Konfigurasikan otentikasi alat dengan AWS - AWS Tools for PowerShell
Aktifkan dan konfigurasikan Pusat Identitas IAMKonfigurasikan Alat PowerShell untuk menggunakan IAM Identity Center.Memulai sesi portal AWS aksesContohInformasi tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan otentikasi alat dengan AWS

Anda harus menetapkan bagaimana kode Anda mengautentikasi AWS saat mengembangkan dengan Layanan AWS. Ada berbagai cara di mana Anda dapat mengonfigurasi akses terprogram ke AWS sumber daya, tergantung pada lingkungan dan AWS akses yang tersedia untuk Anda.

Untuk melihat berbagai metode otentikasi untuk Tools for PowerShell, lihat Autentikasi dan akses di AWS SDK dan Tools Reference Guide.

Topik ini mengasumsikan bahwa pengguna baru sedang berkembang secara lokal, belum diberikan metode otentikasi oleh majikan mereka, dan akan digunakan AWS IAM Identity Center untuk mendapatkan kredensil sementara. Jika lingkungan Anda tidak termasuk dalam asumsi ini, beberapa informasi dalam topik ini mungkin tidak berlaku untuk Anda, atau beberapa informasi mungkin telah diberikan kepada Anda.

Mengkonfigurasi lingkungan ini memerlukan beberapa langkah, yang dirangkum sebagai berikut:

  1. Aktifkan dan konfigurasikan Pusat Identitas IAM

  2. Konfigurasikan Alat PowerShell untuk menggunakan IAM Identity Center.

  3. Memulai sesi portal AWS akses

Aktifkan dan konfigurasikan Pusat Identitas IAM

Untuk menggunakannya AWS IAM Identity Center, pertama-tama harus diaktifkan dan dikonfigurasi. Untuk melihat detail tentang cara melakukannya PowerShell, lihat Langkah 1 dalam topik autentikasi IAM Identity Center di AWS SDK and Tools Reference Guide. Secara khusus, ikuti instruksi yang diperlukan di bawah Saya tidak memiliki akses yang ditetapkan melalui Pusat Identitas IAM.

Konfigurasikan Alat PowerShell untuk menggunakan IAM Identity Center.

catatan

Dimulai dengan versi 4.1.538 dari Tools for PowerShell, metode yang disarankan untuk mengonfigurasi kredensi SSO dan memulai sesi portal AWS akses adalah dengan menggunakan Initialize-AWSSSOConfigurationdan Invoke-AWSSSOLogincmdlet, seperti yang dijelaskan dalam topik ini. Jika Anda tidak memiliki akses ke versi Alat untuk PowerShell (atau yang lebih baru) atau tidak dapat menggunakan cmdlet tersebut, Anda masih dapat melakukan tugas-tugas ini dengan menggunakan. AWS CLI Untuk mengetahui caranya, lihatGunakan AWS CLI untuk login portal.

Prosedur berikut memperbarui AWS config file bersama dengan informasi SSO yang Alat untuk PowerShell digunakan untuk mendapatkan kredensi sementara. Sebagai konsekuensi dari prosedur ini, sesi portal AWS akses juga dimulai. Jika config file bersama sudah memiliki informasi SSO dan Anda hanya ingin tahu cara memulai sesi portal akses menggunakan Alat untuk PowerShell, lihat bagian selanjutnya dalam topik ini,Memulai sesi portal AWS akses.

  1. Jika Anda belum melakukannya, buka PowerShell dan instal yang AWS Tools for PowerShell sesuai untuk sistem operasi dan lingkungan Anda, termasuk cmdlet umum. Untuk informasi tentang cara melakukan ini, lihat Menginstal AWS Tools for PowerShell.

    Misalnya, jika menginstal versi Tools termodulasi untuk PowerShell Windows, kemungkinan besar Anda akan menjalankan perintah yang mirip dengan yang berikut ini:

    Install-Module -Name AWS.Tools.Installer
Install-AWSToolsModule AWS.Tools.Common

  2. Jalankan perintah berikut. Ganti nilai properti contoh dengan nilai dari konfigurasi Pusat Identitas IAM Anda. Untuk informasi tentang properti ini dan cara menemukannya, lihat setelan penyedia kredensi Pusat Identitas IAM di Panduan Referensi AWS SDK dan Alat.

    $params = @{
  ProfileName = 'my-sso-profile'
  AccountId = '111122223333'
  RoleName = 'SamplePermissionSet'
  SessionName = 'my-sso-session'
  StartUrl = 'https://provided-domain.awsapps.com/start'
  SSORegion = 'us-west-2'
  RegistrationScopes = 'sso:account:access'
};
Initialize-AWSSSOConfiguration @params

    Atau, Anda cukup menggunakan cmdlet dengan sendirinyaInitialize-AWSSSOConfiguration, dan Alat untuk PowerShell meminta Anda untuk nilai properti.

    Pertimbangan untuk nilai properti tertentu:

    • Jika Anda hanya mengikuti instruksi untuk mengaktifkan dan mengkonfigurasi IAM Identity Center, nilainya -RoleName mungkinPowerUserAccess. Tetapi jika Anda membuat izin Pusat Identitas IAM yang ditetapkan khusus untuk PowerShell pekerjaan, gunakan itu sebagai gantinya.

    • Pastikan untuk menggunakan Wilayah AWS tempat Anda telah mengkonfigurasi Pusat Identitas IAM.

