Konfigurasi lama yang tidak dapat disegarkan untuk AWS IAM Identity Center

Topik ini menjelaskan cara mengonfigurasi untuk mengautentikasi pengguna dengan AWS IAM Identity Center (IAM Identity Center) untuk mendapatkan kredensional untuk menjalankan AWS CLI perintah menggunakan metode lama. AWS CLI Saat menggunakan konfigurasi lama yang tidak dapat disegarkan, Anda perlu menyegarkan token secara manual karena kedaluwarsa secara berkala.

Saat menggunakan IAM Identity Center, Anda dapat masuk ke Active Directory, direktori IAM Identity Center bawaan, atau IDP lain yang terhubung ke IAM Identity Center. Anda dapat memetakan kredenal ini ke peran AWS Identity and Access Management (IAM) di mana Anda dapat menjalankan perintah. AWS CLI

Terlepas dari IDP mana yang Anda gunakan, IAM Identity Center mengabstraksikan perbedaan tersebut. Misalnya, Anda dapat menghubungkan Microsoft Azure AD seperti yang dijelaskan dalam artikel blog Evolusi Berikutnya di Pusat Identitas IAM.

catatan

Untuk informasi tentang penggunaan autentikasi pembawa, yang tidak menggunakan ID akun dan peran, lihat Menyiapkan untuk menggunakan AWS CLI dengan CodeCatalyst di CodeCatalyst Panduan Pengguna Amazon.

Anda dapat mengonfigurasi satu atau beberapa profil AWS CLI bernama Anda untuk menggunakan peran dari Pusat Identitas IAM lama dengan cara berikut:

• Secara otomatis, menggunakan aws configure sso perintah.

• Secara manual, dengan mengedit config file yang menyimpan profil bernama.

Prasyarat

• Instal AWS CLI. Untuk informasi selengkapnya, lihat Instal atau perbarui ke versi terbaru AWS CLI.

• Anda harus terlebih dahulu memiliki akses ke otentikasi SSO dalam IAM Identity Center. Pilih salah satu metode berikut untuk mengakses AWS kredensional Anda.

Saya tidak memiliki akses melalui IAM Identity Center

Ikuti petunjuk di Memulai di Panduan AWS IAM Identity Center Pengguna. Proses ini mengaktifkan IAM Identity Center, membuat pengguna administratif, dan menambahkan set izin hak istimewa yang paling tidak sesuai.

catatan

Buat set izin yang menerapkan izin hak istimewa paling sedikit. Sebaiknya gunakan set PowerUserAccess izin yang telah ditentukan sebelumnya, kecuali majikan Anda telah membuat set izin khusus untuk tujuan ini.

Keluar dari portal dan masuk lagi untuk melihat opsi Anda Akun AWS dan untuk Administrator atauPowerUserAccess. Pilih PowerUserAccess saat bekerja dengan SDK. Ini juga membantu Anda menemukan detail tentang akses terprogram.

Saya sudah memiliki akses AWS melalui penyedia identitas federasi yang dikelola oleh majikan saya (seperti Azure AD atau Okta)

Masuk AWS melalui portal penyedia identitas Anda. Jika Administrator Cloud Anda telah memberi Anda izin PowerUserAccess (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut.

Implementasi kustom dapat menghasilkan pengalaman yang berbeda, seperti nama set izin yang berbeda. Jika Anda tidak yakin izin mana yang disetel untuk digunakan, hubungi tim TI Anda untuk mendapatkan bantuan.

Saya sudah memiliki akses AWS melalui portal AWS akses yang dikelola oleh majikan saya

Masuk AWS melalui portal AWS akses. Jika Administrator Cloud Anda telah memberi Anda izin PowerUserAccess (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut.

Saya sudah memiliki akses AWS melalui penyedia identitas kustom federasi yang dikelola oleh majikan saya

Hubungi tim TI Anda untuk bantuan.

Konfigurasi otomatis untuk konfigurasi lama

Untuk mengonfigurasi profil Pusat Identitas IAM ke AWS CLI

1. Jalankan aws configure sso perintah dan berikan URL awal Pusat Identitas IAM Anda dan AWS Wilayah yang menghosting direktori Pusat Identitas.

   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]:us-east-1

2. AWS CLI Upaya untuk membuka browser default Anda dan memulai proses login untuk akun IAM Identity Center Anda.

   SSO authorization page has automatically been opened in your default browser.
   Follow the instructions in the browser to complete this authorization request.

   Jika AWS CLI tidak dapat membuka browser, pesan berikut muncul dengan instruksi tentang cara memulai proses login secara manual.

   Using a browser, open the following URL:
    
   https://device.sso.us-west-2.amazonaws.com/
   
   and enter the following code:
   QCFK-N451

   IAM Identity Center menggunakan kode untuk mengaitkan sesi IAM Identity Center dengan sesi Anda saat ini AWS CLI . Halaman browser IAM Identity Center meminta Anda untuk masuk dengan kredenal Pusat Identitas IAM Anda. Ini memberikan izin AWS CLI untuk mengambil dan menampilkan AWS akun dan peran yang Anda berwenang untuk digunakan dengan IAM Identity Center.

