Authentification IAM Identity Center

AWS IAM Identity Center est la méthode recommandée pour fournir des AWS informations d'identification lors du développement sur un service non AWS informatique. Par exemple, cela pourrait être quelque chose comme votre environnement de développement local. Si vous développez sur une AWS ressource, telle qu'Amazon Elastic Compute Cloud (Amazon EC2) AWS Cloud9, nous vous recommandons d'obtenir des informations d'identification auprès de ce service.

Dans ce didacticiel, vous établissez l'accès à IAM Identity Center et vous le configurez pour votre SDK ou outil à l'aide du portail AWS d'accès et du. AWS CLI

• Le portail AWS d'accès est l'emplacement Web où vous vous connectez manuellement à l'IAM Identity Center. Le format de l'URL est d-xxxxxxxxxx.awsapps.com/start ouyour_subdomain.awsapps.com/start. Lorsque vous êtes connecté au portail AWS d'accès, vous pouvez consulter Comptes AWS les rôles qui ont été configurés pour cet utilisateur. Cette procédure utilise le portail AWS d'accès pour obtenir les valeurs de configuration dont vous avez besoin pour le processus d'authentification du SDK ou de l'outil.

• AWS CLI Il est utilisé pour configurer votre SDK ou votre outil afin d'utiliser l'authentification IAM Identity Center pour les appels d'API effectués par votre code. Ce processus unique met à jour votre AWS config fichier partagé, qui est ensuite utilisé par votre SDK ou votre outil lorsque vous exécutez votre code.

Configuration de l'accès programmatique à l'aide d'IAM Identity Center

Étape 1 : établir l'accès et sélectionner l'ensemble d'autorisations approprié

Si vous n'avez pas encore activé IAM Identity Center, consultez la section Activation d'IAM Identity Center dans le guide de l'AWS IAM Identity Center utilisateur.

Choisissez l'une des méthodes suivantes pour accéder à vos AWS informations d'identification.

Je n'ai pas établi d'accès via IAM Identity Center

1. Ajoutez un utilisateur et ajoutez des autorisations administratives en suivant la procédure de configuration de l'accès utilisateur avec le répertoire IAM Identity Center par défaut du guide de l'AWS IAM Identity Center utilisateur.

2. L'ensemble AdministratorAccess d'autorisations ne doit pas être utilisé pour le développement normal. Nous vous recommandons plutôt d'utiliser l'ensemble d'PowerUserAccessautorisations prédéfini, sauf si votre employeur a créé un ensemble d'autorisations personnalisé à cette fin.

   Suivez à nouveau la même procédure de configuration de l'accès utilisateur avec la procédure d'annuaire par défaut d'IAM Identity Center, mais cette fois :

   • Au lieu de créer le Admin team groupe, créez-en un Dev team et remplacez-le par la suite dans les instructions.

   • Vous pouvez utiliser l'utilisateur existant, mais celui-ci doit être ajouté au nouveau Dev team groupe.

   • Au lieu de créer l'ensemble d'AdministratorAccessautorisations, PowerUserAccess créez-en un et remplacez-le par la suite dans les instructions.

   Lorsque vous aurez terminé, vous devriez avoir les éléments suivants :

   • Un Dev team groupe.

   • Une PowerUserAccess autorisation attachée définie pour le Dev team groupe.

   • Votre utilisateur a été ajouté au Dev team groupe.

3. Quittez le portail et reconnectez-vous pour voir vos options Comptes AWS et celles pour Administrator ouPowerUserAccess. Sélectionnez PowerUserAccess lorsque vous travaillez avec votre outil/SDK.

J'y ai déjà accès AWS via un fournisseur d'identité fédéré géré par mon employeur (tel que Microsoft Entra ou Okta)

Connectez-vous AWS via le portail de votre fournisseur d'identité. Si votre administrateur cloud vous a accordé des autorisations PowerUserAccess (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. À côté du nom de votre ensemble d'autorisations, vous trouverez des options permettant d'accéder aux comptes manuellement ou par programmation à l'aide de cet ensemble d'autorisations.

Les implémentations personnalisées peuvent entraîner des expériences différentes, telles que des noms d'ensembles d'autorisations différents. Si vous ne savez pas quel ensemble d'autorisations utiliser, contactez votre équipe informatique pour obtenir de l'aide.

J'y ai déjà accès AWS via le portail AWS d'accès géré par mon employeur

Connectez-vous AWS via le portail AWS d'accès. Si votre administrateur cloud vous a accordé des autorisations PowerUserAccess (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. À côté du nom de votre ensemble d'autorisations, vous trouverez des options permettant d'accéder aux comptes manuellement ou par programmation à l'aide de cet ensemble d'autorisations.

