configuraciones de sso-session en varios perfiles.
[profiledev] sso_session =my-ssosso_account_id =111122223333sso_role_name =SampleRole[profile prod] sso_session =my-ssosso_account_id =111122223333sso_role_name =SampleRole2[sso-sessionmy-sso] sso_region =us-east-1sso_start_url =https://my-sso-portal.awsapps.com/startsso_registration_scopes =sso:account:access
No obstante, sso_account_id y sso_role_name no son necesarios para todos los escenarios de configuración de token de SSO. Si su aplicación solo utiliza Servicios de AWS una autenticación de portador compatible, no necesitará AWS las credenciales tradicionales. La autenticación de portador es un esquema de autenticación HTTP que utiliza tokens de seguridad denominados tokens de portador. En este escenario, no se necesitan sso_account_id ni sso_role_name. Consulte la guía individual Servicio de AWS para determinar si admite la autorización de un token al portador.
Los ámbitos de registro se configuran como parte de un sso-session. El alcance es un mecanismo de OAuth 2.0 para limitar el acceso de una aplicación a la cuenta de un usuario. Una solicitud puede pedir uno o varios ámbitos y el token de acceso emitido a la solicitud se limita a los ámbitos concedidos. Estos ámbitos definen los permisos cuya autorización se solicita para el cliente OIDC registrado y los tokens de acceso recuperados por el cliente. Para ver las opciones de ámbito de acceso compatibles, consulte los ámbitos de acceso en la Guía del usuario de AWS IAM Identity Center . El siguiente ejemplo establece sso_registration_scopes para proporcionar acceso para enumerar cuentas y roles.
[sso-sessionmy-sso] sso_region =us-east-1sso_start_url =https://my-sso-portal.awsapps.com/startsso_registration_scopes =sso:account:access
El token de autenticación se almacena en caché en el disco en el directorio ~/.aws/sso/cache con un nombre de archivo basado en el nombre de la sesión.
Configuración heredada no actualizable
La actualización automática de tokens no se admite con la configuración no actualizable heredada. Se recomienda utilizar el Configuración del proveedor de token de SSO en su lugar.
Para utilizar la configuración heredada no renovable, debe especificar los siguientes parámetros en su perfil:
-
sso_start_url -
sso_region -
sso_account_id -
sso_role_name
Debe especificar el portal de usuario para un perfil con la configuración de sso_start_url y sso_region. Los permisos se especifican con la configuración de sso_account_id y sso_role_name.
En el siguiente ejemplo se definen los cuatro valores obligatorios del archivo config.
[profilemy-sso-profile] sso_start_url =https://my-sso-portal.awsapps.com/startsso_region =us-west-2sso_account_id =111122223333sso_role_name =SSOReadOnlyRole
El token de autenticación se almacena en caché en el disco en el directorio ~/.aws/sso/cache con un nombre de archivo basado en el sso_start_url.
Configuración del proveedor de credenciales del IAM Identity Center
Configure esta funcionalidad mediante lo siguiente:
sso_start_url- configuración de AWSconfigarchivos compartidos-
La URL que apunta al portal de acceso al Centro de identidades de IAM de su organización. Para obtener más información sobre el portal de acceso al Centro de Identidad de IAM, consulte Uso del portal de AWS acceso en la Guía del AWS IAM Identity Center usuario.
Para encontrar este valor, abra la consola del Centro de identidades de IAM
, consulte el panel de control y busque la URL del portal de acceso a AWS . sso_region- configuración de AWSconfigarchivos compartidos-
El Región de AWS que contiene el host del portal del Centro de Identidad de IAM; es decir, la región que seleccionó antes de activar el Centro de Identidad de IAM. Es independiente de la AWS región predeterminada y puede ser diferente.
Para obtener una lista completa de ellos Regiones de AWS y sus códigos, consulte los puntos finales regionales en. Referencia general de Amazon Web Services Para encontrar este valor, abra la consola del Centro de identidades de IAM
, consulte el panel de control y busque la Región. sso_account_id- configuración de AWSconfigarchivos compartidos-
El identificador numérico del Cuenta de AWS que se agregó a través del AWS Organizations servicio para usarlo en la autenticación.
Para ver la lista de cuentas disponibles, vaya a la consola del Centro de identidades de IAM
y abra la página Cuentas de AWS. También puedes ver la lista de cuentas disponibles mediante el método ListAccountsAPI en la Referencia de API del AWS IAM Identity Center portal. Por ejemplo, puedes llamar al AWS CLI método list-accounts . sso_role_name- configuración de archivos compartidos AWSconfig-
El nombre de un conjunto de permisos aprovisionado como rol de IAM que define los permisos resultantes que tiene el usuario. El rol debe existir en el lugar Cuenta de AWS especificado por
sso_account_id. Utilice el nombre de la función, no el Nombre de recurso de Amazon (ARN) de la función.Los conjuntos de permisos tienen adjuntas políticas de IAM y políticas de permisos personalizadas y definen el nivel de acceso que los usuarios tienen a su Cuentas de AWS asignado.
Para ver la lista de conjuntos de permisos disponibles por cada uno Cuenta de AWS, vaya a la consola del IAM Identity Center
y abra la Cuentas de AWSpágina. Elija el nombre correcto del conjunto de permisos que aparece en la Cuentas de AWS tabla. También puede ver la lista de conjuntos de permisos disponibles mediante el método ListAccountRolesAPI en la Referencia de API del AWS IAM Identity Center portal. Por ejemplo, puedes llamar al AWS CLI método list-account-roles . sso_registration_scopes- configuración de AWSconfigarchivos compartidos-
Una lista delimitada por comas de los ámbitos válidos que deben autorizarse para la
sso-session. Los ámbitos autorizan el acceso a los puntos de conexión autorizados por el token de portador del Centro de identidades de IAM. Para recuperar un token de actualización del servicio del Centro de identidades de IAM, se debe conceder un límite mínimo desso:account:access. Para ver las opciones de ámbito de acceso compatibles, consulte los Ámbitos de acceso en la Guía del usuario de AWS IAM Identity Center . Esta configuración no aplica a la configuración heredada no actualizable. Los tokens emitidos con la configuración heredada tienen un alcance limitado desso:account:accessde forma implícita.
Compatibilidad con los AWS SDK
Los siguientes SDK admiten las características y los ajustes descritos en este tema. Se anotan todas las excepciones parciales. Todos los ajustes de propiedades del sistema JVM son compatibles con AWS SDK for Java y únicamente. AWS SDK para Kotlin
| SDK | Compatible | Notas o más información |
|---|---|---|
| AWS CLI v2 | Sí | |
| SDK para C++ | Sí | |
| SDK para Go V2 (1.x) |
Sí | |
| SDK para Go 1.x (V1) | Sí | Para usar la configuración de archivos compartidosconfig, debe activar la carga desde el archivo de configuración; consulte Sesiones. |
| SDK para Java 2.x | Sí | Los valores de configuración también se admiten en el archivo credentials. |
| SDK para Java 1.x | No | |
| SDK para 3.x JavaScript | Sí | |
| SDK para 2.x JavaScript | Sí | |
| SDK para Kotlin | Sí | |
| SDK para .NET 3.x | Sí | |
| SDK para PHP 3.x | Sí | |
| SDK para Python (Boto3) |
Sí | |
| SDK para Ruby 3.x | Sí | |
| SDK para Rust | Parcial | Solo configuración heredada no actualizable. |
| Herramientas para PowerShell | Sí |
