チュートリアル: IAM Identity Center を使用して Amazon S3 コマンドを実行する

このトピックでは、 (Amazon S3) の AWS IAM Identity Center （IAM) コマンドを実行するための認証情報を取得するために、現在の Amazon Simple Storage Service ( Identity Center AWS Command Line Interface AWS CLI) でユーザーを AWS CLI 認証するように を設定する方法について説明します。Amazon S3

ステップ 1: IAM Identity Center での認証

IAM Identity Center 内のSSO認証へのアクセスを取得します。 AWS 認証情報にアクセスするには、次のいずれかの方法を選択します。

IAM Identity Center 経由でアクセスを確立していない

「AWS IAM Identity Center ユーザーガイド」の「開始方法」の手順に従います。このプロセスでは、IAMIdentity Center をアクティブ化し、管理ユーザーを作成し、適切な最小特権のアクセス許可セットを追加します。

注記

最小特権のアクセス許可を適用するアクセス許可セットを作成します。雇用主がこの目的のためにカスタムアクセス許可セットを作成していない限り、定義済みの PowerUserAccess アクセス許可セットを使用することをお勧めします。

ポータルを終了し、再度サインインして AWS アカウント、、プログラムによるアクセスの詳細、および Administratorまたは のオプションを確認しますPowerUserAccess。を使用するPowerUserAccessときに を選択しますSDK。

雇用主が管理するフェデレーティッド ID プロバイダー (Azure AD や Okta など) AWS を通じて に既にアクセスしている

ID プロバイダーのポータル AWS から にサインインします。Cloud Administrator がユーザー PowerUserAccess (開発者) にアクセス許可を付与している場合は、アクセスできる AWS アカウント とアクセス許可セットが表示されます。アクセス許可セットの名前の横に、そのアクセス許可セットを使用してアカウントに手動またはプログラムでアクセスするオプションが表示されます。

カスタム実装では、アクセス許可セット名が異なるなど、エクスペリエンスが異なる場合があります。どのアクセス許可セットを使用すればよいかわからない場合は、IT チームにお問い合わせください。

雇用主が管理する AWS アクセスポータル AWS から に既にアクセスできる

AWS アクセスポータル AWS から にサインインします。Cloud Administrator がユーザー PowerUserAccess (開発者) にアクセス許可を付与している場合は、アクセスできる AWS アカウント とアクセス許可セットが表示されます。アクセス許可セットの名前の横に、そのアクセス許可セットを使用してアカウントに手動またはプログラムでアクセスするオプションが表示されます。

雇用主が管理するフェデレーティッドカスタム ID プロバイダー AWS を通じて に既にアクセスできる

サポートについては、IT チームにお問い合わせください。

ステップ 2: IAM Identity Center 情報を収集する

へのアクセスを取得したら AWS、以下を実行して IAM Identity Center 情報を収集します。

1. AWS アクセスポータルで、開発に使用するアクセス許可セットを選択し、アクセスキーリンクを選択します。

2. 「認証情報の取得」ダイアログボックスで、オペレーティングシステムに一致するタブを選択します。

3. IAM Identity Center の認証情報メソッドを選択して、 の実行に必要な SSO Start URLと SSO Regionの値を取得しますaws configure sso。登録するスコープ値については、IAM「 Identity Center OAuth ユーザーガイド」の「2.0 Access scopes」を参照してください。

ステップ 3: Amazon S3 バケットを作成する

にサインイン AWS Management Console し、 で Amazon S3 コンソールを開きますhttps://console.aws.amazon.com/s3/。

このチュートリアルでは、後でリストで取得するバケットをいくつか作成します。

ステップ 4: をインストールする AWS CLI

オペレーティングシステムの次の手順をインストール AWS CLI します。詳細については、「AWS CLIの最新バージョンのインストールまたは更新」を参照してください。

インストールしたら、任意のターミナルを開き、次のコマンドを実行してインストールを確認できます。これにより、インストールされているバージョンの が表示されます AWS CLI。

