Provider di credenziali IAM Identity Center - AWSSDK e strumenti
PrerequisitiConfigurazione del provider di token SSOConfigurazione legacy non aggiornabileImpostazioni del provider di credenziali IAM Identity CenterCompatibilità con SDKS AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Provider di credenziali IAM Identity Center

Questo meccanismo di autenticazione consente l'AWS IAM Identity Centeraccesso Single Sign-On (SSO) al codice. Servizi AWS

Nota

Nella documentazione dell'API AWS SDK, il provider di credenziali IAM Identity Center è chiamato provider di credenziali SSO.

Dopo aver abilitato IAM Identity Center, definisci un profilo per le relative impostazioni nel file condiviso. AWS config Questo profilo viene utilizzato per connettersi al portale di accesso IAM Identity Center. Quando un utente si autentica con successo con IAM Identity Center, il portale restituisce credenziali a breve termine per il ruolo IAM associato a quell'utente. Per scoprire come l'SDK ottiene credenziali temporanee dalla configurazione e le utilizza per le richieste, consulta. Servizio AWS Comprendi l'autenticazione IAM Identity Center

Esistono due modi per configurare IAM Identity Center tramite il config file:

  • Configurazione del provider di token SSO (consigliata): estende il periodo della sessione fino a un massimo di sette giorni.

  • Configurazione legacy non aggiornabile: ottieni una sessione fissa di otto ore.

In entrambe le configurazioni, è necessario effettuare nuovamente l'accesso alla scadenza della sessione.

Per impostare durate di sessione personalizzate, è necessario utilizzare la configurazione del provider di token SSO. Per ulteriori informazioni sulla durata della sessione, consulta Configurare la durata delle sessioni del portale di AWS accesso nella Guida per l'AWS IAM Identity Centerutente.

Le due guide seguenti contengono informazioni aggiuntive su IAM Identity Center:

Prerequisiti

Devi prima abilitare IAM Identity Center. Per i dettagli sull'attivazione dell'autenticazione IAM Identity Center, consulta la Guida introduttiva nella Guida AWS IAM Identity Center per l'utente.

In alternativa, segui le Autenticazione IAM Identity Center istruzioni contenute in questa guida. Queste istruzioni forniscono una guida completa, dall'attivazione di IAM Identity Center al completamento della necessaria configurazione dei config file condivisi che segue di seguito.

Configurazione del provider di token SSO

Nota

Per utilizzare AWS CLI per creare questa configurazione per te, vedi Configurare il tuo profilo con la aws configure sso procedura guidata in. AWS CLI

Quando utilizzi la configurazione del provider di token SSO, l'AWSSDK o lo strumento aggiorna automaticamente la sessione fino al periodo di sessione prolungato (massimo sette giorni).

La sso-session sezione del config file viene utilizzata per raggruppare le variabili di configurazione per l'acquisizione dei token di accesso SSO, che possono quindi essere utilizzati per acquisire le credenziali. AWS Per ulteriori dettagli sulla formattazione delle sezioni all'interno di un file, vedere. config Formato del file di configurazione

Si definisce una sso-session sezione e la si associa a un profilo. sso_regione sso_start_url deve essere impostato all'interno della sso-session sezione. In genere, sso_account_id e sso_role_name deve essere impostato nella profile sezione in modo che l'SDK possa richiedere AWS le credenziali.

Nota

Per un'analisi approfondita su come gli SDK e gli strumenti utilizzano e aggiornano le credenziali utilizzando questa configurazione, consulta. Comprendi l'autenticazione IAM Identity Center

L'esempio seguente configura l'SDK per richiedere le credenziali IAM Identity Center. Supporta anche l'aggiornamento automatico dei token. 

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

È possibile riutilizzare le sso-session configurazioni su più profili. 

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

sso_account_ide sso_role_name non sono necessari per tutti gli scenari di configurazione del token SSO. Se l'applicazione utilizza solo il supporto per Servizi AWS l'autenticazione al portatore, non sono necessarie AWS le credenziali tradizionali. L'autenticazione Bearer è uno schema di autenticazione HTTP che utilizza token di sicurezza chiamati bearer tokens. In questo scenario, sso_account_id e sso_role_name non sono obbligatori. Consulta la guida individuale per Servizio AWS determinare se supporta l'autorizzazione del token al portatore.

Gli ambiti di registrazione sono configurati come parte di un. sso-session L'ambito è un meccanismo OAuth 2.0 per limitare l'accesso di un'applicazione all'account di un utente. Un'applicazione può richiedere uno o più ambiti e il token di accesso rilasciato all'applicazione è limitato agli ambiti concessi. Questi ambiti definiscono le autorizzazioni richieste per l'autorizzazione per il client OIDC registrato e i token di accesso recuperati dal client. Per le opzioni di ambito di accesso supportate, consulta Ambiti di accesso nella Guida per l'utente. AWS IAM Identity Center L'esempio seguente fornisce l'accesso per sso_registration_scopes elencare account e ruoli. 

