本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
取得 AWS CLI 或 AWS SDK 的 IAM 身分中心使用者登入資料
您可以使用 AWS Command Line Interface 或 AWS 軟體開發套件 (SDK) 搭配 IAM 身分中心的使用者登入資料,以程式設計方式存取 AWS 服務。本主題說明如何在 IAM 身分中心取得使用者的臨時登入資料。
AWS 存取入口網站為 IAM 身分中心使用者提供對其 AWS 帳戶 和雲端應用程式的單一登入存取權。以 IAM 身分中心使用者身分登入 AWS 存取入口網站後,您可以取得臨時登入資料。然後,您可以使用 AWS CLI 或 AWS SDK 中的登入資料 (也稱為 IAM 身分中心使用者登入資料) 來存取. AWS 帳戶
如果您使用 AWS CLI 以程式設計方式存取 AWS 服務,則可以使用本主題中的程序來啟動 AWS CLI. 若要取得有關的資訊 AWS CLI,請參閱《AWS Command Line Interface 使用指南》。
如果您使用 AWS SDK 以程式設計方式存取 AWS 服務,請遵循本主題中的程序,也會直接為 AWS SDK 建立驗證。如需 AWS SDK 的相關資訊,請參閱 AWS SDK 和工具參考指南。
注意
IAM 身分中心的使用者與 IAM 使用者不同。IAM 使用者會獲得資源的長期登入 AWS 資料。IAM 身分中心的使用者會被授與臨時登入資料。我們建議您使用臨時登入資料作為存取您的安全性最佳作法, AWS 帳戶 因為這些認證是在您每次登入時產生的。
必要條件
若要取得 IAM 身分中心使用者的臨時登入資料,您需要下列項目:
-
IAM 身分中心使用者 — 您將以此使用者身分登入 AWS 存取入口網站。您或您的管理員可能會建立此使用者。如需如何啟用 IAM 身分中心和建立 IAM 身分中心使用者的相關資訊,請參閱開始使用 IAM 身分中心的常見任務。
-
使用者存取權 AWS 帳戶— 若要授與 IAM 身分中心使用者擷取其臨時登入資料的權限,您或管理員必須將 IAM 身分中心使用者指派給權限集。權限集會儲存在 IAM 身分中心,並定義 IAM 身分中心使用者擁有的存取層級 AWS 帳戶。如果您的管理員為您建立 IAM 身分中心使用者,請要求他們為您新增此存取權。如需詳細資訊,請參閱 指派使用者存取權給 AWS 帳戶。
-
AWS CLI 已安裝 — 若要使用臨時認證,您必須安裝 AWS CLI. 如需相關指示,請參閱《AWS CLI 使用者指南》中的安裝或更新 AWS CLI的最新版本。
考量事項
在完成為 IAM 身分中心使用者取得臨時登入資料的步驟之前,請記住以下考量事項:
-
IAM 身分中心會建立 IAM 角色 — 當您將 IAM 身分中心中的使用者指派給權限集時,IAM 身分中心會從權限集建立對應的 IAM 角色。由權限集建立的 IAM 角色與以下列方式建立 AWS Identity and Access Management 的 IAM 角色不同:
-
IAM 身分中心擁有並保護由權限集建立的角色。只有 IAM 身分中心可以修改這些角色。
-
只有 IAM 身分中心的使用者可以擔任與其指派的權限集相對應的角色。您無法將權限集存取權指派給 IAM 使用者、IAM 聯合身分使用者或服務帳戶。
-
您無法修改這些角色上的角色信任政策,以允許存取 IAM 身分中心以外的主體。
如需如何取得在 IAM 中建立之角色的臨時登入資料的詳細資訊,請參閱使用AWS Identity and Access Management 者指南 AWS CLI中的〈使用臨時安全登入資料〉。
-
-
您可以設定權限集的工作階段持續時間 — 登入 AWS 存取入口網站後,您的 IAM Identity Center 使用者所指派的權限集會顯示為可用角色。IAM 身分中心會為此角色建立個別的工作階段。此工作階段可以從 1 到 12 小時,具體取決於為權限集配置的工作階段持續時間。預設的工作階段持續時間為一小時。如需詳細資訊,請參閱 設定工作階段期。
取得並重新整理暫時認證
您可以自動或手動取得和重新整理 IAM 身分中心使用者的臨時登入資料。
自動認證重新整理 (建議)
自動認證刷新使用 Open ID Connect(OIDC)設備代碼授權標準。使用此方法,您可以使用中的aws configure
sso命令直接起始存取 AWS CLI。您可以使用此命令自動存取與您為任何指派的任何權限集相關聯的任何角色 AWS 帳戶。
若要存取為 IAM 身分中心使用者建立的角色,請執行aws configure sso命令,然後 AWS CLI 從瀏覽器視窗授權。只要您擁有作用中的 AWS 存取入口網站工作階段,就會 AWS CLI 自動擷取暫時認證並自動重新整理認證。
