AWS CLI または の IAM Identity Center ユーザー認証情報の取得 AWS SDKs

Identity Center のユーザー認証情報で AWS Command Line Interface または AWS Software Development Kits (SDKs) IAM を使用して、プログラムで AWS サービスにアクセスできます。このトピックでは、 IAM Identity Center でユーザーの一時的な認証情報を取得する方法について説明します。

AWS アクセスポータルは、IAMIdentity Center ユーザーに AWS アカウント およびクラウドアプリケーションへのシングルサインオンアクセスを提供します。IAM Identity Center ユーザーとして AWS アクセスポータルにサインインすると、一時的な認証情報を取得できます。その後、 AWS CLI または AWS SDKs で IAM Identity Center ユーザー認証情報とも呼ばれる認証情報を使用して、 のリソースにアクセスできます AWS アカウント。

を使用して AWS プログラムでサービス AWS CLI にアクセスする場合は、このトピックの手順を使用して へのアクセスを開始できます AWS CLI。の詳細については AWS CLI、「 AWS Command Line Interface ユーザーガイド」を参照してください。

を使用して AWS SDKsプログラムで AWS サービスにアクセスする場合、このトピックの手順に従って の認証も直接確立します AWS SDKs。の詳細については AWS SDKs、AWS SDKs「」および「ツールリファレンスガイド」を参照してください。

注記

IAM Identity Center のユーザーは、IAMユーザー とは異なります。IAM ユーザーには、 AWS リソースへの長期的な認証情報が付与されます。IAM Identity Center のユーザーには一時的な認証情報が付与されます。これらの認証情報はサインインするたびに生成される AWS アカウント ため、 にアクセスするためのセキュリティのベストプラクティスとして一時的な認証情報を使用することをお勧めします。

前提条件

IAM Identity Center ユーザーの一時的な認証情報を取得するには、以下が必要です。

• IAM Identity Center ユーザー – アクセス AWS ポータルにこのユーザーとしてサインインします。ユーザーまたは管理者がこのユーザーを作成できます。Identity Center を有効にして IAM Identity Center ユーザーを作成する方法については、IAM「」を参照してくださいIAM Identity Center で一般的なタスクを開始する。

• へのユーザーアクセス AWS アカウント – IAM Identity Center ユーザーに一時的な認証情報を取得するアクセス許可を付与するには、ユーザーまたは管理者が IAM Identity Center ユーザーをアクセス許可セット に割り当てる必要があります。アクセス許可セットは IAM Identity Center に保存され、IAMIdentity Center ユーザーが に対して持つアクセスレベルを定義します AWS アカウント。管理者が IAM Identity Center ユーザーを作成した場合は、このアクセスを追加するように管理者に依頼してください。詳細については、「へのユーザーアクセスを割り当てる AWS アカウント」を参照してください。

• AWS CLI インストール済み – 一時的な認証情報を使用するには、 をインストールする必要があります AWS CLI。手順については、「AWS CLI ユーザーガイド」の「AWS CLIの最新バージョンのインストールまたは更新」を参照してください。

考慮事項

IAM Identity Center ユーザーの一時的な認証情報を取得する手順を完了する前に、次の考慮事項に注意してください。

• IAM Identity Center がIAMロールを作成する – IAM Identity Center のユーザーをアクセス許可セットに割り当てると、IAMIdentity Center はアクセス許可セットから対応するIAMロールを作成します。IAM アクセス許可セットによって作成された ロールは、次の AWS Identity and Access Management 点で で作成された IAMロールとは異なります。

  • IAM Identity Center は、アクセス許可セットによって作成されたロールを所有および保護します。これらのロールを変更できるのは IAM Identity Center のみです。

  • IAM Identity Center のユーザーのみが、割り当てられたアクセス許可セットに対応するロールを引き受けることができます。ユーザー、IAMフェデレーティッドIAMユーザー、またはサービスアカウントにアクセス許可セットを割り当てることはできません。

  • これらのロールのロール信頼ポリシーを変更して、IAMIdentity Center 外のプリンシパルへのアクセスを許可することはできません。

  で作成したロールの一時的な認証情報を取得する方法についてはIAM、「 AWS Identity and Access Management ユーザーガイド」の「 での一時的なセキュリティ認証情報 AWS CLIの使用」を参照してください。

• アクセス権限セットのセッション期間を設定 — AWS アクセスポータルにサインインすると、IAMIdentity Center ユーザーに割り当てられているアクセス権限セットが使用可能なロールとして表示されます。IAM Identity Center は、このロール用に別のセッションを作成します。このセッションは、権限セットに設定されているセッション時間に応じて 1 時間から 12 時間まで可能です。デフォルトでは、セッションの有効期間は 1 時間です。詳細については、「のセッション期間を設定する AWS アカウント」を参照してください。

一時的な認証情報の取得と更新

IAM Identity Center ユーザーの一時的な認証情報を自動または手動で取得して更新できます。

認証情報の自動更新 (推奨)

認証情報の自動更新では、Open ID Connect (OIDC) デバイスコード認証標準が使用されます。この方法では、 AWS CLIの aws configure sso コマンドを使用して直接アクセスを開始します。このコマンドを使用して、任意の に割り当てられているアクセス許可セットに関連付けられているすべてのロールに自動的にアクセスできます AWS アカウント。

IAM Identity Center ユーザー用に作成されたロールにアクセスするには、 aws configure sso コマンドを実行し、ブラウザウィンドウ AWS CLI から を承認します。アクティブな AWS アクセスポータルセッションがある限り、 は一時的な認証情報 AWS CLI を自動的に取得し、認証情報を自動的に更新します。