$ aws --version

ステップ 6: プロファイルを設定する AWS CLI

次のいずれかの方法を使用してプロファイルを設定する

aws configure sso ウィザードでプロファイルを設定する

config ファイルの sso-sessionセクションは、SSOアクセストークンを取得するための設定変数をグループ化するために使用され、認証情報を取得するために使用できます AWS 。次の設定を使用します。

• (必須) sso_start_url

• (必須) sso_region

• sso_account_id

• sso_role_name

• sso_registration_scopes

sso-session セクションを定義し、プロファイルに関連付けます。sso_region と sso_start_urlの設定は、 sso-sessionセクション内で設定する必要があります。通常、 がSSO認証情報をリクエストできるように、 profileセクションで SDK sso_account_idと を設定sso_role_nameする必要があります。

次の例では、認証情報をリクエストSDKするように を設定しSSO、トークンの自動更新をサポートしています。

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

config ファイルを使用した手動設定

config ファイルの sso-sessionセクションは、SSOアクセストークンを取得するための設定変数をグループ化するために使用され、認証情報を取得するために使用できます AWS 。次の設定を使用します。

• (必須) sso_start_url

• (必須) sso_region

• sso_account_id

• sso_role_name

• sso_registration_scopes

sso-session セクションを定義してプロファイルに関連付けます。sso_region と sso_start_url は sso-session セクション内に設定する必要があります。通常、 がSSO認証情報をリクエストできるように、 profileセクションで SDK sso_account_idと を設定sso_role_nameする必要があります。

次の例では、認証情報をリクエストSDKするように を設定しSSO、トークンの自動更新をサポートしています。

[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

認証トークンは、セッション名に基づいたファイル名を使用して、~/.aws/sso/cache ディレクトリの下のディスクにキャッシュされます。

ステップ 7: IAM Identity Center にログインする

注記

サインインプロセスにより、データ AWS CLI へのアクセスを許可するように求められる場合があります。 AWS CLI は SDK for Python 上に構築されているため、アクセス許可メッセージにはbotocore名前のバリエーションが含まれている可能性があります。

IAM Identity Center の認証情報を取得してキャッシュするには、 AWS CLI に対して次のコマンドを実行してデフォルトのブラウザを開き、IAMIdentity Center のログインを確認します。

$ aws sso login --profile my-dev-profile

ステップ 8: Amazon S3 コマンドを実行する

前に作成したバケットを一覧表示するには、 aws s3 ls コマンドを使用します。次の例では、すべての Amazon S3 バケットを一覧表示します。

$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2

ステップ 9: IAM Identity Center からログアウトする

IAM Identity Center プロファイルの使用が完了したら、次のコマンドを実行してキャッシュされた認証情報を削除します。

$ aws sso logout
Successfully signed out of all SSO profiles.

ステップ 10: リソースをクリーンアップする

このチュートリアルを完了したら、Amazon S3 バケットを含め、このチュートリアルで作成した不要になったリソースをすべてクリーンアップします。

トラブルシューティング

を使用して問題が発生した場合は AWS CLI、AWS CLI エラーのトラブルシューティング「」で一般的なトラブルシューティング手順を参照してください。

追加リソース

その他のリソースは次のとおりです。

• AWS IAM Identity Center の概念

• IAM Identity Center 認証 AWS CLI を使用して を設定する

• AWS CLIの最新バージョンのインストールまたは更新

• 設定ファイルと認証情報ファイルの設定

• aws configure sso AWS CLI バージョン 2 リファレンスの

• aws configure sso-session AWS CLI バージョン 2 リファレンスの

• aws sso login AWS CLI バージョン 2 リファレンスの

• aws sso logout AWS CLI バージョン 2 リファレンスの

• Amazon ユーザーガイドの AWS CLI 「 で を使用するための のセットアップ CodeCatalyst CodeCatalyst 」

• IAM Identity Center ユーザーガイドOAuthの 2.0 アクセススコープ

• IAM Identity Center ユーザーガイドの開始方法のチュートリアル