配置 AWS CLI 以使用 AWS IAM Identity Center (successor to AWS Single Sign-On)

本节介绍如何将 AWS CLI 配置为使用 AWS IAM Identity Center (successor to AWS Single Sign-On)（IAM Identity Center）对用户进行身份验证，以获取用于运行 AWS CLI 命令的凭证。通过 config 文件配置 SSO 主要有两种方式：

• （推荐） SSO 令牌提供程序配置。SSO 令牌提供程序配置，您的 AWS SDK 或工具可以自动检索刷新的身份验证令牌

• 遗留的不可刷新配置。使用遗留的不可刷新配置时，您需要手动刷新令牌，因为它会定期过期。

使用 IAM Identity Center 时，您可以登录到 Active Directory、内置 IAM Identity Center 目录或已连接到 IAM Identity Center 的另一个 IdP。您可以将这些凭证映射到使您可以运行 AWS CLI 命令的 AWS Identity and Access Management (IAM) 角色。

无论您使用哪个 IdP，IAM Identity Center 都会将这些区别抽象出来。例如，您可以连接 Microsoft Azure AD，如博客文章 IAM Identity Center 的下一个演进中所述。

注意

有关使用持有者身份验证（不使用账户 ID 和角色）的信息，请参阅《Amazon CodeCatalyst 用户指南》中的进行设置以将 AWS CLI 与 CodeCatalyst 一起使用。

主题

• AWS IAM Identity Center (successor to AWS Single Sign-On) 的具有自动身份验证刷新功能的令牌提供程序配置
• AWS IAM Identity Center (successor to AWS Single Sign-On) 的旧版不可刷新配置
• 使用启用了 IAM Identity Center 的命名配置文件