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Il token di autenticazione viene memorizzato nella cache su disco all'interno della ~/.aws/sso/cache directory con un nome di file basato sul nome della sessione.

Configurazione legacy non aggiornabile

L'aggiornamento automatico dei token non è supportato utilizzando la configurazione legacy non aggiornabile. Ti consigliamo invece di utilizzare. Configurazione del provider di token SSO

Per utilizzare la configurazione precedente non aggiornabile, è necessario specificare le seguenti impostazioni all'interno del profilo:

  • sso_start_url

  • sso_region

  • sso_account_id

  • sso_role_name

Si specifica il portale utente per un profilo con le impostazioni sso_start_url andsso_region. Le autorizzazioni vengono specificate con le sso_role_name impostazioni sso_account_id e.

L'esempio seguente imposta i quattro valori obbligatori nel config file.

[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole

Il token di autenticazione viene memorizzato nella cache su disco all'interno della ~/.aws/sso/cache directory con un nome di file basato su. sso_start_url

Impostazioni del provider di credenziali IAM Identity Center

Configura questa funzionalità utilizzando quanto segue:

sso_start_url- impostazione dei AWS config file condivisi

L'URL che rimanda al portale di accesso IAM Identity Center della tua organizzazione. Per ulteriori informazioni sul portale di accesso IAM Identity Center, consulta Using the AWS access portal nella AWS IAM Identity CenterUser Guide.

Per trovare questo valore, apri la console IAM Identity Center, visualizza la dashboard e trova AWSl'URL del portale di accesso.

sso_region- impostazione dei AWS config file condivisi

Il Regione AWS che contiene l'host del portale IAM Identity Center, ovvero la regione selezionata prima di abilitare IAM Identity Center. È indipendente dalla AWS regione predefinita e può essere diversa.

Per un elenco completo di Regioni AWS e dei relativi codici, consulta Endpoint regionali nel Riferimenti generali di Amazon Web Services. Per trovare questo valore, apri la console IAM Identity Center, visualizza la dashboard e trova Region.

sso_account_id- impostazione dei AWS config file condivisi

L'ID numerico di Account AWS che è stato aggiunto tramite il AWS Organizations servizio da utilizzare per l'autenticazione.

Per visualizzare l'elenco degli account disponibili, vai alla console IAM Identity Center e apri la Account AWSpagina. Puoi anche visualizzare l'elenco degli account disponibili utilizzando il metodo ListAccountsAPI nel AWS IAM Identity CenterPortal API Reference. Ad esempio, puoi chiamare il AWS CLI metodo list-accounts.

sso_role_name- impostazione di file condivisi AWS config

Il nome di un set di autorizzazioni fornito come ruolo IAM che definisce le autorizzazioni risultanti dell'utente. Il ruolo deve esistere nel file Account AWS specificato da. sso_account_id Usa il nome del ruolo, non il ruolo Amazon Resource Name (ARN).

I set di autorizzazioni sono associati a politiche IAM e politiche di autorizzazione personalizzate e definiscono il livello di accesso degli utenti ai dati loro assegnati. Account AWS

Per visualizzare l'elenco dei set di autorizzazioni disponibili perAccount AWS, vai alla console IAM Identity Center e apri la Account AWSpagina. Scegli il nome corretto del set di autorizzazioni elencato nella Account AWS tabella. Puoi anche visualizzare l'elenco dei set di autorizzazioni disponibili utilizzando il metodo ListAccountRolesAPI nel AWS IAM Identity CenterPortal API Reference. Ad esempio, puoi chiamare il AWS CLI metodo list-account-roles.

sso_registration_scopes- impostazione di AWS config file condivisi

Un elenco delimitato da virgole di stringhe di ambito valide da autorizzare per. sso-session Gli ambiti autorizzano l'accesso agli endpoint autorizzati con token portatore di IAM Identity Center. È sso:account:access necessario concedere un ambito minimo di per ottenere un token di aggiornamento dal servizio IAM Identity Center. Per le stringhe di ambito di accesso supportate, consulta Access scopes nella Guida per l'AWS IAM Identity Centerutente. Questa impostazione non si applica alla configurazione precedente non aggiornabile. I token emessi utilizzando la configurazione legacy sono limitati all'ambito implicito. sso:account:access

Compatibilità con SDKS AWS

I seguenti SDK supportano le funzionalità e le impostazioni descritte in questo argomento. Vengono annotate eventuali eccezioni parziali.

SDK Supportato Note o ulteriori informazioni
AWS CLI v2
SDK per C++
SDK per Go V2 (1.x)
SDK per Go 1.x (V1) Per utilizzare le impostazioni dei config file condivisi, devi attivare il caricamento dal file di configurazione; vedi Sessioni.
SDK per Java 2.x Valori di configurazione supportati anche nel credentials file.
SDK per Java 1.x No
SDK per 3.x JavaScript
SDK per 2.x JavaScript
SDK per.NET 3.x
SDK per PHP 3.x
SDK per Python (Boto3)
SDK per Ruby 3.x