Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Ancienne configuration non actualisable pour AWS IAM Identity Center
Cette rubrique décrit comment configurer l'authentification des utilisateurs auprès AWS CLI de AWS IAM Identity Center (IAM Identity Center) afin d'obtenir les informations d'identification nécessaires pour exécuter des AWS CLI commandes à l'aide de l'ancienne méthode. Lorsque vous utilisez l'ancienne configuration non actualisable, vous devez actualiser manuellement le jeton car il expire périodiquement.
Lorsque vous utilisez IAM Identity Center, vous pouvez vous connecter à Active Directory, à un annuaire IAM Identity Center intégré ou à un autre IdP connecté à IAM Identity Center. Vous pouvez associer ces informations d'identification à un rôle AWS Identity and Access Management (IAM) dans lequel vous pouvez exécuter des AWS CLI commandes.
Quel que soit l'IdP que vous utilisez, IAM Identity Center élimine ces distinctions. Par exemple, vous pouvez connecter Microsoft Azure AD comme décrit dans l'article de blog The Next Evolution in IAM Identity Center
Note
Pour plus d'informations sur l'utilisation de l'authentification au porteur, qui n'utilise aucun identifiant de compte ni rôle, consultez la section Configuration pour utiliser l'authentification AWS CLI avec CodeCatalyst dans le guide de CodeCatalyst l'utilisateur Amazon.
Vous pouvez configurer un ou plusieurs de vos profils AWS CLI nommés pour utiliser un rôle issu d'un ancien IAM Identity Center de la manière suivante :
-
Automatiquement, à l'aide de la
aws configure ssocommande. -
Manuellement, en éditant le
configfichier qui contient les profils nommés.
Prérequis
-
Installez le AWS CLI. Pour plus d’informations, consultez Installez ou mettez à jour la dernière version du AWS CLI.
-
Vous devez d'abord avoir accès à l'authentification SSO dans IAM Identity Center. Choisissez l'une des méthodes suivantes pour accéder à vos AWS informations d'identification.
Suivez les instructions de la section Mise en route du guide de AWS IAM Identity Center l'utilisateur. Ce processus active IAM Identity Center, crée un utilisateur administratif et ajoute un ensemble d'autorisations de moindre privilège approprié.
Note
Créez un ensemble d'autorisations qui applique les autorisations du moindre privilège. Nous vous recommandons d'utiliser l'ensemble PowerUserAccess d'autorisations prédéfini, sauf si votre employeur a créé un ensemble d'autorisations personnalisé à cette fin.
Quittez le portail et reconnectez-vous pour voir vos options Comptes AWS et celles pour Administrator ouPowerUserAccess. Sélectionnez PowerUserAccess lorsque vous travaillez avec le SDK. Cela vous permet également de trouver des informations sur l'accès programmatique.
Connectez-vous AWS via le portail de votre fournisseur d'identité. Si votre administrateur cloud vous a accordé des autorisations PowerUserAccess (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. À côté du nom de votre ensemble d'autorisations, vous trouverez des options permettant d'accéder aux comptes manuellement ou par programmation à l'aide de cet ensemble d'autorisations.
Les implémentations personnalisées peuvent entraîner des expériences différentes, telles que des noms d'ensembles d'autorisations différents. Si vous ne savez pas quel ensemble d'autorisations utiliser, contactez votre équipe informatique pour obtenir de l'aide.
Connectez-vous AWS via le portail AWS d'accès. Si votre administrateur cloud vous a accordé des autorisations PowerUserAccess (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. À côté du nom de votre ensemble d'autorisations, vous trouverez des options permettant d'accéder aux comptes manuellement ou par programmation à l'aide de cet ensemble d'autorisations.
Contactez votre équipe informatique pour obtenir de l'aide.
Configuration automatique pour les anciennes configurations
Pour configurer un profil IAM Identity Center sur votre AWS CLI
-
Exécutez la
aws configure ssocommande et indiquez l'URL de démarrage de votre centre d'identité IAM et la AWS région qui héberge le répertoire du centre d'identité.$aws configure ssoSSO session name (Recommended): SSO start URL [None]:https://my-sso-portal.awsapps.com/startSSO region [None]:us-east-1 -
Les AWS CLI tentatives d'ouverture de votre navigateur par défaut et de lancement du processus de connexion à votre compte IAM Identity Center.
SSO authorization page has automatically been opened in your default browser. Follow the instructions in the browser to complete this authorization request.S'il n'est AWS CLI pas possible d'ouvrir le navigateur, le message suivant apparaît avec des instructions sur la façon de démarrer manuellement le processus de connexion.
Using a browser, open the following URL:https://device.sso.us-west-2.amazonaws.com/and enter the following code:QCFK-N451IAM Identity Center utilise le code pour associer la session IAM Identity Center à votre session en cours AWS CLI . La page du navigateur IAM Identity Center vous invite à vous connecter à l'aide de vos informations d'identification IAM Identity Center. Cela permet de récupérer et AWS CLI d'afficher les AWS comptes et les rôles que vous êtes autorisé à utiliser avec IAM Identity Center.
