Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utiliser un profil nommé IAM Identity Center
Cette rubrique décrit comment utiliser le pour authentifier les AWS CLI utilisateurs auprès de AWS IAM Identity Center (IAM Identity Center) afin d'obtenir des informations d'identification pour exécuter AWS CLI des commandes.
Note
Le caractère temporaire ou automatique de vos informations d'identification dépend de la manière dont vous avez précédemment configuré votre profil.
Rubriques
Prerequisites (Prérequis)
Vous avez configuré un profil IAM Identity Center. Pour plus d'informations, consultez Configurez le AWS CLI pour utiliser les informations d'identification du fournisseur de jetons IAM Identity Center avec actualisation automatique de l'authentification et Ancienne configuration non actualisable pour AWS IAM Identity Center.
Se connecter et obtenir des informations d'identification
Note
Le processus de connexion peut vous demander d'autoriser l'AWS CLIaccès à vos données. Étant donné que le AWS CLI est construit au-dessus du SDK pour Python, les messages d'autorisation peuvent contenir des variantes du botocore nom.
Après avoir configuré un profil nommé, vous pouvez l'invoquer pour demander des informations d'identification àAWS. Avant de pouvoir exécuter une commande AWS CLI de service, vous devez récupérer et mettre en cache un ensemble d'informations d'identification. Pour obtenir ces informations d'identification, exécutez la commande suivante.
$ aws sso login --profile my-dev-profileAWS CLIOuvre votre navigateur par défaut et vérifie votre connexion à IAM Identity Center.
SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/startSi vous n'êtes pas actuellement connecté à IAM Identity Center, vous devez fournir vos informations d'identification IAM Identity Center.
Si l'AWS CLI ne peut pas ouvrir votre navigateur, vous êtes invité à l'ouvrir vous-même et à entrer le code spécifié.
$aws sso login --profilemy-dev-profileUsing a browser, open the following URL:https://device.sso.us-west-2.amazonaws.com/and enter the following code:QCFK-N451
L'AWS CLI ouvre votre navigateur par défaut (ou vous ouvrez manuellement le navigateur de votre choix) à la page spécifiée, et entre le code fourni. La page Web vous invite ensuite à saisir vos informations d'identification IAM Identity Center.
Vos informations d'identification de session IAM Identity Center sont mises en cache. Si ces informations d'identification sont temporaires, elles incluent un horodatage d'expiration et, lorsqu'elles expirent, elles vous AWS CLI demandent de vous reconnecter à IAM Identity Center.
Si vos informations d'identification IAM Identity Center sont valides, il les AWS CLI utilise pour récupérer en toute sécurité les AWS informations d'identification pour le rôle IAM spécifié dans le profil.
Welcome, you have successfully signed-in to the AWS-CLI.Vous pouvez également spécifier le sso-session profil à utiliser lors de la connexion à l'aide du --sso-session paramètre de la aws sso login commande.
$aws sso login --sso-sessionmy-dev-sessionAttempting to automatically open the SSO authorization page in your default browser. If the browser does not open or you wish to use a different device to authorize this request, open the following URL:Successfully logged into Start URL:https://device.sso.us-west-2.amazonaws.com/and enter the following code:QCFK-N451https://cli-reinvent.awsapps.com/start
Exécution d'une commande avec votre profil IAM Identity Center
Vous pouvez utiliser ces informations d'identification pour appeler une AWS CLI commande avec le profil nommé associé. L'exemple suivant montre que la commande a été exécutée sous un rôle assumé qui fait partie du compte spécifié.
$aws sts get-caller-identity --profilemy-dev-profile{ "UserId": "AROA12345678901234567:test-user@example.com", "Account": "123456789011", "Arn": "arn:aws:sts::123456789011:assumed-role/AWSPeregrine_readOnly_12321abc454d123/test-user@example.com" }
Tant que vous vous êtes connecté à IAM Identity Center et que ces informations d'identification mises en cache n'ont pas expiré, les informations d'identification expirées sont AWS CLI automatiquement renouvelées en cas de besoinAWS. Toutefois, si vos informations d'identification IAM Identity Center expirent, vous devez les renouveler explicitement en vous reconnectant à votre compte IAM Identity Center.
$aws s3 ls --profilemy-sso-profileYour short-term credentials have expired. Please sign-in to renew your credentials SSO authorization page has automatically been opened in your default browser. Follow the instructions in the browser to complete this authorization request.
Déconnexion de vos sessions IAM Identity Center
Lorsque vous avez fini d'utiliser vos profils IAM Identity Center, vous pouvez choisir de ne rien faire et de laisser les informations d'identification AWS temporaires et vos informations d'identification IAM Identity Center expirer. Toutefois, vous pouvez également choisir d'exécuter la commande suivante pour supprimer immédiatement toutes les informations d'identification mises en cache dans le dossier de cache des informations d'identification SSO et toutes les informations d'identification AWS temporaires basées sur les informations d'identification de l'IAM Identity Center. Ces informations d'identification ne sont alors plus disponibles pour une utilisation pour une commande future.
$aws sso logoutSuccessfully signed out of all SSO profiles.
Si vous souhaitez ultérieurement exécuter des commandes avec l'un de vos profils IAM Identity Center, vous devez à nouveau exécuter la aws sso login commande (voir la section précédente) et spécifier le profil à utiliser.
