本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM您的SDK或工具的身份中心身份验证
Amazon IAM Identity Center 是在非Amazon 计算服务上进行开发时推荐的提供 Amazon 凭证的方法。例如,这将类似于您的本地开发环境。如果您正在使用诸如亚马逊弹性计算云 (AmazonEC2) 之类的 Amazon 资源进行开发 Amazon Cloud9,我们建议您改为从该服务获取证书。
在本教程中,您将建立 I IAM dentity Center 访问权限,并将使用 Amazon 访问门户和,为您的SDK或工具配置访问权限 Amazon CLI。
-
Amazon 访问门户是您手动登录IAM身份中心的 Web 位置。的格式URL是
d-xxxxxxxxxx.awsapps.com/start
或
。登录 Amazon 访问门户后,您可以查看 Amazon Web Services 账户 已为该用户配置的角色。此过程使用 Amazon 访问门户获取 SDK /tool 身份验证过程所需的配置值。your_subdomain
.awsapps.com/start -
用于将您的SDK或工具配置为对您的代码发出的API呼叫使用 IAM Identity Center 身份验证。 Amazon CLI 此一次性过程会更新您的共享 Amazon
config
文件,然后在您运行代码时由您的SDK或工具使用该文件。
使用IAM身份中心配置编程访问权限
步骤 1:建立访问权限并选择相应的权限集
如果您尚未启用 IAM Identity Center,请参阅Amazon IAM Identity Center 用户指南中的启用IAM身份中心。
选择以下方法之一来访问您的 Amazon 证书。
-
按照用户指南中的使用默认 Identity C IAM enter 目录配置用户访问权限过程添加Amazon IAM Identity Center 用户并添加管理权限。
-
AdministratorAccess
权限集不应用于常规开发。相反,我们建议使用预定义的PowerUserAccess
权限集,除非您的雇主为此目的创建了自定义权限集。再次按照使用默认 Identity C IAM enter 目录配置用户访问权限的步骤进行操作,但这一次:
-
与其创建
群组,不如创建一个Admin team
群组,然后将其替换为说明中。Dev team
-
您可以使用现有用户,但必须将该用户添加到新
组中。Dev team
-
与其创建
权限集,不如创建一个AdministratorAccess
权限集,然后将其替换为说明中的权限集。PowerUserAccess
完成后,你应该有以下几点:
-
一个
Dev team
小组。 -
Dev team
群组的附加PowerUserAccess
权限集。 -
您的用户已加入群
Dev team
组。
-
-
退出门户并再次登录以查看您的 Amazon Web Services 账户 和
Administrator
或选项PowerUserAccess
。PowerUserAccess
在使用您的工具时选择/ SDK。
Amazon 通过身份提供商的门户网站登录。如果您的云管理员已授予您PowerUserAccess
(开发者)权限,则您 Amazon Web Services 账户 会看到您有权访问的权限和权限集。在您的权限集名称旁边,可以看到有关使用该权限集手动或以编程方式访问账户的选项。
自定义实现可能会产生不同的体验,例如不同的权限集名称。如果您不确定要使用哪个权限集,请联系 IT 团队以寻求帮助。
Amazon 通过 Amazon 访问门户登录。如果您的云管理员已授予您PowerUserAccess
(开发者)权限,则您 Amazon Web Services 账户 会看到您有权访问的权限和权限集。在您的权限集名称旁边,可以看到有关使用该权限集手动或以编程方式访问账户的选项。
请联系您的 IT 团队以寻求帮助。
步骤 2:配置SDKs和使用IAM身份中心的工具
-
在您的开发计算机上安装最新的 Amazon CLI。
-
参阅 Amazon Command Line Interface 用户指南中的安装或更新最新版本的 Amazon CLI。
-
(可选)要验证是否 Amazon CLI 正在运行,请打开命令提示符并运行该
aws --version
命令。
-
-
登录 Amazon 访问门户。您的雇主可能会提供此信息,URL或者您可以按照第 1 步:建立访问权限通过电子邮件获得。如果没有,请在的控制面板URL上找到您的Amazon 访问门户https://console.aws.amazon.com/singlesignon/
。 -
在 Amazon 访问门户的账户选项卡中,选择要管理的个人账户。将显示您的用户的角色。选择访问密钥以获取命令行凭证或相应权限集的编程访问权限。使用预定义的
PowerUserAccess
权限集,或者您或您的雇主创建的任何权限集,以将最低权限应用于开发。 -
在获取凭证对话框中,选择 MacOS 和 Linux 或 Windows,具体取决于您的操作系统。
-
选择 IAMIdentity Center 凭证方法以获取下一步所需的
SSO Start URL
和SSO Region
值。
-
-
在 Amazon CLI 命令提示符下,运行该
aws configure sso
命令。出现提示时,输入在上一步中收集的配置值。有关此 Amazon CLI 命令的详细信息,请参阅使用aws configure sso
向导配置您的个人资料。-
对于CLI个人资料名称,我们建议输入
default
当你刚开始的时候。有关如何设置非默认(已命名)配置文件及其关联环境变量的信息,请参阅 配置文件。
-
-
(可选)在 Amazon CLI 命令提示符下,通过运行
aws sts get-caller-identity
命令确认活动会话身份。响应应显示您配置的IAM身份中心权限集。 -
如果您使用的是 Amazon SDK,请在您的开发环境SDK中为您创建一个应用程序。
-
对于某些人来说SDKs,在使用 Identity Center IAM 身份验证之前,
SSOOIDC
必须将其他软件包(例如SSO
和)添加到您的应用程序中。有关详细信息,请参阅您的具体内容SDK。 -
如果您之前配置了对的访问权限 Amazon,请查看您的共享 Amazon
credentials
文件是否有任何访问权限Amazon 访问密钥。由于了解凭证提供商链优先顺序,在SDK或工具使用IAM身份中心凭证之前,您必须移除所有静态证书。
-
要深入了解SDKs和工具如何使用和使用此配置刷新凭据,请参阅了解 IAM Identity Center 身份验证。
根据您配置的会话时长,您的访问权限最终将过期,并且SDK或工具将遇到身份验证错误。要在需要时再次刷新访问门户会话, Amazon CLI 请使用运行aws sso login
命令。
您可以延长 Ident IAM ity Center 访问门户会话持续时间和权限集会话持续时间。这会延长您在需要再次使用 Amazon CLI手动登录之前运行代码的时间。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的以下主题:
-
IAMIdentity Center 会话持续时间-配置用户 Amazon 访问门户会话的持续时间
-
权限集会话持续时间 – 设置会话持续时间
有关所有 Ident IAM ity Center 提供商设置SDKs和工具的详细信息,请参阅本指南IAM身份中心凭证提供商中的。