IAM Identity Center 身份验证 - Amazon 软件开发工具包和工具
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM Identity Center 身份验证

Amazon IAM Identity Center 是在非Amazon 计算服务上进行开发时推荐的提供 Amazon 凭证的方法。例如,这将类似于您的本地开发环境。如果您正在使用诸如亚马逊弹性计算云 (Amazon EC2) Amazon Cloud9或 Amazon EC2之类的 Amazon 资源进行开发,我们建议改为从该服务获取证书。

在本教程中,您将建立 IAM Identity Center 访问权限,并将使用 Amazon 访问门户和,为您的软件开发工具包或工具配置访问权限 Amazon CLI。

  • Amazon 访问门户是您手动登录 IAM 身份中心的网址。URL 的格式为 d-xxxxxxxxxx.awsapps.com/startyour_subdomain.awsapps.com/start。登录 Amazon 访问门户后,您可以查看 Amazon Web Services 账户 已为该用户配置的角色。此过程使用 Amazon 访问门户获取 SDK/工具身份验证过程所需的配置值。

  • Amazon CLI 用于配置您的软件开发工具包或工具,使其对您的代码发出的 API 调用使用 IAM 身份中心身份验证。此一次性过程会更新您的共享 Amazon config文件,然后在您运行代码时由您的 SDK 或工具使用该文件。

使用 IAM Identity Center 配置以编程方式访问权限

步骤 1:建立访问权限并选择相应的权限集

如果您尚未启用 IAM 身份中心,请参阅Amazon IAM Identity Center 用户指南中的启用 IAM 身份中心

选择以下方法之一来访问您的 Amazon 证书。

  1. 按照用户指南中的使用默认 IAM Identity Center 目录配置用户访问权限过程添加Amazon IAM Identity Center 用户并添加管理权限。

  2. AdministratorAccess权限集不应用于常规开发。相反,我们建议使用预定义的PowerUserAccess权限集,除非您的雇主为此目的创建了自定义权限集。

    再次按照使用默认 IAM Identity Center 目录配置用户访问权限的步骤进行操作,但这一次:

    • 与其创建Admin team群组,不如创建一个Dev team群组,然后将其替换为说明中。

    • 您可以使用现有用户,但必须将该用户添加到新Dev team组中。

    • 与其创建AdministratorAccess权限集,不如创建一个PowerUserAccess权限集,然后将其替换为说明中的权限集。

    完成后,你应该有以下几点:

    • 一个Dev team小组。

    • Dev team群组的附加PowerUserAccess权限集。

    • 您的用户已加入群Dev team组。

  3. 退出门户并再次登录以查看您的 Amazon Web Services 账户 和Administrator或选项PowerUserAccessPowerUserAccess在使用您的工具/SDK 时选择。

Amazon 通过身份提供商的门户网站登录。如果您的云管理员已授予您PowerUserAccess(开发者)权限,则您 Amazon Web Services 账户 会看到您有权访问的权限和权限集。在您的权限集名称旁边,可以看到有关使用该权限集手动或以编程方式访问账户的选项。

自定义实现可能会产生不同的体验,例如不同的权限集名称。如果您不确定要使用哪个权限集,请联系 IT 团队以寻求帮助。

Amazon 通过 Amazon 访问门户登录。如果您的云管理员已授予您PowerUserAccess(开发者)权限,则您 Amazon Web Services 账户 会看到您有权访问的权限和权限集。在您的权限集名称旁边,可以看到有关使用该权限集手动或以编程方式访问账户的选项。

请联系您的 IT 团队以寻求帮助。

步骤 2:将 SDK 和工具配置为使用 IAM Identity Center

  1. 在您的开发计算机上安装最新的 Amazon CLI。

    1. 参阅 Amazon Command Line Interface 用户指南中的安装或更新最新版本的 Amazon CLI

    2. (可选)要验证是否 Amazon CLI 正在运行,请打开命令提示符并运行该aws --version命令。

  2. 登录 Amazon 访问门户。您的雇主可能会提供此 URL,或者您可以按照步骤 1:建立访问权限通过电子邮件获得该 URL。如果没有,请在 https://console.aws.amazon.com/singlesignon/控制面板上找到你的Amazon 访问门户网址

    1. 在 Amazon 访问门户的账户选项卡中,选择要管理的个人账户。将显示您的用户的角色。选择访问密钥以获取命令行凭证或相应权限集的编程访问权限。使用预定义的 PowerUserAccess 权限集,或者您或您的雇主创建的任何权限集,以将最低权限应用于开发。

    2. 获取凭证对话框中,选择 MacOS 和 LinuxWindows,具体取决于您的操作系统。

    3. 选择 IAM Identity Center 凭证方法以获取下一个步骤所需的 SSO Start URLSSO Region 值。

  3. 在 Amazon CLI 命令提示符下,运行aws configure sso命令。出现提示时,输入在上一步中收集的配置值。有关此 Amazon CLI 命令的详细信息,请参阅使用aws configure sso向导配置您的个人资料

    1. 对于 CLI 配置文件名称,我们建议您在开始使用时输入默认值。有关如何设置非默认(已命名)配置文件及其关联环境变量的信息,请参阅 配置文件

  4. (可选)在 Amazon CLI 命令提示符下,通过运行aws sts get-caller-identity命令确认活动会话身份。响应应显示您配置的 IAM Identity Center 权限集。

  5. 如果您使用的是 S Amazon DK,请在您的开发环境中为 SDK 创建应用程序。

    1. 对于某些 SDK ,在使用 IAM Identity Center 身份验证之前,必须将其他程序包(例如 SSOSSOOIDC)添加到您的应用程序中。有关详细信息,请参阅特定的 SDK。

    2. 如果您之前配置了对的访问权限 Amazon,请查看您的共享 Amazon credentials文件是否有任何访问权限Amazon 访问密钥。由于 凭证提供者链 优先级,在 SDK 或工具使用 IAM Identity Center 凭证之前,您必须移除所有静态凭证。

要深入了解 SDK 和工具如何使用此配置来使用和刷新凭证,请参阅 了解 IAM Identity Center 身份验证

根据您配置的会话时长,您的访问权限最终将过期,并且 SDK 或工具将遇到身份验证错误。要在需要时再次刷新访问门户会话, Amazon CLI 请使用运行aws sso login命令。

您可以延长 IAM Identity Center 访问门户会话持续时间和权限集会话持续时间。这会延长您在需要再次使用 Amazon CLI手动登录之前运行代码的时间。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的以下主题:

有关 SDK 和工具的所有 IAM Identity Center 提供程序设置的详细信息,请参阅本指南中的 IAM Identity Center 凭证提供者