Penyedia kredensi Pusat Identitas IAM - AWS SDK dan Alat
PrasyaratKonfigurasi penyedia token SSOKonfigurasi lama yang tidak dapat disegarkanPengaturan penyedia kredensi Pusat Identitas IAMKompatibilitas dengan AWS SDK

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penyedia kredensi Pusat Identitas IAM

Mekanisme otentikasi ini digunakan AWS IAM Identity Center untuk mendapatkan akses masuk tunggal (SSO) untuk Layanan AWS kode Anda.

catatan

Dalam dokumentasi AWS SDK API, penyedia kredensi Pusat Identitas IAM disebut penyedia kredensi SSO.

Setelah mengaktifkan Pusat Identitas IAM, Anda menentukan profil untuk pengaturannya di AWS config file bersama Anda. Profil ini digunakan untuk terhubung ke portal akses Pusat Identitas IAM. Ketika pengguna berhasil mengautentikasi dengan IAM Identity Center, portal mengembalikan kredensi jangka pendek untuk peran IAM yang terkait dengan pengguna tersebut. Untuk mempelajari cara SDK mendapatkan kredensi sementara dari konfigurasi dan menggunakannya untuk Layanan AWS permintaan, lihat. Memahami autentikasi Pusat Identitas IAM

Ada dua cara untuk mengkonfigurasi IAM Identity Center melalui config file:

  • Konfigurasi penyedia token SSO (disarankan) - Durasi sesi yang diperpanjang.

  • Konfigurasi lama yang tidak dapat disegarkan - Menggunakan sesi delapan jam yang tetap.

Di kedua konfigurasi, Anda harus masuk lagi saat sesi Anda kedaluwarsa.

Untuk mengatur durasi sesi kustom, Anda harus menggunakan konfigurasi penyedia token SSO.

Dua panduan berikut berisi informasi tambahan tentang IAM Identity Center:

Prasyarat

Anda harus mengaktifkan Pusat Identitas IAM terlebih dahulu. Untuk detail tentang mengaktifkan autentikasi Pusat Identitas IAM, lihat Memulai di Panduan Pengguna.AWS IAM Identity Center

Atau, ikuti Autentikasi Pusat Identitas IAM instruksi dalam panduan ini. Instruksi ini memberikan panduan lengkap, mulai dari mengaktifkan IAM Identity Center hingga menyelesaikan konfigurasi config file bersama yang diperlukan berikut di sini.

Konfigurasi penyedia token SSO

catatan

Untuk menggunakan AWS CLI untuk membuat konfigurasi ini untuk Anda, lihat Mengkonfigurasi profil Anda dengan aws configure sso wizard di AWS CLI.

Saat Anda menggunakan konfigurasi penyedia token SSO, AWS SDK atau alat Anda secara otomatis menyegarkan sesi hingga periode sesi yang diperpanjang. Untuk informasi selengkapnya tentang durasi sesi dan durasi maksimum, lihat Mengonfigurasi durasi sesi portal AWS akses dan aplikasi terintegrasi Pusat Identitas IAM dalam Panduan AWS IAM Identity Center Pengguna.

sso-sessionBagian config file digunakan untuk mengelompokkan variabel konfigurasi untuk memperoleh token akses SSO, yang kemudian dapat digunakan untuk memperoleh AWS kredensional. Untuk detail selengkapnya tentang memformat bagian dalam config file, lihatFormat file konfigurasi.

Anda menentukan sso-session bagian dan mengaitkannya ke profil. sso_regiondan sso_start_url harus diatur dalam sso-session bagian. Biasanya, sso_account_id dan sso_role_name harus diatur di profile bagian sehingga SDK dapat meminta AWS kredensional.

catatan

Untuk menyelam lebih dalam tentang cara SDK dan alat menggunakan dan menyegarkan kredensional menggunakan konfigurasi ini, lihat. Memahami autentikasi Pusat Identitas IAM

Contoh berikut mengonfigurasi SDK untuk meminta kredenal Pusat Identitas IAM. Ini juga mendukung penyegaran token otomatis. 

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Anda dapat menggunakan kembali sso-session konfigurasi di beberapa profil. 

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

sso_account_iddan sso_role_name tidak diperlukan untuk semua skenario konfigurasi token SSO. Jika aplikasi Anda hanya menggunakan otentikasi pembawa dukungan Layanan AWS itu, maka AWS kredensi tradisional tidak diperlukan. Otentikasi pembawa adalah skema otentikasi HTTP yang menggunakan token keamanan yang disebut token pembawa. Dalam skenario ini, sso_account_id dan sso_role_name tidak diperlukan. Lihat panduan individual Layanan AWS untuk menentukan apakah itu mendukung otorisasi token pembawa.

Lingkup pendaftaran dikonfigurasi sebagai bagian dari filesso-session. Lingkup adalah mekanisme OAuth 2.0 untuk membatasi akses aplikasi ke akun pengguna. Aplikasi dapat meminta satu atau lebih cakupan, dan token akses yang dikeluarkan untuk aplikasi terbatas pada cakupan yang diberikan. Cakupan ini menentukan izin yang diminta untuk diotorisasi untuk klien OIDC terdaftar dan token akses yang diambil oleh klien. Untuk opsi cakupan akses yang didukung, lihat Cakupan akses di Panduan AWS IAM Identity Center Pengguna. Contoh berikut ditetapkan sso_registration_scopes untuk menyediakan akses untuk daftar akun dan peran. 

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Token otentikasi di-cache ke disk di bawah ~/.aws/sso/cache direktori dengan nama file berdasarkan nama sesi.

