Obtendo credenciais de usuário do IAM Identity Center para o AWS CLI ou AWS SDKs - AWS IAM Identity Center
Pré-requisitosConsideraçõesObtendo e atualizando credenciais temporárias

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Obtendo credenciais de usuário do IAM Identity Center para o AWS CLI ou AWS SDKs

Você pode acessar AWS serviços programaticamente usando o AWS Command Line Interface ou AWS Kits de desenvolvimento de software (SDKs) com credenciais de usuário do IAM Identity Center. Este tópico descreve como obter credenciais temporárias para um usuário no IAM Identity Center.

A ferramenta AWS O portal de acesso fornece aos usuários do IAM Identity Center acesso único a seus Contas da AWS e aplicativos em nuvem. Depois de fazer login no AWS acesse o portal como usuário do IAM Identity Center, você pode obter credenciais temporárias. Em seguida, você pode usar as credenciais, também conhecidas como credenciais de usuário do IAM Identity Center, no AWS CLI ou AWS SDKspara acessar recursos em um Conta da AWS.

Se você estiver usando o AWS CLI para acessar AWS serviços programaticamente, você pode usar os procedimentos neste tópico para iniciar o acesso ao AWS CLI. Para obter informações sobre o AWS CLI, veja o AWS Command Line Interface Guia do usuário.

Se você estiver usando o AWS SDKspara acessar AWS serviços programaticamente, seguindo os procedimentos deste tópico, também estabelece diretamente a autenticação para o AWS SDKs. Para obter informações sobre o AWS SDKs, veja o AWS SDKsGuia de referência de ferramentas e ferramentas.

nota

Os usuários no IAM Identity Center são diferentes IAMdos usuários. IAMos usuários recebem credenciais de longo prazo para AWS recursos. Os usuários no IAM Identity Center recebem credenciais temporárias. Recomendamos que você use credenciais temporárias como uma prática recomendada de segurança para acessar seu Contas da AWS porque essas credenciais são geradas toda vez que você faz login.

Pré-requisitos

Para obter credenciais temporárias para seu usuário do IAM Identity Center, você precisará do seguinte:

  • Um usuário do IAM Identity Center — Você fará login no AWS acesse o portal como este usuário. Você ou seu administrador podem criar esse usuário. Para obter informações sobre como habilitar o IAM Identity Center e criar um usuário do IAM Identity Center, consulteComece com tarefas comuns no IAM Identity Center.

  • Acesso do usuário a um Conta da AWS— Para conceder permissão a um usuário do IAM Identity Center para recuperar suas credenciais temporárias, você ou um administrador deve atribuir ao usuário do IAM Identity Center um conjunto de permissões. Os conjuntos de permissões são armazenados no IAM Identity Center e definem o nível de acesso que um usuário do IAM Identity Center tem a um Conta da AWS. Se o administrador criou o usuário do IAM Identity Center para você, peça que ele adicione esse acesso para você. Para obter mais informações, consulte Atribuir acesso de usuário a Contas da AWS.

  • AWS CLI instalado — Para usar as credenciais temporárias, você deve instalar o AWS CLI. Para obter instruções, consulte Instalando ou atualizando a versão mais recente do AWS CLI no AWS CLI Guia do usuário.

Considerações

Antes de concluir as etapas para obter credenciais temporárias para o usuário do IAM Identity Center, lembre-se das seguintes considerações:

  • IAMO Identity Center cria IAM funções — Quando você atribui um usuário no IAM Identity Center a um conjunto de permissões, o IAM Identity Center cria uma IAM função correspondente a partir do conjunto de permissões. IAMas funções criadas por conjuntos de permissões diferem das IAM funções criadas em AWS Identity and Access Management das seguintes formas:

    • IAMO Identity Center possui e protege as funções criadas pelos conjuntos de permissões. Somente o IAM Identity Center pode modificar essas funções.

    • Somente usuários no IAM Identity Center podem assumir as funções que correspondem aos conjuntos de permissões atribuídos. Você não pode atribuir acesso ao conjunto de permissões a IAM usuários, usuários IAM federados ou contas de serviço.

    • Você não pode modificar uma política de confiança de funções nessas funções para permitir o acesso aos diretores fora do IAM Identity Center.

    Para obter informações sobre como obter credenciais temporárias para uma função criada por vocêIAM, consulte Usando credenciais de segurança temporárias com o AWS CLI no AWS Identity and Access Management Guia do usuário.

  • Você pode definir a duração da sessão para conjuntos de permissões — Depois de entrar no AWS portal de acesso, o conjunto de permissões ao qual seu usuário do IAM Identity Center está atribuído aparece como uma função disponível. IAMO Identity Center cria uma sessão separada para essa função. Essa sessão pode durar de uma a 12 horas, dependendo da duração da sessão configurada para o conjunto de permissões. Por padrão, a duração da sessão é de uma hora. Para obter mais informações, consulte Defina a duração da sessão para Contas da AWS.

Obtendo e atualizando credenciais temporárias

Você pode obter e atualizar as credenciais temporárias do usuário do IAM Identity Center de forma automática ou manual.

Atualização automática de credenciais (recomendada)

A atualização automática de credenciais usa o padrão de autorização de código de dispositivo Open ID Connect (OIDC). Com esse método, você inicia o acesso diretamente usando o aws configure sso comando no AWS CLI. Você pode usar esse comando para acessar automaticamente qualquer função associada a qualquer conjunto de permissões ao qual você esteja atribuído para qualquer Conta da AWS.

