Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Conceitos do AWS IAM Identity Center para a AWS CLI

PDF
RSS
Modo de foco
Conceitos do AWS IAM Identity Center para a AWS CLI - AWS Command Line Interface
O que é o Centro de identidade do IAMTermosComo o Centro de Identidade do IAM funcionaRecursos adicionais

Este tópico descreve os principais conceitos do AWS IAM Identity Center (Centro de Identidade do IAM). O Centro de Identidade do IAM é um serviço do IAM baseado em nuvem que simplifica o gerenciamento de acesso de usuários em várias Contas da AWS, aplicações, SDKs e ferramentas por meio da integração com os provedores de identidade (IdP) existentes. Ele permite login único seguro, gerenciamento de permissões e auditoria por meio de um portal de usuário centralizado, simplificando a governança de identidade e acesso para organizações.

O que é o Centro de identidade do IAM

O Centro de Identidade do IAM é um serviço de gerenciamento de identidade e acesso (IAM) baseado na nuvem que permite gerenciar de forma centralizada o acesso a várias Contas da AWS e aplicações comerciais.

Ele fornece um portal de usuário onde usuários autorizados podem acessar as Contas da AWS e as aplicações para os quais receberam permissão, usando suas credenciais corporativas existentes. Isso permite que as organizações apliquem políticas de segurança consistentes e simplifiquem o gerenciamento do acesso dos usuários.

Independentemente do IdP que você usa, o IAM Identity Center abstrai essas distinções. Por exemplo, é possível conectar o Microsoft Azure AD conforme descrito no artigo de blog The Next Evolution in IAM Identity Center (O que há de mais novo no IAM Identity Center).

nota

Para obter informações sobre como usar o bearer auth, que não usa ID de conta e perfil, consulte Configuração para usar a AWS CLI com o CodeCatalyst no Guia do usuário do Amazon CodeCatalyst.

Termos

Os termos comuns ao usar o Centro de Identidade do IAM são os seguintes:

Provedor de identidade (IdP)

Um sistema de gerenciamento de identidade, como o Centro de Identidade do IAM, o Microsoft Azure AD, o Okta ou seu próprio serviço de diretório corporativo.

AWS IAM Identity Center

O Centro de Identidade do IAM é o serviço de IdP de propriedade da AWS. Anteriormente conhecidos como AWS Single Sign-On, os SDKs e as ferramentas mantêm os namespaces da API da sso para compatibilidade com versões anteriores. Para obter mais informações, consulte Renomear o IAM Identity Center no Guia do usuário do AWS IAM Identity Center.

URL do Portal de acesso da AWS, URL inicial do SSO, URL inicial

O URL do Centro de Identidade do IAM exclusivo da sua organização para acessar serviços, recursos e Contas da AWS autorizados.

URL do emissor

O URL do emissor do Centro de Identidade do IAM exclusivo da sua organização para acesso programático aos serviços, recursos e Contas da AWS autorizados. A partir da versão 2.22.0 da AWS CLI, o URL do emissor pode ser usado de forma intercambiável com o URL inicial.

Federação

O processo de estabelecer a confiança entre o Centro de Identidade do IAM e um provedor de identidade para habilitar a autenticação única (SSO).

Contas da AWS

As Contas da AWS às quais você fornece acesso aos usuários por meio da AWS IAM Identity Center.

Conjuntos de permissões, credenciais da AWS, credenciais, credenciais sigv4

Coleções predefinidas de permissões que podem ser atribuídas a usuários ou grupos aos quais conceder acesso a Serviços da AWS.

Escopos de registro, escopos de acesso, escopos

Os escopos são um mecanismo no OAuth 2.0 para limitar o acesso de uma aplicação à conta de um usuário. Uma aplicação pode solicitar um ou mais escopos, e o token de acesso emitido para a aplicação está limitado aos escopos concedidos. Consulte informações sobre escopos em Access scopes no Guia do usuário do Centro de Identidade do IAM.

Tokens, token de atualização, token de acesso

Os tokens são credenciais de segurança temporárias que são emitidas para você após a autenticação. Esses tokens contêm informações sobre sua identidade e as permissões que você recebeu.

