本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM Identity Center 驗證
AWS IAM Identity Center 是在非AWS 計算服務上進行開發時提供 AWS 憑證的建議方法。例如,這會類似於您的本機開發環境。如果您要在 AWS 資源上開發,例如 Amazon Elastic Compute Cloud (Amazon EC2) AWS Cloud9,或者,我們建議您改為從該服務取得登入資料。
在本教學課程中,您會建立 IAM 身分中心存取權,並使用 AWS 存取入口網站和 AWS CLI.
-
AWS 存取入口網站是您手動登入 IAM 身分中心的網路位置。網址的格式為
d-xxxxxxxxxx.awsapps.com/start
或
。登入 AWS 存取入口網站時,您可以檢視 AWS 帳戶 並為該使用者設定的角色。此程序會使用 AWS 存取入口網站來取得 SDK/ 工具驗證程序所需的組態值。your_subdomain
.awsapps.com/start -
可 AWS CLI 用來設定您的 SDK 或工具,以針對程式碼所發出的 API 呼叫使用 IAM 身分中心驗證。這個一次性程序會更新您的共用 AWS
config
檔案,然後當您執行程式碼時,SDK 或工具會使用該檔案。
使用 IAM 身分中心設定程式設計存取
步驟 1:建立存取權並選取適當的權限集
如果您尚未啟用 IAM 身分中心,請參閱使用AWS IAM Identity Center 者指南中的啟用 IAM 身分中心。
選擇下列其中一種方法來存取您的 AWS 認證。
-
按照使用者指南中的預設 IAM Identity Center 目錄程序設定使用者存取權限,以新增AWS IAM Identity Center 使用者並新增管理許可。
-
AdministratorAccess
權限集不應用於定期開發。除非您的雇主為此目的建立了自訂PowerUserAccess
權限集,否則我們建議您使用預先定義的權限集。再次使用預設的 IAM 身分中心目錄程序進行相同的設定使用者存取權限,但這一次:
-
不要建立
群組,而是建立Admin team
群組,然後在指示中取代此群組。Dev team
-
您可以使用現有的使用者,但必須將使用者新增至新
群組。Dev team
-
不要建立
權限集,而是建立AdministratorAccess
權限集,然後在指示中取代此權限集。PowerUserAccess
完成後,您應該具備以下內容:
-
一個
Dev team
小組。 -
群組的附加
PowerUserAccess
權限Dev team
集。 -
您的使用者已新增至
Dev team
群組。
-
-
退出入口網站,然後再次登入以查看
Administrator
或的選項PowerUserAccess
。 AWS 帳戶 在使用工具 /SDKPowerUserAccess
時選取此選項。
AWS 透過身分提供者的入口網站登入。如果您的 Cloud 管理員已授予您 PowerUserAccess
(開發人員) 權限,您會看到您 AWS 帳戶 有權存取的權限以及您的權限集。您會在許可集名稱旁,看到使用該許可集手動或以程式設計方式存取帳戶的選項。
若您自訂實作,可能會產生不同體驗,例如不同的許可集名稱。若您不確定要使用哪個許可集,請聯絡您的 IT 團隊尋求協助。
AWS 透過 AWS 存取入口網站登入。如果您的 Cloud 管理員已授予您 PowerUserAccess
(開發人員) 權限,您會看到您 AWS 帳戶 有權存取的權限以及您的權限集。您會在許可集名稱旁,看到使用該許可集手動或以程式設計方式存取帳戶的選項。
請聯絡您的 IT 團隊尋求協助。
步驟 2:設定 SDK 和工具以使用 IAM 身分中心
-
在您的開發機器上,安裝最新的 AWS CLI.
-
(選擇性) 若要確認 AWS CLI 是否正常運作,請開啟命令提示字元並執行
aws --version
命令。
-
登入 AWS 存取入口網站。您的雇主可能會提供此 URL,或者您可以通過以下步驟 1:建立訪問權限的電子郵件中獲得它。如果沒有,請在 https://console.aws.amazon.com/singlesignon/
的儀表板上找到您的AWS 訪問門戶網址。 -
在 AWS 存取入口網站的 [帳戶] 索引標籤中,選取要管理的個別帳戶。此時會顯示您使用者的角色。選擇 [存取金鑰] 以取得命令列的認證或適當權限集的程式設計存取。使用預先定義的
PowerUserAccess
權限集,或您或您的雇主建立的任何權限集來套用最低權限權限進行開發。 -
在取得憑證對話方塊中,選擇MacOS 和 Linux 或 Windows,具體取決於您的作業系統。
-
選擇 IAM 身分中心登入資料方法,以取得下一個步驟所需的
SSO Start URL
和SSO Region
值。
-
-
在 AWS CLI 命令提示字元中,執行
aws configure sso
命令。出現提示時,輸入您在上一個步驟中收集的組態值。如需有關此 AWS CLI 命令的詳細資訊,請參閱使用aws configure sso
精靈設定您的設定檔。-
對於 CLI 設定檔名稱,我們建議您在開始使用時輸入
預設值
。若要取得有關如何設定非預設 (具名) 設定檔及其關聯環境變數的資訊,請參閱〈〉描述檔。
-
-
(選擇性) 在 AWS CLI 命令提示字元中,執行命
aws sts get-caller-identity
令來確認作用中階段作業識別。回應應會顯示您設定的 IAM 身分中心權限集。 -
如果您使用的是 AWS SDK,請在開發環境中為 SDK 建立應用程式。
有關 SDK 和工具如何使用此配置使用和重新整理認證的深入研究,請參閱瞭解 IAM 身分中心身分驗證。
根據您設定的工作階段長度,您的存取最終會過期,SDK 或工具會遇到驗證錯誤。若要在需要時再次重新整理存取入口網站工作階段,請使用 AWS CLI 來執行aws sso login
命令。
您可以延長 IAM 身分中心存取入口網站工作階段持續時間和權限集工作階段持續時間。這會延長您可以執行程式碼的時間,然後您需要使用. AWS CLI如需詳細資訊,請參閱《AWS IAM Identity Center 使用者指南》中的以下主題:
-
IAM 身分識別中心工作階段持續時間 — 設定使用者存 AWS 取入口網站工作階段
-
權限設置會話持續時間-設置會話持續
如需 SDK 和工具的所有 IAM 身分中心提供者設定的詳細資訊,請參閱本指南IAM 身分中心憑證提供者中的。