Konfigurasi lama yang tidak dapat disegarkan

Penyegaran token otomatis tidak didukung menggunakan konfigurasi lama yang tidak dapat disegarkan. Kami merekomendasikan menggunakan Konfigurasi penyedia token SSO sebagai gantinya.

Untuk menggunakan konfigurasi lama yang tidak dapat disegarkan, Anda harus menentukan pengaturan berikut di dalam profil Anda:

  • sso_start_url

  • sso_region

  • sso_account_id

  • sso_role_name

Anda menentukan portal pengguna untuk profil dengan sso_start_url dan sso_region pengaturan. Anda menentukan izin dengan sso_role_name pengaturan sso_account_id dan.

Contoh berikut menetapkan empat nilai yang diperlukan dalam config file.

[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole

Token otentikasi di-cache ke disk di bawah ~/.aws/sso/cache direktori dengan nama file berdasarkan file. sso_start_url

Pengaturan penyedia kredensi Pusat Identitas IAM

Konfigurasikan fungsi ini dengan menggunakan yang berikut ini:

sso_start_url- Pengaturan AWS config file bersama

URL yang mengarah ke portal akses Pusat Identitas IAM organisasi Anda. Untuk informasi selengkapnya tentang portal akses Pusat Identitas IAM, lihat Menggunakan portal AWS akses di Panduan AWS IAM Identity Center Pengguna.

Untuk menemukan nilai ini, buka konsol Pusat Identitas IAM, lihat Dasbor, dan temukan URL portal AWS akses.

sso_region- Pengaturan AWS config file bersama

Yang Wilayah AWS berisi host portal Pusat Identitas IAM Anda; yaitu, Wilayah yang Anda pilih sebelum mengaktifkan Pusat Identitas IAM. Ini independen dari AWS Wilayah default Anda, dan bisa berbeda.

Untuk daftar lengkap Wilayah AWS dan kodenya, lihat Titik Akhir Regional di. Referensi Umum Amazon Web Untuk menemukan nilai ini, buka konsol Pusat Identitas IAM, lihat Dasbor, dan temukan Wilayah.

sso_account_id- Pengaturan AWS config file bersama

ID numerik Akun AWS yang ditambahkan melalui AWS Organizations layanan untuk digunakan untuk otentikasi.

Untuk melihat daftar akun yang tersedia, buka konsol Pusat Identitas IAM dan buka Akun AWShalaman. Anda juga dapat melihat daftar akun yang tersedia menggunakan metode ListAccountsAPI di Referensi API AWS IAM Identity Center Portal. Misalnya, Anda dapat memanggil AWS CLI metode daftar-akun.

sso_role_name- Pengaturan AWS config file bersama

Nama set izin disediakan sebagai peran IAM yang mendefinisikan izin yang dihasilkan pengguna. Peran harus ada dalam yang Akun AWS ditentukan olehsso_account_id. Gunakan nama peran, bukan peran Amazon Resource Name (ARN).

Set izin memiliki kebijakan IAM dan kebijakan izin khusus yang dilampirkan padanya dan menentukan tingkat akses yang dimiliki pengguna ke yang ditetapkan. Akun AWS

Untuk melihat daftar set izin yang tersedia per Akun AWS, buka konsol Pusat Identitas IAM dan buka Akun AWShalaman. Pilih nama set izin yang benar yang tercantum dalam Akun AWS tabel. Anda juga dapat melihat daftar set izin yang tersedia menggunakan metode ListAccountRolesAPI di Referensi API AWS IAM Identity Center Portal. Misalnya, Anda dapat memanggil AWS CLI metode list-account-roles.

sso_registration_scopes- Pengaturan AWS config file bersama

Daftar string cakupan valid yang dibatasi koma yang akan diotorisasi untuk. sso-session Cakupan mengotorisasi akses ke titik akhir resmi token pembawa IAM Identity Center. Cakupan minimum sso:account:access harus diberikan untuk mendapatkan token penyegaran kembali dari layanan IAM Identity Center. Untuk string cakupan akses yang didukung, lihat Cakupan akses di AWS IAM Identity Center Panduan Pengguna. Pengaturan ini tidak berlaku untuk konfigurasi lama yang tidak dapat disegarkan. Token yang dikeluarkan menggunakan konfigurasi lama terbatas pada ruang lingkup secara sso:account:access implisit.

Kompatibilitas dengan AWS SDK

SDK berikut mendukung fitur dan pengaturan yang dijelaskan dalam topik ini. Setiap pengecualian sebagian dicatat. Setiap pengaturan properti sistem JVM didukung oleh AWS SDK for Java dan satu-satunya. AWS SDK for Kotlin

SDK Didukung Catatan atau informasi lebih lanjut
AWS CLI v2 Ya
SDK for C++ Ya
SDK for Go V2 (1.x) Ya
SDK for Go 1.x (V1) Ya Untuk menggunakan pengaturan config file bersama, Anda harus mengaktifkan pemuatan dari file konfigurasi; lihat Sesi.
SDK for Java 2.x Ya Nilai konfigurasi juga didukung dalam credentials file.
SDK for Java 1.x Tidak
SDK untuk 3.x JavaScript Ya
SDK untuk 2.x JavaScript Ya
SDK para Kotlin Ya
SDK for .NET 3.x Ya
SDK for PHP 3.x Ya
SDK untuk Python (Boto3) Ya
SDK for Ruby 3.x Ya
SDK untuk Rust Parsial Konfigurasi lama yang tidak dapat disegarkan saja.
Alat untuk PowerShell Ya