詳細については、AWS Command Line Interface ユーザーガイドの「aws configure sso wizard を使用したプロフィール設定」を参照してください。

自動的に更新される一時的な認証情報を取得するには

1. 管理者からURL提供された特定のサインインを使用して、 AWS アクセスポータルにサインインします。IAM Identity Center ユーザーを作成した場合は、サインイン を含む招待 AWS メールを送信しますURL。詳細については、「 サインインユーザーガイド」の AWS 「 アクセスポータルへのAWS サインイン」を参照してください。

2. アカウント タブで、認証情報を取得する AWS アカウント を見つけます。アカウントを選択すると、そのアカウントに関連付けられているアカウント名、アカウント ID、および E メールアドレスが表示されます。

   注記

   AWS アカウント が一覧表示されていない場合は、そのアカウントの権限セットに割り当てられていない可能性があります。この場合は、管理者に連絡して、このアクセス権を追加してもらうよう依頼してください。詳細については、「へのユーザーアクセスを割り当てる AWS アカウント」を参照してください。

3. アカウントの名前の下に、IAMIdentity Center ユーザーが割り当てられているアクセス許可セットが使用可能なロールとして表示されます。例えば、IAMIdentity Center ユーザーがアカウントのPowerUserAccessアクセス許可セットに割り当てられている場合、ロールは AWS アクセスポータルに として表示されますPowerUserAccess。

4. ロール名の横にあるオプションに応じて、アクセスキーを選択するか、コマンドラインまたはプログラムによるアクセスを選択します。

5. 「認証情報の取得」ダイアログボックスで、 をインストールしたオペレーティングシステムに応じてPowerShell、macOS と Linux 、Windows 、または を選択します AWS CLI。

6. AWS IAM Identity Center の認証情報 (推奨) の下に、 SSO Start URLと SSO Region が表示されます。これらの値は、IAMIdentity Center 対応プロファイルと の両方sso-sessionを に設定するために必要です AWS CLI。この設定を完了するには、「AWS Command Line Interface ユーザーガイド」の「aws configure sso wizard でプロファイルを設定」の指示に従います。

認証情報の有効期限が切れ AWS アカウント るまで、 AWS CLI 必要に応じて を に引き続き使用します。

認証情報の手動更新

手動認証情報更新方法を使用すると、特定の の特定のアクセス許可セットに関連付けられているロールの一時的な認証情報を取得できます AWS アカウント。そのためには、一時的な認証情報に必要なコマンドをコピーして貼り付けます。この方法では、一時的な認証情報を手動で更新する必要があります。

一時的な認証情報の有効期限が切れるまで AWS CLI コマンドを実行できます。

手動で更新する認証情報を取得するには

1. 管理者からURL提供された特定のサインインを使用して、 AWS アクセスポータルにサインインします。IAM Identity Center ユーザーを作成した場合は、サインイン を含む招待 AWS メールを送信しますURL。詳細については、「 サインインユーザーガイド」の AWS 「 アクセスポータルにAWS サインインする」を参照してください。

2. アカウント タブ AWS アカウント で、アクセス認証情報を取得する を探し、展開してIAMロール名 (管理者 など) を表示します。IAM ロール名の横にあるオプションに応じて、アクセスキーを選択するか、コマンドラインまたはプログラムによるアクセスを選択します。

   注記

   AWS アカウント が一覧表示されていない場合は、そのアカウントの権限セットに割り当てられていない可能性があります。この場合は、管理者に連絡して、このアクセス権を追加してもらうよう依頼してください。詳細については、「へのユーザーアクセスを割り当てる AWS アカウント」を参照してください。

3. 「認証情報の取得」ダイアログボックスで、 をインストールしたオペレーティングシステムに応じて、MacOS と Linux PowerShell、Windows 、または を選択します AWS CLI。

4. 次のいずれかのオプションを選択します。

   • オプション 1: AWS 環境変数を設定する

     このオプションを選択すると、credentialsファイルおよびconfigファイル内の設定を含むすべての認証情報設定が上書きされます。詳細については、「AWS CLI ユーザガイド」の「AWS CLIを設定するための環境変数」を参照してください。

     このオプションを使用するには、コマンドをクリップボードにコピーし、コマンドを AWS CLI ターミナルウィンドウに貼り付け、Enter キーを押して必要な環境変数を設定します。

   • オプション 2: AWS 認証情報ファイルにプロファイルを追加する

     このオプションを選択すると、さまざまな認証情報を使用してコマンドを実行できます。

     このオプションを使用するには、コマンドをクリップボードにコピーし、コマンドを共有 AWS credentialsファイルに貼り付けて、新しい名前付きプロファイルを設定します。詳細については、「」および「ツールリファレンスガイド」の「共有設定ファイルと認証情報ファイル」を参照してください。 AWS SDKs この認証情報を使用するには、 AWS CLI コマンドで --profileオプションを指定します。このことは、この同じ認証情報ファイルを使用するすべての環境にも当てはまります。

   • オプション 3: AWS サービスクライアントで個々の値を使用する

     AWS サービスクライアントから AWS リソースにアクセスするには、このオプションを選択します。詳細については、「 で構築するツール AWS」を参照してください。

     このオプションを使用するには、値をクリップボードにコピーし、値をコードに貼り付けて、 の適切な変数に割り当てますSDK。詳細については、特定の SDK のドキュメントを参照してくださいAPI。