AWS IAM Identity Center舊版不可重新整理的配置

本主題說明如何設定使用 AWS CLI AWS IAM Identity Center (IAM Identity Center) 驗證使用者，以取得使用舊版方法執行 AWS CLI 命令的登入資料。使用舊版不可重新整理的配置時，您需要在字符定期過期時手動重新整理。

使用 IAM Identity Center 時，您可以登入 Active Directory、內建的 IAM Identity Center 目錄或連線至 IAM Identity Center 的其他 IdP。您可以將這些登入資料對應至可執行 AWS CLI 命令的 AWS Identity and Access Management (IAM) 角色。

無論您使用哪種 IdP，IAM Identity Center 都會將這些區別擷取出來。例如，您可以按照部落格文章 IAM Identity Center 的下一個演變中所述的方法連線 Microsoft Azure AD。

注意

如需使用不使用帳戶 ID 和角色的承載身份驗證的相關資訊，請參閱 Amazon 使用 CodeCatalyst 者指南 CodeCatalyst中的設定以使用 AWS CLI 與。

您可以透過下列方式將一或多個 AWS CLI 具名的設定檔設定為使用舊版 IAM 身分中心的角色：

• 自動，使用 aws configure sso 命令。

• 手動，編輯儲存具名設定檔的 config 檔案。

必要條件

• 安裝 AWS CLI. 如需詳細資訊，請參閱 安裝或更新到最新版本的 AWS CLI。

• 您必須先有辦法存取 IAM Identity Center 中的 SSO 身分驗證。選擇下列其中一種方法來存取您的 AWS 認證。

我沒有透過 IAM Identity Center 建立存取權

請遵循 AWS IAM Identity Center 使用者指南的入門說明。此程序可以啟動 IAM Identity Center、建立管理使用者，並新增適當的最低權限許可集。

注意

建立套用最低權限權限的權限集。建議您使用預先定義的 PowerUserAccess 許可集，除非您的雇主已為此目的建立了自訂許可集。

退出入口網站並再次登入以查 AWS 帳戶 看Administrator或的選項PowerUserAccess。在使用 SDK 時選取 PowerUserAccess。如此一來，也能協助您找到程式設計存取權的相關詳細資訊。

我已經可以透 AWS 過雇主所管理的聯合身分識別提供者存取 (例如 Azure AD 或 Okta)

AWS 透過身分提供者的入口網站登入。如果您的 Cloud 管理員已授予您 PowerUserAccess (開發人員) 權限，您會看到您 AWS 帳戶 有權存取的權限以及您的權限集。您會在許可集名稱旁，看到使用該許可集手動或以程式設計方式存取帳戶的選項。

若您自訂實作，可能會產生不同體驗，例如不同的許可集名稱。若您不確定要使用哪個許可集，請聯絡您的 IT 團隊尋求協助。

我已經可以通 AWS 過雇主管理的 AWS 訪問門戶訪問

AWS 透過 AWS 存取入口網站登入。如果您的 Cloud 管理員已授予您 PowerUserAccess (開發人員) 權限，您會看到您 AWS 帳戶 有權存取的權限以及您的權限集。您會在許可集名稱旁，看到使用該許可集手動或以程式設計方式存取帳戶的選項。

我已經可以通 AWS 過雇主管理的聯合自定義身份提供商訪問

請聯絡您的 IT 團隊尋求協助。

手動設定舊版組態

為您的設定 IAM 身分中心設定檔 AWS CLI

1. 執行命aws configure sso令並提供您的 IAM 身分中心起始 URL 和託管身分識別中心目錄的 AWS 區域。

   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]:us-east-1

2. AWS CLI 嘗試開啟您的預設瀏覽器並開始 IAM 身分中心帳戶的登入程序。

   SSO authorization page has automatically been opened in your default browser.
   Follow the instructions in the browser to complete this authorization request.

