Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Penyedia kredensi Pusat Identitas IAM
Mekanisme otentikasi ini digunakan AWS IAM Identity Center untuk mendapatkan akses masuk tunggal (SSO) untuk Layanan AWS kode Anda.
catatan
Dalam dokumentasi AWS SDK API, penyedia kredensi Pusat Identitas IAM disebut penyedia kredensi SSO.
Setelah mengaktifkan Pusat Identitas IAM, Anda menentukan profil untuk pengaturannya di AWS
config
file bersama Anda. Profil ini digunakan untuk terhubung ke portal akses Pusat Identitas IAM. Ketika pengguna berhasil mengautentikasi dengan IAM Identity Center, portal mengembalikan kredensi jangka pendek untuk peran IAM yang terkait dengan pengguna tersebut. Untuk mempelajari cara SDK mendapatkan kredensi sementara dari konfigurasi dan menggunakannya untuk Layanan AWS permintaan, lihat. Memahami autentikasi Pusat Identitas IAM
Ada dua cara untuk mengkonfigurasi IAM Identity Center melalui config
file:
-
Konfigurasi penyedia token SSO (disarankan) - Durasi sesi yang diperpanjang.
-
Konfigurasi lama yang tidak dapat disegarkan - Menggunakan sesi delapan jam yang tetap.
Di kedua konfigurasi, Anda harus masuk lagi saat sesi Anda kedaluwarsa.
Untuk mengatur durasi sesi kustom, Anda harus menggunakan konfigurasi penyedia token SSO.
Dua panduan berikut berisi informasi tambahan tentang IAM Identity Center:
Prasyarat
Anda harus mengaktifkan Pusat Identitas IAM terlebih dahulu. Untuk detail tentang mengaktifkan autentikasi Pusat Identitas IAM, lihat Memulai di Panduan Pengguna.AWS IAM Identity Center
Atau, ikuti Autentikasi Pusat Identitas IAM instruksi dalam panduan ini. Instruksi ini memberikan panduan lengkap, mulai dari mengaktifkan IAM Identity Center hingga menyelesaikan konfigurasi config
file bersama yang diperlukan berikut di sini.
Konfigurasi penyedia token SSO
catatan
Untuk menggunakan AWS CLI untuk membuat konfigurasi ini untuk Anda, lihat Mengkonfigurasi profil Anda dengan aws configure sso
wizard di AWS CLI.
Saat Anda menggunakan konfigurasi penyedia token SSO, AWS SDK atau alat Anda secara otomatis menyegarkan sesi hingga periode sesi yang diperpanjang. Untuk informasi selengkapnya tentang durasi sesi dan durasi maksimum, lihat Mengonfigurasi durasi sesi portal AWS akses dan aplikasi terintegrasi Pusat Identitas IAM dalam Panduan AWS IAM Identity Center Pengguna.
sso-session
Bagian config
file digunakan untuk mengelompokkan variabel konfigurasi untuk memperoleh token akses SSO, yang kemudian dapat digunakan untuk memperoleh AWS kredensional. Untuk detail selengkapnya tentang memformat bagian dalam config
file, lihatFormat file konfigurasi.
Anda menentukan sso-session
bagian dan mengaitkannya ke profil. sso_region
dan sso_start_url
harus diatur dalam sso-session
bagian. Biasanya, sso_account_id
dan sso_role_name
harus diatur di profile
bagian sehingga SDK dapat meminta AWS kredensional.
catatan
Untuk menyelam lebih dalam tentang cara SDK dan alat menggunakan dan menyegarkan kredensional menggunakan konfigurasi ini, lihat. Memahami autentikasi Pusat Identitas IAM
Contoh berikut mengonfigurasi SDK untuk meminta kredenal Pusat Identitas IAM. Ini juga mendukung penyegaran token otomatis.
[profile
dev
] sso_session =my-sso
sso_account_id =111122223333
sso_role_name =SampleRole
[sso-sessionmy-sso
] sso_region =us-east-1
sso_start_url =https://my-sso-portal.awsapps.com/start
sso_registration_scopes =sso:account:access
Anda dapat menggunakan kembali sso-session
konfigurasi di beberapa profil.
