IAM Identity Center 명명된 프로파일 사용 - AWS Command Line Interface
사전 조건로그인 및 보안 인증 정보 가져오기IAM Identity Center 프로파일로 명령 실행IAM Identity Center 세션 로그아웃

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Identity Center 명명된 프로파일 사용

이 주제에서는 AWS CLI 명령을 실행하기 위한 보안 인증 정보를 얻기 위해 AWS IAM Identity Center(IAM Identity Center)를 사용하여 사용자를 인증하도록 AWS CLI를 사용하는 방법에 대해 설명합니다.

참고

보안 인증 정보가 일시적인지 아니면 자동으로 새로 고침되는지는 이전에 프로필을 구성한 방식에 따라 달라집니다.

사전 조건

IAM Identity Center 프로파일이 구성되어 있어야 합니다. 자세한 내용은 자동 인증 새로 AWS CLI 고침과 함께 IAM Identity Center 토큰 공급자 자격 증명을 사용하도록 구성합니다.AWS IAM Identity Center에 대한 새로 고칠 수 없는 레거시 구성 섹션을 참조하세요.

로그인 및 보안 인증 정보 가져오기

참고

로그인 과정에서 데이터 AWS CLI 액세스를 허용하라는 메시지가 표시될 수 있습니다. AWS CLI는 Python용 SDK를 기반으로 구축되므로 권한 메시지에는 botocore 이름의 변형이 포함될 수 있습니다.

명명된 프로파일을 구성한 후 이 프로파일을 호출하여 AWS에서 보안 인증 정보를 요청할 수 있습니다. AWS CLI 서비스 명령을 실행하려면 먼저 보안 인증 정보 집합을 검색하고 캐시해야 합니다. 이러한 보안 인증 정보를 가져오려면 다음 명령을 실행합니다.

$ aws sso login --profile my-dev-profile

AWS CLI에서 기본 브라우저를 열고 IAM Identity Center 로그인을 확인합니다.

SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start

현재 IAM Identity Center에 로그인하지 않은 경우 IAM Identity Center 보안 인증 정보를 제공해야 합니다.

AWS CLI에서 브라우저를 열 수 없는 경우 직접 브라우저를 열고 지정된 코드를 입력하라는 메시지가 표시됩니다.

$ aws sso login --profile my-dev-profile
Using a browser, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

AWS CLI는 기본 브라우저(또는 사용자가 선택하여 수동으로 연 브라우저)에서 지정된 페이지를 열고 제공된 코드를 입력합니다. 그런 다음 웹 페이지에 IAM Identity Center 보안 인증 정보를 묻는 메시지가 표시됩니다.

IAM Identity Center 세션 보안 인증 정보가 캐시됩니다. 이러한 보안 인증 정보에는 만료 타임스탬프가 포함되며 보안 인증 정보가 만료되면 AWS CLI에서 IAM Identity Center에 다시 로그인하도록 요청합니다.

IAM Identity Center 보안 인증 정보가 유효한 경우 AWS CLI에서는 이 보안 인증 정보를 사용하여 프로파일에 지정된 IAM 역할에 대한 AWS 보안 인증 정보를 안전하게 검색합니다.

Welcome, you have successfully signed-in to the AWS-CLI.

aws sso login 명령의 --sso-session 파라미터를 사용하여 로그인할 때 사용할 sso-session 프로필을 지정할 수도 있습니다.

$ aws sso login --sso-session my-dev-session
Attempting to automatically open the SSO authorization page in your default browser.
If the browser does not open or you wish to use a different device to authorize this request, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

Successfully logged into Start URL: https://cli-reinvent.awsapps.com/start

IAM Identity Center 프로파일로 명령 실행

이러한 보안 인증 정보를 사용하여 연결된 명명된 프로파일과 함께 AWS CLI 명령을 호출할 수 있습니다. 다음은 지정된 계정의 일부인 위임된 역할에서 명령이 실행되었음을 보여주는 예입니다.

$ aws sts get-caller-identity --profile my-dev-profile
{
    "UserId": "AROA12345678901234567:test-user@example.com",
    "Account": "123456789011",
    "Arn": "arn:aws:sts::123456789011:assumed-role/AWSPeregrine_readOnly_12321abc454d123/test-user@example.com"
}

IAM Identity Center에 로그인하고 캐시된 보안 인증 정보가 만료되지 않는 한 AWS CLI는 필요한 경우 만료된 AWS 보안 인증 정보를 자동으로 갱신합니다. 그러나 IAM Identity Center 보안 인증 정보가 만료되면 IAM Identity Center 계정에 다시 로그인하여 명시적으로 갱신해야 합니다.

$ aws s3 ls --profile my-sso-profile
Your short-term credentials have expired. Please sign-in to renew your credentials
SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.

IAM Identity Center 세션 로그아웃

IAM Identity Center 프로파일 사용이 완료되면 아무 작업도 수행하지 않고 AWS 임시 보안 인증 정보와 IAM Identity Center 보안 인증 정보가 만료되도록 선택할 수 있습니다. 그러나 다음 명령을 실행하여 SSO 보안 인증 정보 캐시 폴더의 모든 캐시된 보안 인증 정보와 IAM Identity Center 보안 인증 정보를 기반으로 한 모든 AWS 임시 보안 인증 정보를 즉시 삭제하도록 선택할 수도 있습니다. 이렇게 하면 이러한 보안 인증을 향후 명령에 사용할 수 없게 됩니다.

$ aws sso logout
Successfully signed out of all SSO profiles.

나중에 IAM Identity Center 프로파일 중 하나를 사용하여 명령을 실행하려면 aws sso login 명령을 다시 실행하고(이전 섹션 참조) 사용할 프로파일을 지정해야 합니다.