Autentikasi Pusat Identitas IAM

AWS IAM Identity Center adalah metode yang direkomendasikan untuk memberikan AWS kredensil saat mengembangkan pada layanan AWS non-komputasi. Misalnya, ini akan menjadi sesuatu seperti lingkungan pengembangan lokal Anda. Jika Anda mengembangkan AWS sumber daya, seperti Amazon Elastic Compute Cloud (Amazon EC2) AWS Cloud9 atau, sebaiknya Anda mendapatkan kredensi dari layanan tersebut.

Dalam tutorial ini, Anda membuat akses IAM Identity Center dan akan mengkonfigurasinya untuk SDK atau alat Anda dengan menggunakan portal AWS akses dan. AWS CLI

• Portal AWS akses adalah lokasi web tempat Anda masuk secara manual ke Pusat Identitas IAM. Format URL adalah d-xxxxxxxxxx.awsapps.com/start atauyour_subdomain.awsapps.com/start. Saat masuk ke portal AWS akses, Anda dapat melihat Akun AWS dan peran yang telah dikonfigurasi untuk pengguna tersebut. Prosedur ini menggunakan portal AWS akses untuk mendapatkan nilai konfigurasi yang Anda butuhkan untuk proses otentikasi SDK/alat.

• AWS CLI Ini digunakan untuk mengonfigurasi SDK atau alat Anda untuk menggunakan autentikasi IAM Identity Center untuk panggilan API yang dibuat oleh kode Anda. Proses satu kali ini memperbarui AWS config file bersama Anda, yang kemudian digunakan oleh SDK atau alat saat Anda menjalankan kode.

Konfigurasikan akses terprogram menggunakan IAM Identity Center

Langkah 1: Tetapkan akses dan pilih set izin yang sesuai

Jika Anda belum mengaktifkan Pusat Identitas IAM, lihat Mengaktifkan Pusat Identitas IAM di Panduan Pengguna.AWS IAM Identity Center

Pilih salah satu metode berikut untuk mengakses AWS kredensil Anda.

Saya tidak memiliki akses melalui IAM Identity Center

1. Tambahkan pengguna dan tambahkan izin administratif dengan mengikuti Konfigurasi akses pengguna dengan prosedur direktori Pusat Identitas IAM default di AWS IAM Identity Center Panduan Pengguna.

2. Set AdministratorAccess izin tidak boleh digunakan untuk pengembangan reguler. Sebagai gantinya, sebaiknya gunakan set PowerUserAccess izin yang telah ditentukan sebelumnya, kecuali majikan Anda telah membuat set izin khusus untuk tujuan ini.

   Ikuti hal yang sama Konfigurasikan akses pengguna dengan prosedur direktori Pusat Identitas IAM default lagi, tetapi kali ini:

   • Alih-alih membuat Admin team grup, buat Dev team grup, dan ganti ini setelahnya dalam instruksi.

   • Anda dapat menggunakan pengguna yang ada, tetapi pengguna harus ditambahkan ke Dev team grup baru.

   • Alih-alih membuat set AdministratorAccess izin, buat set PowerUserAccess izin, dan ganti setelahnya dalam instruksi.

   Setelah selesai, Anda harus memiliki yang berikut:

   • Sebuah Dev team kelompok.

   • PowerUserAccessIzin terlampir yang disetel ke Dev team grup.

   • Pengguna Anda ditambahkan ke Dev team grup.

3. Keluar dari portal dan masuk lagi untuk melihat opsi Anda Akun AWS dan untuk Administrator atauPowerUserAccess. Pilih PowerUserAccess saat bekerja dengan alat/SDK Anda.

Saya sudah memiliki akses AWS melalui penyedia identitas federasi yang dikelola oleh majikan saya (seperti Microsoft Entra atau Okta)

Masuk AWS melalui portal penyedia identitas Anda. Jika Administrator Cloud Anda telah memberi Anda izin PowerUserAccess (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut.

Implementasi kustom dapat menghasilkan pengalaman yang berbeda, seperti nama set izin yang berbeda. Jika Anda tidak yakin izin mana yang disetel untuk digunakan, hubungi tim TI Anda untuk mendapatkan bantuan.

Saya sudah memiliki akses AWS melalui portal AWS akses yang dikelola oleh majikan saya

Masuk AWS melalui portal AWS akses. Jika Administrator Cloud Anda telah memberi Anda izin PowerUserAccess (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut.