[profile
dev
] sso_session =my-sso
sso_account_id =111122223333
sso_role_name =SampleRole
[profile prod] sso_session =my-sso
sso_account_id =111122223333
sso_role_name =SampleRole2
[sso-sessionmy-sso
] sso_region =us-east-1
sso_start_url =https://my-sso-portal.awsapps.com/start
sso_registration_scopes =sso:account:access
sso_account_id
dan sso_role_name
tidak diperlukan untuk semua skenario konfigurasi token SSO. Jika aplikasi Anda hanya menggunakan otentikasi pembawa dukungan Layanan AWS itu, maka AWS kredensi tradisional tidak diperlukan. Otentikasi pembawa adalah skema otentikasi HTTP yang menggunakan token keamanan yang disebut token pembawa. Dalam skenario ini, sso_account_id
dan sso_role_name
tidak diperlukan. Lihat panduan individual Layanan AWS untuk menentukan apakah itu mendukung otorisasi token pembawa.
Lingkup pendaftaran dikonfigurasi sebagai bagian dari filesso-session
. Lingkup adalah mekanisme OAuth 2.0 untuk membatasi akses aplikasi ke akun pengguna. Aplikasi dapat meminta satu atau lebih cakupan, dan token akses yang dikeluarkan untuk aplikasi terbatas pada cakupan yang diberikan. Cakupan ini menentukan izin yang diminta untuk diotorisasi untuk klien OIDC terdaftar dan token akses yang diambil oleh klien. Untuk opsi cakupan akses yang didukung, lihat Cakupan akses di Panduan AWS IAM Identity Center Pengguna. Contoh berikut ditetapkan sso_registration_scopes
untuk menyediakan akses untuk daftar akun dan peran.
[sso-session
my-sso
] sso_region =us-east-1
sso_start_url =https://my-sso-portal.awsapps.com/start
sso_registration_scopes =sso:account:access
Token otentikasi di-cache ke disk di bawah ~/.aws/sso/cache
direktori dengan nama file berdasarkan nama sesi.
Konfigurasi lama yang tidak dapat disegarkan
Penyegaran token otomatis tidak didukung menggunakan konfigurasi lama yang tidak dapat disegarkan. Kami merekomendasikan menggunakan Konfigurasi penyedia token SSO sebagai gantinya.
Untuk menggunakan konfigurasi lama yang tidak dapat disegarkan, Anda harus menentukan pengaturan berikut di dalam profil Anda:
-
sso_start_url
-
sso_region
-
sso_account_id
-
sso_role_name
Anda menentukan portal pengguna untuk profil dengan sso_start_url
dan sso_region
pengaturan. Anda menentukan izin dengan sso_role_name
pengaturan sso_account_id
dan.
Contoh berikut menetapkan empat nilai yang diperlukan dalam config
file.
[profile
my-sso-profile
] sso_start_url =https://my-sso-portal.awsapps.com/start
sso_region =us-west-2
sso_account_id =111122223333
sso_role_name =SSOReadOnlyRole
Token otentikasi di-cache ke disk di bawah ~/.aws/sso/cache
direktori dengan nama file berdasarkan file. sso_start_url
Pengaturan penyedia kredensi Pusat Identitas IAM
Konfigurasikan fungsi ini dengan menggunakan yang berikut ini:
sso_start_url
- Pengaturan AWSconfig
file bersama-
URL yang mengarah ke portal akses Pusat Identitas IAM organisasi Anda. Untuk informasi selengkapnya tentang portal akses Pusat Identitas IAM, lihat Menggunakan portal AWS akses di Panduan AWS IAM Identity Center Pengguna.
Untuk menemukan nilai ini, buka konsol Pusat Identitas IAM
, lihat Dasbor, dan temukan URL portal AWS akses. sso_region
- Pengaturan AWSconfig
file bersama-
Yang Wilayah AWS berisi host portal Pusat Identitas IAM Anda; yaitu, Wilayah yang Anda pilih sebelum mengaktifkan Pusat Identitas IAM. Ini independen dari AWS Wilayah default Anda, dan bisa berbeda.
