IAM Identity Center 驗證

AWS IAM Identity Center 是在非AWS 計算服務上進行開發時提供 AWS 憑證的建議方法。例如，這會類似於您的本機開發環境。如果您要在 AWS 資源上開發，例如 Amazon Elastic Compute Cloud (Amazon EC2) AWS Cloud9，或者，我們建議您改為從該服務取得登入資料。

在本教學課程中，您會建立 IAM 身分中心存取權，並使用 AWS 存取入口網站和 AWS CLI.

• AWS 存取入口網站是您手動登入 IAM 身分中心的網路位置。網址的格式為d-xxxxxxxxxx.awsapps.com/start或your_subdomain.awsapps.com/start。登入 AWS 存取入口網站時，您可以檢視 AWS 帳戶 並為該使用者設定的角色。此程序會使用 AWS 存取入口網站來取得 SDK/ 工具驗證程序所需的組態值。

• 可 AWS CLI 用來設定您的 SDK 或工具，以針對程式碼所發出的 API 呼叫使用 IAM 身分中心驗證。這個一次性程序會更新您的共用 AWS config檔案，然後當您執行程式碼時，SDK 或工具會使用該檔案。

使用 IAM 身分中心設定程式設計存取

步驟 1：建立存取權並選取適當的權限集

如果您尚未啟用 IAM 身分中心，請參閱使用AWS IAM Identity Center 者指南中的啟用 IAM 身分中心。

選擇下列其中一種方法來存取您的 AWS 認證。

我沒有透過 IAM Identity Center 建立存取權

1. 按照使用者指南中的預設 IAM Identity Center 目錄程序設定使用者存取權限，以新增AWS IAM Identity Center 使用者並新增管理許可。

2. AdministratorAccess權限集不應用於定期開發。除非您的雇主為此目的建立了自訂PowerUserAccess權限集，否則我們建議您使用預先定義的權限集。

   再次使用預設的 IAM 身分中心目錄程序進行相同的設定使用者存取權限，但這一次：

   • 不要建立Admin team群組，而是建立Dev team群組，然後在指示中取代此群組。

   • 您可以使用現有的使用者，但必須將使用者新增至新Dev team群組。

   • 不要建立AdministratorAccess權限集，而是建立PowerUserAccess權限集，然後在指示中取代此權限集。

   完成後，您應該具備以下內容：

   • 一個Dev team小組。

   • 群組的附加PowerUserAccess權限Dev team集。

   • 您的使用者已新增至Dev team群組。

3. 退出入口網站，然後再次登入以查看Administrator或的選項PowerUserAccess。 AWS 帳戶 在使用工具 /SDK PowerUserAccess 時選取此選項。

我已經 AWS 通過雇主管理的聯合身份提供商（例如 Microsoft Entra 或 Okta）訪問

AWS 透過身分提供者的入口網站登入。如果您的 Cloud 管理員已授予您 PowerUserAccess (開發人員) 權限，您會看到您 AWS 帳戶 有權存取的權限以及您的權限集。您會在許可集名稱旁，看到使用該許可集手動或以程式設計方式存取帳戶的選項。

若您自訂實作，可能會產生不同體驗，例如不同的許可集名稱。若您不確定要使用哪個許可集，請聯絡您的 IT 團隊尋求協助。

我已經可以通 AWS 過雇主管理的 AWS 訪問門戶訪問

AWS 透過 AWS 存取入口網站登入。如果您的 Cloud 管理員已授予您 PowerUserAccess (開發人員) 權限，您會看到您 AWS 帳戶 有權存取的權限以及您的權限集。您會在許可集名稱旁，看到使用該許可集手動或以程式設計方式存取帳戶的選項。

我已經可以通 AWS 過雇主管理的聯合自定義身份提供商訪問

請聯絡您的 IT 團隊尋求協助。

步驟 2：設定 SDK 和工具以使用 IAM 身分中心

1. 在您的開發機器上，安裝最新的 AWS CLI.

   1. 請參閱《AWS Command Line Interface 使用指南》 AWS CLI中的〈安裝或更新〉的最新版本。

   2. (選擇性) 若要確認 AWS CLI 是否正常運作，請開啟命令提示字元並執行aws --version命令。

2. 登入 AWS 存取入口網站。您的雇主可能會提供此 URL，或者您可以通過以下步驟 1：建立訪問權限的電子郵件中獲得它。如果沒有，請在 https://console.aws.amazon.com/singlesignon/ 的儀表板上找到您的AWS 訪問門戶網址。

   1. 在 AWS 存取入口網站的 [帳戶] 索引標籤中，選取要管理的個別帳戶。此時會顯示您使用者的角色。選擇 [存取金鑰] 以取得命令列的認證或適當權限集的程式設計存取。使用預先定義的PowerUserAccess權限集，或您或您的雇主建立的任何權限集來套用最低權限權限進行開發。

   2. 在取得憑證對話方塊中，選擇MacOS 和 Linux 或 Windows，具體取決於您的作業系統。

   3. 選擇 IAM 身分中心登入資料方法，以取得下一個步驟所需的SSO Start URL和SSO Region值。

3. 在 AWS CLI 命令提示字元中，執行aws configure sso命令。出現提示時，輸入您在上一個步驟中收集的組態值。如需有關此 AWS CLI 命令的詳細資訊，請參閱使用aws configure sso精靈設定您的設定檔。

   1. 對於 CLI 設定檔名稱，我們建議您在開始使用時輸入預設值。若要取得有關如何設定非預設 (具名) 設定檔及其關聯環境變數的資訊，請參閱〈〉描述檔。

4. (選擇性) 在 AWS CLI 命令提示字元中，執行命aws sts get-caller-identity令來確認作用中階段作業識別。回應應會顯示您設定的 IAM 身分中心權限集。

5. 如果您使用的是 AWS SDK，請在開發環境中為 SDK 建立應用程式。

   1. 對於某些 SDK，SSOOIDC必須先將其他套件 (例如SSO和) 新增至您的應用程式，才能使用 IAM 身分中心驗證。如需詳細資訊，請參閱您的特定 SDK。

   2. 如果您先前已設定存取權 AWS，請檢閱您的共用 AWS credentials檔案是否有任何檔案AWS 存取金鑰。您必須先移除任何靜態登入資料，SDK 或工具因憑證提供者鏈優先順序而使用 IAM 身分中心登入資料。

有關 SDK 和工具如何使用此配置使用和重新整理認證的深入研究，請參閱瞭解 IAM 身分中心身分驗證。

根據您設定的工作階段長度，您的存取最終會過期，SDK 或工具會遇到驗證錯誤。若要在需要時再次重新整理存取入口網站工作階段，請使用 AWS CLI 來執行aws sso login命令。

您可以延長 IAM 身分中心存取入口網站工作階段持續時間和權限集工作階段持續時間。這會延長您可以執行程式碼的時間，然後您需要使用. AWS CLI如需詳細資訊，請參閱《AWS IAM Identity Center 使用者指南》中的以下主題：

• IAM 身分識別中心工作階段持續時間 — 設定使用者存 AWS 取入口網站工作階段

• 權限設置會話持續時間-設置會話持續

如需 SDK 和工具的所有 IAM 身分中心提供者設定的詳細資訊，請參閱本指南IAM 身分中心憑證提供者中的。