如需詳細資訊,請參閱AWS Command Line Interface 使用《使用指南》aws configure sso wizard中的〈設定您的設定檔〉。
取得自動重新整理的臨時登入資料
-
使用系統管理員提供的特定登入 URL 登入 AWS 存取入口網站。如果您已建立 IAM 身分中心使用者,則會 AWS 傳送包含您登入 URL 的電子郵件邀請。如需詳細資訊,請參閱登入使用者指南中的AWS 登入 AWS 存取入口網站。
-
在 [帳戶] 索引標籤中,或選擇 AWS 帳戶 圖示,找出您要 AWS 帳戶 從中擷取認證的。當您選擇帳戶時,會顯示與該帳戶相關聯的帳戶名稱、帳戶 ID 和電子郵件地址。
注意
如果您沒有看到任何AWS 帳戶列出的內容,表示您可能尚未指派給該帳戶的權限集。在此情況下,請聯絡您的系統管理員,並要求他們為您新增此存取權。如需詳細資訊,請參閱 指派使用者存取權給 AWS 帳戶。
-
在帳戶名稱下方,您的 IAM 身分中心使用者所指派的權限集會顯示為可用角色。例如,如果您的 IAM 身分中心使用者被指派給該帳戶的PowerUserAccess權限集,則該角色會在 AWS 存取入口網站中顯示為PowerUserAccess。
-
根據您在角色名稱旁邊的選項,選擇 [存取鍵] 或選擇 [命令列] 或 [程式設計存取]。
-
在「取得認證」對話方塊中,選擇 macOS 和 Linux、Windows PowerShell,或視您安裝的作業系統而定 AWS CLI。
-
在 AWS IAM 身分中心登入資料 (建議使用) 下,會顯示
SSO Region您的SSO Start URL和。需要這些值才能同時設定已啟用 IAM 身分中心的設sso-session定檔和您的 AWS CLI. 若要完成此組態,請依照使用者指南中的〈配置您的設定檔〉aws configure sso wizard中的AWS Command Line Interface 指示進行。
請 AWS CLI 視需要繼續使用, AWS 帳戶 直到憑證過期為止。
手動認證重新整
您可以使用手動認證重新整理方法,取得與特定權限集相關聯之角色的臨時認證 AWS 帳戶。若要這麼做,請複製並貼上暫時認證所需的命令。使用此方法時,您必須手動重新整理暫時認證。
您可以執行 AWS CLI 命令,直到臨時認證過期為止。
取得您手動重新整理的認證
-
使用系統管理員提供的特定登入 URL 登入 AWS 存取入口網站。如果您已建立 IAM 身分中心使用者,則會 AWS 傳送包含您登入 URL 的電子郵件邀請。如需詳細資訊,請參閱登入使用者指南中的AWS 登入 AWS 存取入口網站。
-
在 [帳戶] 索引標籤中或選擇 AWS 帳戶 圖示,找 AWS 帳戶 出您要擷取存取登入資料的來源,然後將其展開以顯示 IAM 角色名稱 (例如管理員)。根據 IAM 角色名稱旁邊的選項,選擇 [存取金鑰] 或選擇 [命令列] 或 [程式設計存取]。
注意
如果您沒有看到任何AWS 帳戶列出的內容,表示您可能尚未指派給該帳戶的權限集。在此情況下,請聯絡您的系統管理員,並要求他們為您新增此存取權。如需詳細資訊,請參閱 指派使用者存取權給 AWS 帳戶。
-
在「取得認證」對話方塊中,選擇 MacOS 和 Linux PowerShell、Windows,或視您安裝的作業系統而定 AWS CLI。
-
選擇下列任一選項:
選項 1:設定 AWS 環境變數
選擇此選項可覆寫所有身份證明設定,包括
credentials檔案和config檔案中的任何設定。若要取得更多資訊,請參閱《使用指南》 AWS CLI中的〈要配置的環境變數AWS CLI〉。要使用此選項,請將命令複製到剪貼板,將命令粘貼到 AWS CLI 終端機窗口中,然後按 Enter 鍵以設置所需的環境變量。
選項 2:將描述檔新增至您的 AWS 認證檔案
選擇此選項可使用不同的證明資料集執行命令。
若要使用此選項,請將指令複製到剪貼簿,然後將指令貼到共用 AWS
credentials檔案中,以設定新的具名設定檔。如需詳細資訊,請參閱 AWS SDK 和工具參考指南中的共用設定和認證檔案。若要使用此認證,請在指 AWS CLI 令中指定--profile選項。這會影響使用相同認證檔案的所有環境。選項 3:在 AWS 服務客戶端中使用個別值
選擇此選項可從 AWS 服務用戶端存取 AWS 資源。如需詳細資訊,請參閱建置在其上的工具 AWS
。 若要使用此選項,請將值複製到剪貼簿,將值貼到程式碼中,然後將它們指派給 SDK 適當的變數。如需詳細資訊,請參閱特定 SDK API 的文件。