Untuk daftar lengkap Wilayah AWS dan kodenya, lihat Titik Akhir Regional di. Referensi Umum Amazon Web Untuk menemukan nilai ini, buka konsol Pusat Identitas IAM
, lihat Dasbor, dan temukan Wilayah. sso_account_id
- Pengaturan AWSconfig
file bersama-
ID numerik Akun AWS yang ditambahkan melalui AWS Organizations layanan untuk digunakan untuk otentikasi.
Untuk melihat daftar akun yang tersedia, buka konsol Pusat Identitas IAM
dan buka Akun AWShalaman. Anda juga dapat melihat daftar akun yang tersedia menggunakan metode ListAccountsAPI di Referensi API AWS IAM Identity Center Portal. Misalnya, Anda dapat memanggil AWS CLI metode daftar-akun . sso_role_name
- Pengaturan AWSconfig
file bersama-
Nama set izin disediakan sebagai peran IAM yang mendefinisikan izin yang dihasilkan pengguna. Peran harus ada dalam yang Akun AWS ditentukan oleh
sso_account_id
. Gunakan nama peran, bukan peran Amazon Resource Name (ARN).Set izin memiliki kebijakan IAM dan kebijakan izin khusus yang dilampirkan padanya dan menentukan tingkat akses yang dimiliki pengguna ke yang ditetapkan. Akun AWS
Untuk melihat daftar set izin yang tersedia per Akun AWS, buka konsol Pusat Identitas IAM
dan buka Akun AWShalaman. Pilih nama set izin yang benar yang tercantum dalam Akun AWS tabel. Anda juga dapat melihat daftar set izin yang tersedia menggunakan metode ListAccountRolesAPI di Referensi API AWS IAM Identity Center Portal. Misalnya, Anda dapat memanggil AWS CLI metode list-account-roles . sso_registration_scopes
- Pengaturan AWSconfig
file bersama-
Daftar string cakupan valid yang dibatasi koma yang akan diotorisasi untuk.
sso-session
Cakupan mengotorisasi akses ke titik akhir resmi token pembawa IAM Identity Center. Cakupan minimumsso:account:access
harus diberikan untuk mendapatkan token penyegaran kembali dari layanan IAM Identity Center. Untuk string cakupan akses yang didukung, lihat Cakupan akses di AWS IAM Identity Center Panduan Pengguna. Pengaturan ini tidak berlaku untuk konfigurasi lama yang tidak dapat disegarkan. Token yang dikeluarkan menggunakan konfigurasi lama terbatas pada ruang lingkup secarasso:account:access
implisit.
Kompatibilitas dengan AWS SDK
SDK berikut mendukung fitur dan pengaturan yang dijelaskan dalam topik ini. Setiap pengecualian sebagian dicatat. Setiap pengaturan properti sistem JVM didukung oleh AWS SDK for Java dan satu-satunya. AWS SDK for Kotlin
SDK | Didukung | Catatan atau informasi lebih lanjut |
---|---|---|
AWS CLI v2 | Ya | |
SDK for C++ | Ya | |
SDK for Go V2 (1.x) |
Ya | |
SDK for Go 1.x (V1) | Ya | Untuk menggunakan pengaturan config file bersama, Anda harus mengaktifkan pemuatan dari file konfigurasi; lihat Sesi. |
SDK for Java 2.x | Ya | Nilai konfigurasi juga didukung dalam credentials file. |
SDK for Java 1.x | Tidak | |
SDK untuk 3.x JavaScript | Ya | |
SDK untuk 2.x JavaScript | Ya | |
SDK para Kotlin | Ya | |
SDK for .NET 3.x | Ya | |
SDK for PHP 3.x | Ya | |
SDK untuk Python (Boto3) |
Ya | |
SDK for Ruby 3.x | Ya | |
SDK untuk Rust | Parsial | Konfigurasi lama yang tidak dapat disegarkan saja. |
Alat untuk PowerShell | Ya |