Usar um perfil nomeado do Centro de Identidade do IAM - AWS Command Line Interface
Pré-requisitosFazer login e obter credenciaisExecutar um comando com o perfil do Centro de Identidade do IAMSair de sessões do IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar um perfil nomeado do Centro de Identidade do IAM

Este tópico descreve como usar a AWS CLI para autenticar usuários com o AWS IAM Identity Center (Centro de Identidade do IAM) e obter credenciais para executar comandos da AWS CLI.

nota

Se suas credenciais são temporárias ou são atualizadas automaticamente, depende de como você configurou seu perfil anteriormente.

Pré-requisitos

Você configurou um perfil do Centro de Identidade do IAM. Consulte Configure o AWS CLI para usar as credenciais do provedor de token do IAM Identity Center com atualização automática de autenticação e Configuração herdada não atualizável para AWS IAM Identity Center para obter mais informações.

Fazer login e obter credenciais

nota

O processo de login pode solicitar que você permita que a AWS CLI acesse seus dados. Como a AWS CLI é criada sobre o SDK para Python, as mensagens de permissão podem conter variações do nome botocore.

Depois de configurar um perfil nomeado, é possível invocá-lo para solicitar credenciais da AWS. Antes de executar um comando de serviço da AWS CLI, primeiro é necessário recuperar e armazenar em cache um conjunto de credenciais. Para obter essas credenciais, execute o comando a seguir.

$ aws sso login --profile my-dev-profile

A AWS CLI abre seu navegador padrão e verifica seu login no IAM Identity Center. 

SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start

Se você não estiver conectado ao IAM Identity Center, forneça suas credenciais do IAM Identity Center.

Se a AWS CLI não conseguir abrir o navegador, você será solicitado a abri-lo e inserir o código especificado.

$ aws sso login --profile my-dev-profile
Using a browser, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

A AWS CLI abre o navegador padrão (ou você abre manualmente o navegador de sua escolha) para a página especificada e você insere o código fornecido. Em seguida, a página da Web solicita suas credenciais do IAM Identity Center.

Suas credenciais de sessão do IAM Identity Center são armazenadas em cache. Se essas credenciais forem temporárias, elas incluirão um carimbo de data/hora de validade e, quando expirarem, a AWS CLI solicitará que você faça login novamente no IAM Identity Center.

Se suas credenciais do IAM Identity Center forem válidas, a AWS CLI as usará a fim de recuperar com segurança as credenciais da AWS para o perfil do IAM especificado no perfil. 

Welcome, you have successfully signed-in to the AWS-CLI.

Também é possível especificar qual perfil de sso-session usar ao registrar usando o --sso-session parâmetro do comando aws sso login. 

$ aws sso login --sso-session my-dev-session
Attempting to automatically open the SSO authorization page in your default browser.
If the browser does not open or you wish to use a different device to authorize this request, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

Successfully logged into Start URL: https://cli-reinvent.awsapps.com/start

Executar um comando com o perfil do Centro de Identidade do IAM

Você pode usar essas credenciais para invocar um comando da AWS CLI com o perfil nomeado associado. O exemplo a seguir mostra que o comando foi executado sob uma função assumida que faz parte da conta especificada.

$ aws sts get-caller-identity --profile my-dev-profile
{
    "UserId": "AROA12345678901234567:test-user@example.com",
    "Account": "123456789011",
    "Arn": "arn:aws:sts::123456789011:assumed-role/AWSPeregrine_readOnly_12321abc454d123/test-user@example.com"
}

Contanto que você faça login no IAM Identity Center e essas credenciais armazenadas em cache não estejam expiradas, a AWS CLI renovará automaticamente as credenciais expiradas da AWS, quando necessário. No entanto, se suas credenciais do IAM Identity Center expirarem, você deverá renová-las explicitamente fazendo login em sua conta do IAM Identity Center novamente.

$ aws s3 ls --profile my-sso-profile
Your short-term credentials have expired. Please sign-in to renew your credentials
SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.

Sair de sessões do IAM Identity Center

Quando terminar de usar os perfis do Centro de Identidade do IAM, você poderá optar por não fazer nada e deixar as credenciais temporárias da AWS e as credenciais do Centro de Identidade do IAM expirarem. No entanto, você também pode optar por executar o comando a seguir para excluir imediatamente todas as credenciais armazenadas em cache na pasta de cache de credenciais do SSO e todas as credenciais temporárias da AWS baseadas nas credenciais do IAM Identity Center. Isso torna essas credenciais indisponíveis para serem usadas em comandos futuros.

$ aws sso logout
Successfully signed out of all SSO profiles.

Se você quiser executar comandos mais tarde com um de seus perfis do Centro de Identidade do IAM, execute novamente o comando aws sso login (consulte a seção anterior) e especifique o perfil que deve ser usado.