Memahami autentikasi Pusat Identitas IAM - AWS SDKsdan Tools
Ketentuan Pusat Identitas IAM yang relevanMemahami resolusi kredensi SDK untuk Layanan AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami autentikasi Pusat Identitas IAM

Ketentuan Pusat Identitas IAM yang relevan

Istilah berikut membantu Anda memahami proses dan konfigurasi di belakangAWS IAM Identity Center. Dokumentasi untuk API AWS SDK menggunakan nama yang berbeda dari IAM Identity Center untuk beberapa konsep otentikasi ini. Sangat membantu untuk mengetahui kedua nama tersebut.

Tabel berikut menunjukkan bagaimana nama-nama alternatif berhubungan satu sama lain.

Nama Pusat Identitas IAM Nama API SDK Deskripsi
Pusat Identitas sso Meskipun AWS Single Sign-On diganti namanya, namespace sso API akan mempertahankan nama aslinya untuk tujuan kompatibilitas mundur. Untuk informasi selengkapnya, lihat ganti nama Pusat Identitas IAM di AWS IAM Identity CenterPanduan Pengguna.

Konsol Pusat Identitas IAM

Konsol administratif

 Konsol yang Anda gunakan untuk mengonfigurasi sistem masuk tunggal.
AWSURL portal akses URL yang unik untuk akun Pusat Identitas IAM Anda, sepertihttps://xxx.awsapps.com/start. Anda masuk ke portal ini menggunakan kredenal masuk Pusat Identitas IAM Anda.
Sesi Portal Akses Pusat Identitas IAM Sesi otentikasi Menyediakan token akses pembawa ke penelepon.
Sesi set izin Sesi IAM yang digunakan SDK secara internal untuk melakukan panggilan. Layanan AWS Dalam diskusi informal, Anda mungkin melihat ini salah disebut sebagai “sesi peran.”
Izin menetapkan kredensional

Kredensial AWS

kredensi sigv4

 Kredensi yang sebenarnya digunakan SDK untuk sebagian besar Layanan AWS panggilan (khususnya, semua panggilan Layanan AWS sigv4). Dalam diskusi informal, Anda mungkin melihat ini salah disebut sebagai “kredensial peran.”
Penyedia kredensi Pusat Identitas IAM Penyedia kredensi SSO Bagaimana Anda mendapatkan kredensialnya, seperti kelas atau modul yang menyediakan fungsionalitas.

Memahami resolusi kredensi SDK untuk Layanan AWS

API Pusat Identitas IAM menukar kredenal token pembawa untuk kredenal sigv4. Sebagian besar Layanan AWS adalah API sigv4, dengan beberapa pengecualian seperti dan. Amazon CodeWhisperer Amazon CodeCatalyst Berikut ini menjelaskan proses resolusi kredenal untuk mendukung sebagian besar Layanan AWS panggilan untuk kode aplikasi Anda. AWS IAM Identity Center

Memulai sesi portal AWS akses

  • Mulai proses dengan masuk ke sesi dengan kredensi Anda.

    • Gunakan aws sso login perintah di AWS Command Line Interface (AWS CLI). Ini memulai sesi Pusat Identitas IAM baru jika Anda belum memiliki sesi aktif.

  • Saat memulai sesi baru, Anda menerima token penyegaran dan token akses dari IAM Identity Center. Ini AWS CLI juga memperbarui file JSON cache SSO dengan token akses baru dan token penyegaran dan membuatnya tersedia untuk digunakan oleh SDK.

  • Jika Anda sudah memiliki sesi aktif, AWS CLI perintah menggunakan kembali sesi yang ada dan akan kedaluwarsa setiap kali sesi yang ada berakhir. Untuk mempelajari cara mengatur panjang sesi Pusat Identitas IAM, lihat Mengonfigurasi durasi sesi portal AWS akses pengguna Anda di AWS IAM Identity CenterPanduan Pengguna.

    • Panjang sesi maksimum telah diperpanjang hingga 90 hari untuk mengurangi kebutuhan untuk sering masuk.