Quando você acessa uma aplicação ou recurso da AWS por meio do portal do Centro de Identidade do IAM, seu token é apresentado para a AWS para autenticação e autorização. Isso permite que a AWS verifique sua identidade e garanta que você tenha as permissões necessárias para realizar as ações solicitadas.

O token de autenticação é armazenado em cache no disco sob o diretório ~/.aws/sso/cache com um nome de arquivo JSON baseado no nome da sessão.

Sessão

Uma sessão do Centro de Identidade do IAM se refere ao período em que um usuário é autenticado e autorizado a acessar aplicações ou recursos da AWS. Quando um usuário faz login no portal do Centro de Identidade do IAM, uma sessão é estabelecida e o token do usuário é válido por um período especificado. Para obter mais informações sobre como configurar as durações da sessão, consulte Configurar a duração da sessão no Guia do usuário do AWS IAM Identity Center.

Durante a sessão, você pode navegar entre aplicações e contas da AWS diferentes sem precisar se autenticar novamente, desde que a sessão permaneça ativa. Quando a sessão expirar, entre novamente para renovar seu acesso.

As sessões do Centro de Identidade do IAM ajudam a fornecer uma experiência de usuário perfeita, além de aplicar as melhores práticas de segurança ao limitar a validade das credenciais de acesso do usuário.

Concessão de código de autorização com Proof Key for Code Exchange (PKCE)

A partir da versão 2.22.0, o Proof Key for Code Exchange (PKCE) é um fluxo de concessão de autenticação OAuth 2.0 para dispositivos com um navegador. O PKCE oferece uma maneira simples e segura para autenticar e obter consentimento para acessar seus recursos da AWS em desktops e dispositivos móveis com navegadores da web. Esse é o comportamento padrão de autorização. Consulte mais informações sobre o PKCE em Authorization Code Grant with PKCE no Guia do usuário do AWS IAM Identity Center.

Concessão de autorização de dispositivo

Um fluxo de concessão de autenticação OAuth 2.0 para dispositivos com ou sem um navegador da web. Consulte mais informações sobre como definir a duração das sessões em Device Authorization Grant no Guia do usuário do AWS IAM Identity Center.

Como o Centro de Identidade do IAM funciona

O Centro de Identidade do IAM se integra ao provedor de identidade da sua organização, como o Centro de Identidade do IAM, o Microsoft Azure AD ou o Okta. Os usuários se autenticam nesse provedor de identidade e, em seguida, o Centro de Identidade do IAM mapeia essas identidades de acordo com as permissões e o acesso apropriados em seu ambiente da AWS.

O fluxo de trabalho do Centro de Identidade do IAM a seguir pressupõe que você já tenha configurado sua AWS CLI para usar o Centro de Identidade do IAM:

  1. No terminal de sua preferência, execute o comando aws sso login.

  2. Faça login no seu Portal de acesso da AWS para iniciar uma nova sessão.

    • Ao iniciar uma nova sessão, você recebe um token de atualização e um token de acesso que está armazenado em cache.

    • Se você já tiver uma sessão ativa, a sessão existente será reutilizada e expirará sempre que a sessão existente expirar.

  3. Com base no perfil que você configurou em seu arquivo config, o Centro de Identidade do IAM assume os conjuntos de permissões apropriados, concedendo acesso às Contas da AWS e aplicações relevantes.

  4. A AWS CLI, os SDKs e as ferramentas usam seu perfil assumido do IAM para fazer chamadas para os Serviços da AWS, Para criar buckets do Amazon S3, até que a sessão expire.

  5. O token de acesso do Centro de Identidade do IAM é atualizado automaticamente a cada hora usando o token de atualização.

    • Se o token de acesso expirar, o SDK ou a ferramenta usará o token de atualização para tentar obter um novo token de acesso. As durações das sessões desses tokens são então comparadas e, se o token de atualização não expirar, o Centro de Identidade do IAM fornecerá um novo token de acesso.

    • Se o token de atualização tiver expirado, nenhum novo token de acesso será fornecido e sua sessão será encerrada.

  6. As sessões terminam após a expiração dos tokens de atualização ou quando você se desconecta manualmente usando o comando aws sso logout. As credenciais armazenadas em cache são removidas. Para continuar acessando os serviços usando o Centro de Identidade do IAM, você deve iniciar uma nova sessão usando o comando aws sso login.

Recursos adicionais

Os recursos adicionais são os seguintes.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.