設定安全登入資料 AWS CDKCLI - AWS Cloud Development Kit (AWS CDK) V2
必要條件如何設定安全登入資料設定及管理IAM身分識別中心使用者的安全登入設定和管理IAM使用者的安全登入資料其他資訊

這是 AWS CDK v2 開發人員指南。較舊的 CDK V1 已於 2022 年 6 月 1 日進入維護,並於 2023 年 6 月 1 日結束支援。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定安全登入資料 AWS CDKCLI

當您使用在 AWS Cloud Development Kit (AWS CDK) 本機環境中開發應用程式時,您將主要使用 AWS CDK 指令行介面 (AWS CDK CLI) 與之互動 AWS。例如,您可以使CDKCLI用部署應用程式或從 AWS 環境中刪除資源。

若要使用CDKCLI與互動 AWS,您必須在本機電腦上設定安全性認證。這可讓您 AWS 知道您是誰以及您擁有的權限。

若要深入瞭解安全登入資料,請參閱IAM使用者指南中的AWS 安全登入資料

必要條件

設定安全登入資料是入程序的一部分。在完成所有必要條件和先前步驟開始使用 AWS CDK

如何設定安全登入資料

設定安全認證的方式取決於您或您的組織管理使用者的方式。無論您使用 AWS Identity and Access Management (IAM) 還是 AWS IAM Identity Center,我們建議您使用 AWS Command Line Interface (AWS CLI) 來設定和管理 CDKCLI. 這包括使用類似 AWS CLI aws configure於在本機電腦上設定安全認證的命令。但是,您可以使用替代方法,例如手動更新configcredentials檔案或設定環境變數。

如需使用設定安全性登入資料的指引 AWS CLI,以及使用不同方法時的組態和認證優先順序的相關資訊,請參閱使用AWS Command Line Interface 者指南中的驗證和存取認證。CDKCLI遵循相同的組態和認證優先順序。 AWS CLI指--profile令行選項的優先順序高於環境變數。如果您同時配置了AWS_PROFILECDK_DEFAULT_PROFILE環境變數,則AWS_PROFILE環境變數優先。

如果您設定多個設定檔,您可以將CDKCLI--profile選項與任何指令搭配使用,從您的credentials和檔config案中指定要用於驗證的設定檔。如果您未提供--profile,則會使用default設定檔。

如果您想要快速配置基本設定,包括安全登入資料,請參閱《AWS Command Line Interface 使用者指南》 AWS CLI中的〈定〉。

在本機電腦上設定安全性認證之後,您可以使CDKCLI用與之互動 AWS。

設定及管理IAM身分識別中心使用者的安全登入

IAM身分識別中心使用者可以透過IAM身分識別中心進行驗證,或使用短期認證

使用身IAM分識別中心驗證以產生短期憑證

您可以設定 AWS CLI 為透過IAM身分識別中心進行驗證。這是為IAM身分識別中心使用者設定安全登入資料的建議方法。IAMIdentity Center 使用者可以使用 AWS CLI aws configure sso精靈來設定IAM身分識別中心設定檔sso-session,並儲存在本機電腦上的config檔案中。如需指示,請參閱《使用AWS Command Line Interface 者指南》中的 < 設定為使用 AWS IAM身分識別中心 >。 AWS CLI

接下來,您可以使用命 AWS CLI aws sso login令要求重新整理的認證。您也可以使用此指令來切換設定檔。如需指示,請參閱《使用指南》中的使AWS Command Line Interface 用IAM身分識別中心名為的設定檔

通過驗證後,您可CDKCLI以在工作階段期間使用與 AWS 互動。如需範例,請參閱範例:使用IAM身分識別中心自動重新整理權杖進行驗證,以便與 AWS CDKCLI

手動設定短期認證

IAMIdentity Center 使用者可以從本機電腦上取得短期認證,以 AWS Management Console 及手動設定和使用 IAM Identity Center 進行credentials驗證的替代方法。 AWS CLI config設定完成後,您可以使用與互動, AWS 直到您的認證過期CDKCLI為止。如需指示,請參閱AWS Command Line Interface 使用者指南中的使用短期憑證進行驗證

設定和管理IAM使用者的安全登入資料

IAM使用者可以搭配使用IAM角色或使用IAM者認證CDKCLI。

使用IAM角色設定短期認證

IAM使用者可以假設IAM角色以取得其他 (或不同) 權限。對於IAM用戶,這是推薦的方法,因為它提供了短期憑據。

首先,必須設定IAM角色和使用者承擔角色的權限。這通常由管理員使用 AWS Management Console 或來執行 AWS CLI。然後,使用IAM者可以使用 AWS CLI 來擔任角色,並在其本機電腦上設定短期認證。如需詳細資訊,請參閱《使用指南》 AWS CLI中的〈使AWS Command Line Interface 用IAM角色

使用使用IAM者認證

警告

為了避免安全風險,我們不建議使用使用IAM者憑證,因為它們提供了長期存取權限。如果您必須使用長期認證,建議您更新存取金鑰作為IAM安全性最佳作法。

IAM使用者可以從中取得存取金鑰 AWS Management Console。然後,您可以使 AWS CLI 用在本機電腦上設定長期認證。如需指示,請參閱《IAM使用指南》中的「使AWS Command Line Interface 用者認證」進行驗證

其他資訊

若要瞭解登入的不同方式 AWS,視您所使用的使用者類型而定,請參閱什麼是 AWS 登入?AWS 登入使用者指南中。

如需使用 AWS SDKs和工具 (包括) 時的參考資訊 AWS CLI,請參閱AWSSDKs和工具參考指南