Para acessar a função criada para o usuário do IAM Identity Center, execute o aws configure sso comando e, em seguida, autorize o AWS CLI a partir de uma janela do navegador. Contanto que você tenha um ativo AWS acessar a sessão do portal, o AWS CLI recupera automaticamente as credenciais temporárias e as atualiza automaticamente.

Para obter mais informações, consulte Configurar seu perfil com o aws configure sso wizard no AWS Command Line Interface Guia do usuário.

Para obter credenciais temporárias que são atualizadas automaticamente

  1. Faça login no AWS acesse o portal usando o login específico URL fornecido pelo seu administrador. Se você criou o usuário do IAM Identity Center, AWS enviou um convite por e-mail que inclui seu loginURL. Para obter mais informações, consulte Fazer login no AWS portal de acesso no AWS Guia do usuário de login.

  2. Na guia Contas, localize o Conta da AWS do qual você deseja recuperar as credenciais. Quando você escolhe a conta, o nome da conta, o ID da conta e o endereço de e-mail associados à conta aparecem.

    nota

    Se você não vê nenhum Contas da AWSlistado, é provável que você ainda não tenha sido atribuído a um conjunto de permissões para essa conta. Nesse caso, entre em contato com seu administrador e peça que ele adicione esse acesso para você. Para obter mais informações, consulte Atribuir acesso de usuário a Contas da AWS.

  3. Abaixo do nome da conta, o conjunto de permissões ao qual seu usuário do IAM Identity Center está atribuído aparece como uma função disponível. Por exemplo, se o usuário do IAM Identity Center estiver atribuído ao conjunto de PowerUserAccesspermissões da conta, a função aparecerá no AWS acesse o portal como PowerUserAccess.

  4. Dependendo da sua opção ao lado do nome da função, escolha Teclas de acesso ou escolha Linha de comando ou acesso programático.

  5. Na caixa de diálogo Obter credenciais, escolha macOS e Linux, Windows PowerShellou, dependendo do sistema operacional no qual você instalou o AWS CLI.

  6. Em AWS IAMAs credenciais do Identity Center (recomendado), suas SSO Start URL e SSO Region são exibidas. Esses valores são necessários para configurar um perfil habilitado para o IAM Identity Center e sso-session para seu AWS CLI. Para concluir essa configuração, siga as instruções em Configurar seu perfil com o aws configure sso wizard AWS Command Line Interface Guia do usuário.

Continue usando o AWS CLI conforme necessário para o seu Conta da AWS até que as credenciais tenham expirado.

Atualização manual de credenciais

Você pode usar o método de atualização manual de credenciais para obter credenciais temporárias para uma função associada a um conjunto de permissões específico em um determinado Conta da AWS. Para fazer isso, você copia e cola os comandos necessários para as credenciais temporárias. Com esse método, você deve atualizar as credenciais temporárias manualmente.

Você pode correr AWS CLI comandos até que suas credenciais temporárias expirem.

Para obter credenciais que você atualiza manualmente

  1. Faça login no AWS acesse o portal usando o login específico URL fornecido pelo seu administrador. Se você criou o usuário do IAM Identity Center, AWS enviou um convite por e-mail que inclui seu loginURL. Para obter mais informações, consulte Fazer login no AWS portal de acesso no AWS Guia do usuário de login.

  2. Na guia Contas, localize o Conta da AWS do qual você deseja recuperar as credenciais de acesso e expandi-las para mostrar o nome da IAM função (por exemplo, Administrador). Dependendo da sua opção ao lado do nome da IAM função, escolha Teclas de acesso ou escolha Linha de comando ou acesso programático.

    nota

    Se você não vê nenhum Contas da AWSlistado, é provável que você ainda não tenha sido atribuído a um conjunto de permissões para essa conta. Nesse caso, entre em contato com seu administrador e peça que ele adicione esse acesso para você. Para obter mais informações, consulte Atribuir acesso de usuário a Contas da AWS.

  3. Na caixa de diálogo Obter credenciais, escolha macOS e Linux, Windows PowerShellou, dependendo do sistema operacional no qual você instalou o AWS CLI.

  4. Escolha uma das seguintes opções:

    • Opção 1: Definir AWS variáveis de ambiente

      Escolha essa opção para substituir todas as configurações de credenciais, incluindo todas as configurações nos credentials arquivos e config arquivos. Para obter mais informações, consulte Variáveis de ambiente para configurar o AWS CLI no AWS CLI Guia do usuário.

      Para usar essa opção, copie os comandos para sua área de transferência, cole os comandos em seu AWS CLI janela do terminal e, em seguida, pressione Enter para definir as variáveis de ambiente necessárias.

    • Opção 2: adicionar um perfil ao seu AWS arquivo de credenciais

      Escolha essa opção para executar comandos com diferentes conjuntos de credenciais.

      Para usar essa opção, copie os comandos na área de transferência e cole os comandos na área compartilhada AWS credentialsarquivo para configurar um novo perfil nomeado. Para obter mais informações, consulte Arquivos de configuração e credenciais compartilhados no AWS SDKsGuia de referência de ferramentas e ferramentas. Para usar essa credencial, especifique a --profile opção em seu AWS CLI comando. Isso afeta todos os ambientes que usam o mesmo arquivo de credenciais.

    • Opção 3: use valores individuais em seu AWS cliente de serviço

      Escolha esta opção para acessar AWS recursos de um AWS cliente de serviço. Para obter mais informações, consulte Ferramentas para construir AWS.

      Para usar essa opção, copie os valores para sua área de transferência, cole os valores em seu código e atribua-os às variáveis apropriadas para você. SDK Para obter mais informações, consulte a documentação específica SDKAPI.