3. Selanjutnya, AWS CLI menampilkan AWS akun yang tersedia untuk Anda gunakan. Jika Anda berwenang untuk hanya menggunakan satu akun, maka akan AWS CLI memilih akun tersebut untuk Anda secara otomatis dan melewatkan prompt. AWS Akun yang tersedia untuk Anda gunakan ditentukan oleh konfigurasi pengguna Anda di Pusat Identitas IAM.

   There are 2 AWS accounts available to you.
   > DeveloperAccount, developer-account-admin@example.com (123456789011) 
     ProductionAccount, production-account-admin@example.com (123456789022)

   Gunakan tombol panah untuk memilih akun yang ingin Anda gunakan dengan profil ini. Karakter “>” di sebelah kiri menunjuk ke pilihan saat ini. Tekan ENTER untuk membuat pilihan Anda.

4. Selanjutnya, AWS CLI konfirmasi pilihan akun Anda, dan menampilkan peran IAM yang tersedia untuk Anda di akun yang dipilih. Jika akun yang dipilih hanya mencantumkan satu peran, maka akan AWS CLI memilih peran tersebut untuk Anda secara otomatis dan melewatkan prompt. Peran yang tersedia untuk Anda gunakan ditentukan oleh konfigurasi pengguna Anda di Pusat Identitas IAM.

   Using the account ID 123456789011
   There are 2 roles available to you.
   > ReadOnly
     FullAccess

   <ENTER>Gunakan tombol panah untuk memilih peran IAM yang ingin Anda gunakan dengan profil ini dan tekan.

5. AWS CLI Konfirmasi pemilihan peran Anda.

   Using the role name "ReadOnly"

6. Selesaikan konfigurasi profil Anda dengan menentukan format output default, default Wilayah AWS untuk mengirim perintah, dan memberikan nama untuk profil sehingga Anda dapat mereferensikan profil ini dari antara semua yang ditentukan di komputer lokal. Dalam contoh berikut, pengguna memasukkan Wilayah default, format output default, dan nama profil. Anda dapat menekan <ENTER> untuk memilih nilai default apa pun yang ditampilkan di antara tanda kurung siku. Nama profil yang disarankan adalah nomor ID akun diikuti dengan garis bawah diikuti dengan nama peran.

   CLI default client Region [None]: us-west-2<ENTER>
   CLI default output format [None]: json<ENTER>
   CLI profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>

   catatan

   Jika Anda menentukan default sebagai nama profil, profil ini menjadi yang digunakan setiap kali Anda menjalankan AWS CLI perintah dan tidak menentukan nama profil.

7. Pesan terakhir menjelaskan konfigurasi profil yang telah selesai.

   Untuk menggunakan profil ini, tentukan nama profil menggunakan --profile, seperti yang ditunjukkan:

   aws s3 ls --profile my-dev-profile

8. Entri contoh sebelumnya akan menghasilkan profil bernama ~/.aws/config yang terlihat seperti contoh berikut.

   [profile my-dev-profile]
   sso_start_url = https://my-sso-portal.awsapps.com/start
   sso_region = us-east-1
   sso_account_id = 123456789011
   sso_role_name = readOnly
   region = us-west-2
   output = json

   Pada titik ini, Anda memiliki profil yang dapat Anda gunakan untuk meminta kredensitas sementara. Anda harus menggunakan aws sso login perintah untuk benar-benar meminta dan mengambil kredenal sementara yang diperlukan untuk menjalankan perintah. Untuk petunjuk, lihat Menggunakan profil bernama Pusat Identitas IAM .

Konfigurasi manual untuk konfigurasi lama

Penyegaran token otomatis tidak didukung menggunakan konfigurasi lama yang tidak dapat disegarkan. Sebaiknya gunakan konfigurasi token SSO.

Untuk menambahkan dukungan Pusat Identitas IAM secara manual ke profil bernama, Anda harus menambahkan kunci dan nilai berikut ke definisi profil dalam file ~/.aws/config (Linux atau macOS) %USERPROFILE%/.aws/config atau (Windows).

• sso_start_url

• sso_region

• sso_account_id

• sso_role_name

Anda dapat menyertakan kunci dan nilai lain yang valid dalam .aws/config file, seperti region, output, atau s3. Untuk mencegah kesalahan, jangan sertakan nilai terkait kredensi apa pun, seperti role_arn atauaws_secret_access_key.

Berikut ini adalah contoh profil IAM Identity Center di.aws/config:

[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json

Profil Anda untuk kredensi sementara sudah lengkap.

Untuk menjalankan perintah, Anda harus terlebih dahulu menggunakan aws sso login perintah untuk meminta dan mengambil kredensi sementara Anda. Untuk petunjuk, lihat bagian selanjutnya, Menggunakan profil bernama Pusat Identitas IAM .Token otentikasi di-cache ke disk di bawah ~/.aws/sso/cache direktori dengan nama file berdasarkan file. sso_start_url