Configuração herdada não atualizável para AWS IAM Identity Center - AWS Command Line Interface

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração herdada não atualizável para AWS IAM Identity Center

Este tópico descreve como configurar o AWS CLI para autenticar usuários com AWS IAM Identity Center (IAM Identity Center) para obter credenciais para executar AWS CLI comandos usando o método legado. Ao usar a configuração herdada não atualizável, você precisa atualizar o token de forma manual, pois ele expira periodicamente.

Ao usar o IAM Identity Center, é possível fazer login no Active Directory, um diretório integrado do IAM Identity Center, ou em outro IdP conectado ao IAM Identity Center. Você pode mapear essas credenciais para uma função AWS Identity and Access Management (IAM) na qual você pode executar AWS CLI comandos.

Independentemente do IdP que você usa, o IAM Identity Center abstrai essas distinções. Por exemplo, é possível conectar o Microsoft Azure AD conforme descrito no artigo de blog The Next Evolution in IAM Identity Center (O que há de mais novo no IAM Identity Center).

nota

Para obter informações sobre como usar a autenticação do portador, que não usa ID de conta e função, consulte Configuração para usar o AWS CLI with CodeCatalyst no Guia CodeCatalyst do usuário da Amazon.

Você pode configurar um ou mais dos seus perfis AWS CLI nomeados para usar uma função de uma Central de Identidades do IAM legada das seguintes maneiras:

Pré-requisitos

Siga as instruções em Conceitos básicos no Guia do usuário do AWS IAM Identity Center . Esse processo ativa o Centro de Identidade do IAM, cria um usuário administrativo e adiciona um conjunto de permissões apropriado com privilégio mínimo.

nota

Crie um conjunto de permissões que aplique permissões com privilégios mínimos. Recomendamos usar o conjunto de permissões predefinido PowerUserAccess, a menos que seu empregador tenha criado um conjunto de permissões personalizado para essa finalidade.

Saia do portal e entre novamente para ver suas opções Contas da AWS e para Administrator ouPowerUserAccess. Selecione PowerUserAccess ao trabalhar com o SDK. Isso também ajuda você a encontrar detalhes sobre o acesso programático.

Faça login AWS por meio do portal do seu provedor de identidade. Se o seu administrador de nuvem concedeu permissões a você PowerUserAccess (desenvolvedor), você vê o Contas da AWS que você tem acesso e seu conjunto de permissões. Ao lado do nome do seu conjunto de permissões, você vê opções para acessar as contas manual ou programaticamente usando esse conjunto de permissões.

Implementações personalizadas podem resultar em experiências diferentes, como nomes de conjuntos de permissões diferentes. Se não tiver certeza sobre qual conjunto de permissões usar, entre em contato com a equipe de TI para obter ajuda.

Faça login AWS por meio do portal de AWS acesso. Se o seu administrador de nuvem concedeu permissões a você PowerUserAccess (desenvolvedor), você vê o Contas da AWS que você tem acesso e seu conjunto de permissões. Ao lado do nome do seu conjunto de permissões, você vê opções para acessar as contas manual ou programaticamente usando esse conjunto de permissões.

Entre em contato com a equipe de TI para obter ajuda.

Configuração automática para configuração herdada

Para configurar um perfil do IAM Identity Center para seu AWS CLI
  1. Execute o aws configure sso comando e forneça o URL inicial do IAM Identity Center e a AWS região que hospeda o diretório do Identity Center.

    $ aws configure sso SSO session name (Recommended): SSO start URL [None]: https://my-sso-portal.awsapps.com/start SSO region [None]:us-east-1
  2. As AWS CLI tentativas de abrir seu navegador padrão e iniciar o processo de login da sua conta do IAM Identity Center.

    SSO authorization page has automatically been opened in your default browser. Follow the instructions in the browser to complete this authorization request.

    Se AWS CLI não conseguir abrir o navegador, a mensagem a seguir será exibida com instruções sobre como iniciar manualmente o processo de login.

    Using a browser, open the following URL: https://device.sso.us-west-2.amazonaws.com/ and enter the following code: QCFK-N451

    O IAM Identity Center usa o código para associar a sessão do IAM Identity Center à sessão atual da AWS CLI . A página do navegador do IAM Identity Center solicita que você insira suas credenciais do IAM Identity Center. Isso dá permissão para que o AWS CLI recupere e exiba as AWS contas e funções que você está autorizado a usar com o IAM Identity Center.