Bagaimana SDK mendapatkan kredensional untuk panggilan Layanan AWS

SDK menyediakan akses Layanan AWS saat Anda membuat instance objek klien per layanan. Ketika profil yang dipilih dari AWS config file bersama dikonfigurasi untuk resolusi kredensi Pusat Identitas IAM, Pusat Identitas IAM digunakan untuk menyelesaikan kredensil untuk aplikasi Anda.

Untuk mengambil kredensil API sigv4 menggunakan sistem masuk tunggal Pusat Identitas IAM, SDK menggunakan token akses Pusat Identitas IAM untuk mendapatkan sesi IAM. Sesi IAM ini disebut sesi set izin, dan menyediakan AWS akses ke SDK dengan mengasumsikan peran IAM.

  • Durasi sesi yang ditetapkan izin diatur secara independen dari durasi sesi Pusat Identitas IAM.

    • Untuk mempelajari cara menyetel durasi sesi yang ditetapkan izin, lihat Mengatur durasi sesi di Panduan AWS IAM Identity Center Pengguna.

  • Ketahuilah bahwa kredenal set izin juga disebut sebagai kredensial dan AWSkredensial sigv4 di sebagian besar dokumentasi SDK API. AWS

Kredensial set izin dikembalikan dari panggilan ke API Pusat getRoleCredentialsIdentitas IAM ke SDK. Objek klien SDK menggunakan peran IAM yang diasumsikan untuk melakukan panggilan keLayanan AWS, seperti meminta Amazon S3 untuk mencantumkan bucket di akun Anda. Objek klien dapat terus beroperasi menggunakan kredenal set izin tersebut hingga sesi set izin berakhir.

Kedaluwarsa sesi dan penyegaran

Saat menggunakan token akses per jam yang diperoleh dari IAM Identity Center secara otomatis di-refresh menggunakan token penyegaran. Konfigurasi penyedia token SSO

  • Jika token akses kedaluwarsa saat SDK mencoba menggunakannya, SDK menggunakan token penyegaran untuk mencoba mendapatkan token akses baru. Pusat Identitas IAM membandingkan token penyegaran dengan durasi sesi portal akses Pusat Identitas IAM Anda. Jika token penyegaran tidak kedaluwarsa, Pusat Identitas IAM merespons dengan token akses lain.

  • Token akses ini dapat digunakan untuk menyegarkan sesi set izin klien yang ada, atau untuk menyelesaikan kredensi untuk klien baru.

Namun, jika sesi portal akses IAM Identity Center kedaluwarsa, maka tidak ada token akses baru yang diberikan. Oleh karena itu, durasi yang ditetapkan izin tidak dapat diperpanjang. Ini akan kedaluwarsa (dan akses akan hilang) setiap kali izin cache menetapkan waktu lama sesi habis untuk klien yang ada.

Kode apa pun yang membuat klien baru akan gagal otentikasi segera setelah sesi IAM Identity Center berakhir. Ini karena kredenal set izin tidak di-cache. Kode Anda tidak akan dapat membuat klien baru dan menyelesaikan proses resolusi kredensi sampai Anda memiliki token akses yang valid.

Untuk rekap, saat SDK memerlukan kredenal set izin baru, SDK terlebih dahulu memeriksa kredenal yang valid dan sudah ada dan menggunakannya. Ini berlaku apakah kredensialnya untuk klien baru atau untuk klien yang sudah ada dengan kredensi kedaluwarsa. Jika kredensialnya tidak ditemukan atau tidak valid, maka SDK akan memanggil API Pusat Identitas IAM untuk mendapatkan kredensi baru. Untuk memanggil API, diperlukan token akses. Jika token akses kedaluwarsa, SDK menggunakan token penyegaran untuk mencoba mendapatkan token akses baru dari layanan Pusat Identitas IAM. Token ini diberikan jika sesi portal akses Pusat Identitas IAM Anda tidak kedaluwarsa.