J'y ai déjà accès AWS via un fournisseur d'identité personnalisé fédéré géré par mon employeur

Contactez votre équipe informatique pour obtenir de l'aide.

Étape 2 : Configuration des SDK et des outils pour utiliser IAM Identity Center

1. Sur votre machine de développement, installez la dernière version AWS CLI.

   1. Consultez la section Installation ou mise à jour de la dernière version du AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.

   2. (Facultatif) Pour vérifier que le AWS CLI fonctionne, ouvrez une invite de commande et exécutez la aws --version commande.

2. Connectez-vous au portail d' AWS accès. Votre employeur peut fournir cette URL ou vous pouvez l'obtenir par e-mail après l'étape 1 : Établir l'accès. Si ce n'est pas le cas, trouvez l'URL de votre portail d'AWS accès sur le tableau de bord de https://console.aws.amazon.com/singlesignon/.

   1. Dans le portail AWS d'accès, dans l'onglet Comptes, sélectionnez le compte individuel à gérer. Les rôles de votre utilisateur sont affichés. Choisissez les clés d'accès pour obtenir les informations d'identification pour la ligne de commande ou l'accès programmatique pour l'ensemble d'autorisations approprié. Utilisez l'ensemble PowerUserAccess d'autorisations prédéfini, ou le jeu d'autorisations que vous ou votre employeur avez créé pour appliquer les autorisations du moindre privilège au développement.

   2. Dans la boîte de dialogue Obtenir les informations d'identification, choisissez macOS et Linux ou Windows, selon votre système d'exploitation.

   3. Choisissez la méthode d'identification IAM Identity Center pour obtenir les SSO Region valeurs SSO Start URL et dont vous avez besoin pour l'étape suivante.

3. Dans l'invite de AWS CLI commande, exécutez la aws configure sso commande. Lorsque vous y êtes invité, entrez les valeurs de configuration que vous avez collectées à l'étape précédente. Pour plus de détails sur cette AWS CLI commande, voir Configurer votre profil à l'aide de l'aws configure ssoassistant.

   1. Pour le nom du profil CLI, nous vous recommandons de saisir la valeur par défaut lorsque vous démarrez. Pour plus d'informations sur la façon de définir des profils (nommés) autres que ceux par défaut et leur variable d'environnement associée, consultezProfils.

4. (Facultatif) Dans l'invite de AWS CLI commande, confirmez l'identité de la session active en exécutant la aws sts get-caller-identity commande. La réponse doit indiquer l'ensemble d'autorisations IAM Identity Center que vous avez configuré.

5. Si vous utilisez un AWS SDK, créez une application pour celui-ci dans votre environnement de développement.

   1. Pour certains SDK, des packages supplémentaires tels que SSO et SSOOIDC doivent être ajoutés à votre application avant de pouvoir utiliser l'authentification IAM Identity Center. Pour plus de détails, consultez votre SDK spécifique.

   2. Si vous avez déjà configuré l'accès à AWS, passez en revue votre AWS credentials fichier partagé pour en détecter d'éventuelsAWS clés d'accès. Vous devez supprimer toutes les informations d'identification statiques avant que le SDK ou l'outil n'utilise les informations d'identification du centre d'identité IAM en raison de la Chaîne de fournisseurs d'identifiants priorité.

Pour en savoir plus sur la façon dont les SDK et les outils utilisent et actualisent les informations d'identification à l'aide de cette configuration, voirComprendre l'authentification IAM Identity Center.

En fonction de la durée de session que vous avez configurée, votre accès finira par expirer et le SDK ou l'outil rencontrera une erreur d'authentification. Pour actualiser à nouveau la session du portail d'accès en cas de besoin, utilisez la commande AWS CLI pour exécuter la aws sso login commande.

Vous pouvez prolonger à la fois la durée de session du portail d'accès IAM Identity Center et celle de la session d'ensemble d'autorisations. Cela allonge le délai pendant lequel vous pouvez exécuter le code avant de devoir vous reconnecter manuellement à l'aide du AWS CLI. Pour plus d’informations, consultez les rubriques suivantes dans le AWS IAM Identity Center Guide de l’utilisateur :

• Durée de session IAM Identity Center : configurez la durée des sessions du portail d' AWS accès de vos utilisateurs

• Autoriser définir la durée de la session — Définir la durée de la session

Pour plus de détails sur tous les paramètres du fournisseur IAM Identity Center pour les SDK et les outils, consultez ce Fournisseur d'identifiants IAM Identity Center guide.