Saya sudah memiliki akses AWS melalui penyedia identitas kustom federasi yang dikelola oleh majikan saya

Hubungi tim TI Anda untuk bantuan.

Langkah 2: Konfigurasikan SDK dan alat untuk menggunakan IAM Identity Center

1. Pada mesin pengembangan Anda, instal yang terbaru AWS CLI.

   1. Lihat Menginstal atau memperbarui versi terbaru AWS CLI dari Panduan AWS Command Line Interface Pengguna.

   2. (Opsional) Untuk memverifikasi AWS CLI bahwa berfungsi, buka prompt perintah dan jalankan aws --version perintah.

2. Masuk ke portal AWS akses. Majikan Anda dapat memberikan URL ini atau Anda mungkin mendapatkannya dalam email berikut Langkah 1: Tetapkan akses. Jika tidak, temukan URL portal AWS akses Anda di Dasbor https://console.aws.amazon.com/singlesignon/.

   1. Di portal AWS akses, di tab Akun, pilih akun individual untuk dikelola. Peran untuk pengguna Anda ditampilkan. Pilih tombol Access untuk mendapatkan kredensional untuk baris perintah atau akses terprogram untuk set izin yang sesuai. Gunakan set PowerUserAccess izin yang telah ditentukan sebelumnya, atau izin mana pun yang telah Anda atau perusahaan Anda buat untuk menerapkan izin hak istimewa paling sedikit untuk pengembangan.

   2. Di kotak dialog Dapatkan kredensi, pilih macOS dan Linux atau Windows, tergantung pada sistem operasi Anda.

   3. Pilih metode kredensial Pusat Identitas IAM untuk mendapatkan SSO Region nilai SSO Start URL dan nilai yang Anda butuhkan untuk langkah berikutnya.

3. Di AWS CLI command prompt, jalankan aws configure sso perintah. Saat diminta, masukkan nilai konfigurasi yang Anda kumpulkan di langkah sebelumnya. Untuk detail tentang AWS CLI perintah ini, lihat Mengkonfigurasi profil Anda dengan aws configure sso wizard.

   1. Untuk nama profil CLI, kami sarankan memasukkan default saat Anda memulai. Untuk informasi tentang cara menyetel profil non-default (bernama) dan variabel lingkungan terkaitnya, lihatProfil.

4. (Opsional) Pada prompt AWS CLI perintah, konfirmasikan identitas sesi aktif dengan menjalankan aws sts get-caller-identity perintah. Respons harus menunjukkan set izin IAM Identity Center yang Anda konfigurasikan.

5. Jika Anda menggunakan AWS SDK, buat aplikasi untuk SDK Anda di lingkungan pengembangan Anda.

   1. Untuk beberapa SDK, paket tambahan seperti SSO dan SSOOIDC harus ditambahkan ke aplikasi Anda sebelum Anda dapat menggunakan autentikasi IAM Identity Center. Untuk detailnya, lihat SDK spesifik Anda.

   2. Jika sebelumnya Anda mengonfigurasi akses ke AWS, tinjau AWS credentials file bersama Anda untuk apa punAWS kunci akses. Anda harus menghapus kredensi statis sebelum SDK atau alat akan menggunakan kredenal Pusat Identitas IAM karena diutamakan. Rantai penyedia kredensi

Untuk mempelajari lebih dalam cara SDK dan alat menggunakan dan menyegarkan kredensil menggunakan konfigurasi ini, lihat. Memahami autentikasi Pusat Identitas IAM

Bergantung pada panjang sesi yang dikonfigurasi, akses Anda pada akhirnya akan kedaluwarsa dan SDK atau alat akan mengalami kesalahan otentikasi. Untuk me-refresh sesi portal akses lagi bila diperlukan, gunakan AWS CLI untuk menjalankan aws sso login perintah.

Anda dapat memperpanjang durasi sesi portal akses IAM Identity Center dan durasi sesi yang ditetapkan izin. Ini memperpanjang jumlah waktu Anda dapat menjalankan kode sebelum Anda perlu masuk lagi secara manual dengan kode. AWS CLI Untuk informasi selengkapnya, lihat topik berikut di Panduan Pengguna AWS IAM Identity Center :

• Durasi sesi IAM Identity Center — Konfigurasikan durasi sesi portal AWS akses pengguna Anda

• Izin mengatur durasi sesi - Mengatur durasi sesi

Untuk detail tentang semua pengaturan penyedia Pusat Identitas IAM untuk SDK dan alat, lihat Penyedia kredensi Pusat Identitas IAM di panduan ini.