  3. Em seguida, AWS CLI exibe as AWS contas disponíveis para você usar. Se você estiver autorizado a usar somente uma conta, ele AWS CLI selecionará essa conta para você automaticamente e ignorará a solicitação. As AWS contas que estão disponíveis para você usar são determinadas pela configuração do usuário no IAM Identity Center.

    There are 2 AWS accounts available to you. > DeveloperAccount, developer-account-admin@example.com (123456789011) ProductionAccount, production-account-admin@example.com (123456789022)

    Use as teclas de seta para selecionar a conta que deseja usar com esse perfil. O caractere ">" à esquerda aponta para a escolha atual. Pressione ENTER para fazer sua seleção.

  4. Em seguida, AWS CLI confirma sua escolha de conta e exibe as funções do IAM que estão disponíveis para você na conta selecionada. Se a conta selecionada listar somente uma função, ela AWS CLI selecionará essa função para você automaticamente e ignorará a solicitação. Os perfis que estão disponíveis para uso são determinados pela configuração do usuário no IAM Identity Center.

    Using the account ID 123456789011 There are 2 roles available to you. > ReadOnly FullAccess

    Use as teclas de seta para selecionar o perfil do IAM que você deseja usar com esse perfil e pressione <ENTER>.

  5. Isso AWS CLI confirma sua seleção de função.

    Using the role name "ReadOnly"
  6. Conclua a configuração do seu perfil especificando o formato de saída padrão, o padrão Região da AWS para o qual enviar comandos e fornecendo um nome para o perfil para que você possa referenciar esse perfil dentre todos aqueles definidos no computador local. No exemplo a seguir, o usuário insere uma região padrão, um formato de saída padrão e o nome do perfil. Você pode pressionar <ENTER> para selecionar os valores padrão mostrados entre colchetes. O nome do perfil sugerido é o número de ID da conta seguido de um sublinhado e pelo nome da função.

    CLI default client Region [None]: us-west-2<ENTER> CLI default output format [None]: json<ENTER> CLI profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>
    nota

    Se você especificar default como nome do perfil, esse perfil se tornará o usado sempre que você executa um AWS CLI comando e não especifica um nome de perfil.

  7. Uma mensagem final descreve a configuração do perfil concluída.

    Para usar este perfil, especifique o nome do perfil usando --profile, como mostrado:

    aws s3 ls --profile my-dev-profile
  8. As entradas de exemplo anteriores resultariam em um perfil nomeado em ~/.aws/config que se parece com o exemplo a seguir.

    [profile my-dev-profile] sso_start_url = https://my-sso-portal.awsapps.com/start sso_region = us-east-1 sso_account_id = 123456789011 sso_role_name = readOnly region = us-west-2 output = json

    Neste ponto, você tem um perfil que pode usar para solicitar credenciais temporárias. Você deve usar o comando aws sso login para realmente solicitar e recuperar as credenciais temporárias necessárias para executar comandos. Para obter instruções, consulte Usar um perfil nomeado do Centro de Identidade do IAM .

Configuração manual para configuração herdada

A atualização automática de tokens não é compatível usando a configuração herdada não atualizável. Recomendamos usar a configuração do token do SSO.

Para adicionar suporte do IAM Identity Center manualmente a um perfil nomeado, você deve adicionar as chaves e os valores a seguir à definição de perfil no arquivo ~/.aws/config (Linux ou macOS) ou %USERPROFILE%/.aws/config (Windows).

É possível incluir outras chaves e valores válidos no arquivo .aws/config, como region, output ou s3. Para evitar erros, não inclua valores relacionados à credencial, como role_arn ou aws_secret_access_key.

Veja a seguir um exemplo de perfil do IAM Identity Center em .aws/config:

[profile my-sso-profile] sso_start_url = https://my-sso-portal.awsapps.com/start sso_region = us-west-2 sso_account_id = 111122223333 sso_role_name = SSOReadOnlyRole region = us-west-2 output = json

Seu perfil para credenciais temporárias está completo.

Para executar comandos, é necessário primeiro usar o comando aws sso login para solicitar e recuperar suas credenciais temporárias. Para obter instruções, consulte a próxima seção, Usar um perfil nomeado do Centro de Identidade do IAM . O token de autenticação é armazenado em cache no disco sob o diretório ~/.aws/sso/cache com um nome de arquivo baseado no sso_start_url.