-
Ensuite, AWS CLI affiche les AWS comptes que vous pouvez utiliser. Si vous n'êtes autorisé à utiliser qu'un seul compte, celui-ci est automatiquement AWS CLI sélectionné pour vous et ignore l'invite. Les AWS comptes que vous pouvez utiliser sont déterminés par votre configuration utilisateur dans IAM Identity Center.
There are 2 AWS accounts available to you. > DeveloperAccount, developer-account-admin@example.com (123456789011) ProductionAccount, production-account-admin@example.com (123456789022)Utilisez les touches fléchées pour sélectionner le compte que vous souhaitez utiliser avec ce profil. Le caractère « > » sur la gauche pointe vers le choix actuel. Appuyez sur ENTRÉE pour effectuer votre sélection.
-
Ensuite, AWS CLI confirme votre choix de compte et affiche les rôles IAM disponibles dans le compte sélectionné. Si le compte sélectionné ne répertorie qu'un seul rôle, il le AWS CLI sélectionne automatiquement et ignore l'invite. Les rôles que vous pouvez utiliser sont déterminés par votre configuration utilisateur dans IAM Identity Center.
Using the account ID123456789011There are 2 roles available to you. > ReadOnly FullAccess<ENTER>Utilisez les touches fléchées pour sélectionner le rôle IAM que vous souhaitez utiliser avec ce profil, puis appuyez sur.
-
Cela AWS CLI confirme votre sélection de rôle.
Using the role name "ReadOnly" -
Terminez la configuration de votre profil en spécifiant le format de sortie par défaut, le format par défaut Région AWS auquel envoyer les commandes, et en fournissant un nom pour le profil afin que vous puissiez le référencer parmi tous ceux définis sur l'ordinateur local. Dans l'exemple ci-dessous, l'utilisateur entre une région par défaut, un format de sortie par défaut et le nom du profil. Vous pouvez également appuyer sur
<ENTER>pour sélectionner les valeurs par défaut affichées entre crochets. Le nom de profil suggéré est le numéro d'ID de compte suivi d'un trait de soulignement, lui-même suivi du nom du rôle.CLI default client Region [None]:us-west-2<ENTER>CLI default output format [None]:json<ENTER>CLI profile name [123456789011_ReadOnly]:my-dev-profile<ENTER>Note
Si vous le spécifiez
defaultcomme nom de profil, ce profil devient celui utilisé chaque fois que vous exécutez une AWS CLI commande et que vous ne spécifiez pas de nom de profil. -
Un message final décrit la configuration de profil terminée.
Pour utiliser ce profil, spécifiez le nom du profil à l'aide de --profile, comme indiqué :
aws s3 ls --profile my-dev-profile -
Les entrées de l'exemple précédent généreraient un profil nommé
~/.aws/configqui ressemblerait à l'exemple suivant :[profile my-dev-profile] sso_start_url = https://my-sso-portal.awsapps.com/start sso_region = us-east-1 sso_account_id = 123456789011 sso_role_name = readOnly region = us-west-2 output = jsonÀ ce stade, vous disposez d'un profil que vous pouvez utiliser pour demander des informations d'identification temporaires. Vous devez utiliser la commande
aws sso loginpour réellement demander et récupérer les informations d'identification temporaires nécessaires à l'exécution des commandes. Pour obtenir des instructions, veuillez consulter Utiliser un profil nommé IAM Identity Center .
Configuration manuelle pour les anciennes configurations
L'actualisation automatique des jetons n'est pas prise en charge avec l'ancienne configuration non actualisable. Nous vous recommandons d'utiliser la configuration du jeton SSO.
Pour ajouter manuellement le support IAM Identity Center à un profil nommé, vous devez ajouter les clés et valeurs suivantes à la définition du profil dans le fichier ~/.aws/config (Linux ou macOS) ou %USERPROFILE%/.aws/config (Windows).
Vous pouvez inclure toutes les autres clés et valeurs valides dans le .aws/config fichier, telles que regionoutput, ou s3. Pour éviter les erreurs, n'incluez aucune valeur liée aux informations d'identification, telle que role_arn ouaws_secret_access_key.
Voici un exemple de profil IAM Identity Center dans .aws/config :
[profilemy-sso-profile] sso_start_url =https://my-sso-portal.awsapps.com/startsso_region =us-west-2sso_account_id =111122223333sso_role_name =SSOReadOnlyRoleregion =us-west-2output =json
Votre profil pour les informations d'identification temporaires est complet.
Pour exécuter des commandes, vous devez d'abord utiliser la aws sso login commande pour demander et récupérer vos informations d'identification temporaires. Pour obtenir des instructions, reportez-vous à la section suivanteUtiliser un profil nommé IAM Identity Center . Le jeton d'authentification est mis en cache sur le disque sous le ~/.aws/sso/cache répertoire dont le nom de fichier est basé sur lesso_start_url.