  3. Pada titik ini, AWS config file bersama berisi profil yang dipanggil my-sso-profile dengan serangkaian nilai konfigurasi yang dapat direferensikan dari Alat untuk PowerShell. Untuk menemukan lokasi file ini, lihat Lokasi file bersama di AWS SDK dan Panduan Referensi Alat.

    Alat untuk PowerShell menggunakan penyedia token SSO profil untuk memperoleh kredensil sebelum mengirim permintaan ke. AWSsso_role_nameNilai, yang merupakan peran IAM yang terhubung ke set izin Pusat Identitas IAM, harus memungkinkan akses ke yang Layanan AWS digunakan dalam aplikasi Anda.

    Contoh berikut menunjukkan profil yang dibuat dengan menggunakan perintah yang ditunjukkan di atas. Beberapa nilai properti dan urutannya mungkin berbeda di profil Anda yang sebenarnya. sso-sessionProperti profil mengacu pada bagian bernamamy-sso-session, yang berisi pengaturan untuk memulai sesi portal AWS akses.

    [profile my-sso-profile]
sso_account_id=111122223333
sso_role_name=SamplePermissionSet
sso_session=my-sso-session

[sso-session my-sso-session]
sso_region=us-west-2
sso_registration_scopes=sso:account:access
sso_start_url=https://provided-domain.awsapps.com/start/

  4. Jika Anda sudah memiliki sesi portal AWS akses aktif, Alat untuk PowerShell memberi tahu Anda bahwa Anda sudah masuk.

    Jika bukan itu masalahnya, Alat untuk PowerShell mencoba membuka halaman otorisasi SSO secara otomatis di browser web default Anda. Ikuti petunjuk di browser Anda, yang mungkin termasuk kode otorisasi SSO, nama pengguna dan kata sandi, dan izin untuk mengakses AWS IAM Identity Center akun dan set izin.

    Alat untuk PowerShell memberi tahu Anda bahwa login SSO berhasil.

Memulai sesi portal AWS akses

Sebelum menjalankan perintah yang mengakses Layanan AWS, Anda memerlukan sesi portal AWS akses aktif sehingga Alat untuk PowerShell dapat menggunakan autentikasi IAM Identity Center untuk menyelesaikan kredensil. Untuk masuk ke portal AWS akses, jalankan perintah berikut di PowerShell, di mana -ProfileName my-sso-profile nama profil yang dibuat di config file bersama saat Anda mengikuti prosedur di bagian sebelumnya dari topik ini.

Invoke-AWSSSOLogin -ProfileName my-sso-profile

Jika Anda sudah memiliki sesi portal AWS akses aktif, Alat untuk PowerShell memberi tahu Anda bahwa Anda sudah masuk.

Jika bukan itu masalahnya, Alat untuk PowerShell mencoba membuka halaman otorisasi SSO secara otomatis di browser web default Anda. Ikuti petunjuk di browser Anda, yang mungkin termasuk kode otorisasi SSO, nama pengguna dan kata sandi, dan izin untuk mengakses AWS IAM Identity Center akun dan set izin.

Alat untuk PowerShell memberi tahu Anda bahwa login SSO berhasil.

Untuk menguji apakah Anda sudah memiliki sesi aktif, jalankan perintah berikut setelah menginstal atau mengimpor AWS.Tools.SecurityToken modul sesuai kebutuhan.

Get-STSCallerIdentity -ProfileName my-sso-profile

Respons terhadap Get-STSCallerIdentity cmdlet melaporkan akun IAM Identity Center dan set izin yang dikonfigurasi dalam file bersama. config

Contoh

Berikut ini adalah contoh bagaimana menggunakan IAM Identity Center dengan Tools for PowerShell. Ini mengasumsikan sebagai berikut:

  • Anda telah mengaktifkan IAM Identity Center dan mengonfigurasinya seperti yang dijelaskan sebelumnya dalam topik ini. Properti SSO ada di my-sso-profile profil, yang telah dikonfigurasi sebelumnya dalam topik ini.

  • Saat Anda masuk melalui Initialize-AWSSSOConfiguration atau Invoke-AWSSSOLogin cmdlet, pengguna memiliki setidaknya izin hanya-baca untuk Amazon S3.

  • Beberapa bucket S3 tersedia untuk dilihat pengguna tersebut.

Instal atau impor AWS.Tools.S3 modul sesuai kebutuhan dan kemudian gunakan PowerShell perintah berikut untuk menampilkan daftar bucket S3.

Get-S3Bucket -ProfileName my-sso-profile

Informasi tambahan

  • Untuk opsi lebih lanjut tentang otentikasi Alat untuk PowerShell, seperti penggunaan profil dan variabel lingkungan, lihat bagian konfigurasi di AWS SDK dan Panduan Referensi Alat.

  • Beberapa perintah memerlukan AWS Region untuk ditentukan. Ada beberapa cara untuk melakukannya, termasuk opsi -Region cmdlet, [default] profil, dan variabel AWS_REGION lingkungan. Untuk informasi selengkapnya, lihat Tentukan AWS Wilayah di panduan ini dan AWS Wilayah di Panduan Referensi AWS SDK dan Alat.

  • Untuk mempelajari lebih lanjut tentang praktik terbaik, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

  • Untuk membuat AWS kredensil jangka pendek, lihat Kredensial Keamanan Sementara di Panduan Pengguna IAM.

  • Untuk mempelajari tentang penyedia kredensi lainnya, lihat Penyedia kredensi terstandarisasi di Panduan Referensi AWS SDK dan Alat.

Topik