   如果 AWS CLI 無法開啟瀏覽器，則會出現以下訊息，其中包含如何手動啟動登入程序的指示。

   Using a browser, open the following URL:
    
   https://device.sso.us-west-2.amazonaws.com/
   
   and enter the following code:
   QCFK-N451

   IAM Identity Center 使用該代碼來將 IAM Identity Center 工作階段與您目前的 AWS CLI 工作階段建立關聯。IAM Identity Center 瀏覽器頁面會提示您使用您的 IAM Identity Center 憑證登入。如此可讓您擷 AWS CLI 取和顯示您獲授權可與 IAM 身分中心搭配使用的 AWS 帳戶和角色。

3. 接下來， AWS CLI 顯示可供您使用的 AWS 帳戶。如果您被授權只使用一個帳戶，則會自動為您 AWS CLI 選取該帳戶並略過提示。您可以使用的 AWS 帳戶取決於 IAM 身分中心中的使用者組態。

   There are 2 AWS accounts available to you.
   > DeveloperAccount, developer-account-admin@example.com (123456789011) 
     ProductionAccount, production-account-admin@example.com (123456789022)

   使用方向鍵來選取您要與此設定檔搭配使用的帳戶。左邊的「>」字元指向目前的選擇。按 ENTER 以進行選取。

4. 接下來，會 AWS CLI 確認您的帳戶選擇，並顯示所選帳戶中可用的 IAM 角色。如果選取的帳號只列出一個角色，則會自動為您 AWS CLI 選取該角色並略過提示。可供您使用的角色取決於 IAM Identity Center 中的使用者組態。

   Using the account ID 123456789011
   There are 2 roles available to you.
   > ReadOnly
     FullAccess

   使用方向鍵來選取您要與此設定檔搭配使用的 IAM 角色，然後按 <ENTER>。

5. 會 AWS CLI 確認您的角色選擇。

   Using the role name "ReadOnly"

6. 指定預設輸出格式 ( AWS 區域 要傳送命令的預設值)，並提供設定檔的名稱，以便您可以從本機電腦上定義的所有設定檔中參照此設定檔，來完成設定檔的組態。在下列範例中，使用者會輸入預設區域、預設輸出格式和設定檔的名稱。或者，您也可以按下 <ENTER> 來選取方括號之間顯示的任何預設值。建議的設定檔名稱是帳戶 ID 號碼，後面接著底線，然後接著角色名稱。

   CLI default client Region [None]: us-west-2<ENTER>
   CLI default output format [None]: json<ENTER>
   CLI profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>

   注意

   如果您指定default為設定檔名稱，則每當您執行指 AWS CLI 令且不指定設定檔名稱時，此設定檔就會變成使用的設定檔。

7. 最後一則訊息說明完成的設定檔組態。

   若要使用此設定檔，請使用 --profile 指定設定檔名稱，如下所示：

   aws s3 ls --profile my-dev-profile

8. 先前的範例輸入會在 ~/.aws/config 中產生具名設定檔，如下列範例所示。

   [profile my-dev-profile]
   sso_start_url = https://my-sso-portal.awsapps.com/start
   sso_region = us-east-1
   sso_account_id = 123456789011
   sso_role_name = readOnly
   region = us-west-2
   output = json

   此時，您會有可用來要求暫時憑證的設定檔。您必須使用 aws sso login 命令來實際要求和擷取執行命令所需的暫時憑證。如需說明，請參閱使用 IAM Identity Center 具名設定檔 。

手動設定舊版組態

使用舊版不可重新整理的組態，不支援自動字符重新整理。我們建議使用 SSO 字符組態。

若要手動將 IAM Identity Center 支援新增至具名設定檔，您必須將下列機碼和值新增至檔案 ~/.aws/config (Linux 或 macOS) 或 %USERPROFILE%/.aws/config (Windows) 中的設定檔定義。

• sso_start_url

• sso_region

• sso_account_id

• sso_role_name

您可以在 .aws/config 檔案中包含有效的任何其他機碼和值，例如 region、output 或 s3。若要避免發生錯誤，請勿包含任何憑證相關值，例如 role_arn 或 aws_secret_access_key。

以下是 .aws/config 中 IAM Identity Center 設定檔的範例：

[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json

您的臨時憑證設定檔已完成。

若要執行命令，您必須先使用 aws sso login 命令來請求和擷取暫時憑證。如需指示，請參閱下一節 使用 IAM Identity Center 具名設定檔 。身分驗證字符會快取至 ~/.aws/sso/cache 目錄下的磁碟，檔案名稱根據 sso_start_url。