IAM您的SDK或工具的身份中心身份验证 - Amazon SDKs和工具
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM您的SDK或工具的身份中心身份验证

Amazon IAM Identity Center 是在非Amazon 计算服务上进行开发时推荐的提供 Amazon 凭证的方法。例如,这将类似于您的本地开发环境。如果您正在使用诸如亚马逊弹性计算云 (AmazonEC2) 之类的 Amazon 资源进行开发 Amazon Cloud9,我们建议您改为从该服务获取证书。

在本教程中,您将建立 I IAM dentity Center 访问权限,并将使用 Amazon 访问门户和,为您的SDK或工具配置访问权限 Amazon CLI。

  • Amazon 访问门户是您手动登录IAM身份中心的 Web 位置。的格式URL是d-xxxxxxxxxx.awsapps.com/startyour_subdomain.awsapps.com/start。登录 Amazon 访问门户后,您可以查看 Amazon Web Services 账户 已为该用户配置的角色。此过程使用 Amazon 访问门户获取 SDK /tool 身份验证过程所需的配置值。

  • 用于将您的SDK或工具配置为对您的代码发出的API呼叫使用 IAM Identity Center 身份验证。 Amazon CLI 此一次性过程会更新您的共享 Amazon config文件,然后在您运行代码时由您的SDK或工具使用该文件。

使用IAM身份中心配置编程访问权限

步骤 1:建立访问权限并选择相应的权限集

如果您尚未启用 IAM Identity Center,请参阅Amazon IAM Identity Center 用户指南中的启用IAM身份中心

选择以下方法之一来访问您的 Amazon 证书。

  1. 按照用户指南中的使用默认 Identity C IAM enter 目录配置用户访问权限过程添加Amazon IAM Identity Center 用户并添加管理权限。

  2. AdministratorAccess权限集不应用于常规开发。相反,我们建议使用预定义的PowerUserAccess权限集,除非您的雇主为此目的创建了自定义权限集。

    再次按照使用默认 Identity C IAM enter 目录配置用户访问权限的步骤进行操作,但这一次:

    • 与其创建Admin team群组,不如创建一个Dev team群组,然后将其替换为说明中。

    • 您可以使用现有用户,但必须将该用户添加到新Dev team组中。

    • 与其创建AdministratorAccess权限集,不如创建一个PowerUserAccess权限集,然后将其替换为说明中的权限集。

    完成后,你应该有以下几点:

    • 一个Dev team小组。

    • Dev team群组的附加PowerUserAccess权限集。

    • 您的用户已加入群Dev team组。

  3. 退出门户并再次登录以查看您的 Amazon Web Services 账户 和Administrator或选项PowerUserAccessPowerUserAccess在使用您的工具时选择/ SDK。

Amazon 通过身份提供商的门户网站登录。如果您的云管理员已授予您PowerUserAccess(开发者)权限,则您 Amazon Web Services 账户 会看到您有权访问的权限和权限集。在您的权限集名称旁边,可以看到有关使用该权限集手动或以编程方式访问账户的选项。

自定义实现可能会产生不同的体验,例如不同的权限集名称。如果您不确定要使用哪个权限集,请联系 IT 团队以寻求帮助。

Amazon 通过 Amazon 访问门户登录。如果您的云管理员已授予您PowerUserAccess(开发者)权限,则您 Amazon Web Services 账户 会看到您有权访问的权限和权限集。在您的权限集名称旁边,可以看到有关使用该权限集手动或以编程方式访问账户的选项。

请联系您的 IT 团队以寻求帮助。

步骤 2:配置SDKs和使用IAM身份中心的工具

  1. 在您的开发计算机上安装最新的 Amazon CLI。

    1. 参阅 Amazon Command Line Interface 用户指南中的安装或更新最新版本的 Amazon CLI

    2. (可选)要验证是否 Amazon CLI 正在运行,请打开命令提示符并运行该aws --version命令。

  2. 登录 Amazon 访问门户。您的雇主可能会提供此信息,URL或者您可以按照第 1 步:建立访问权限通过电子邮件获得。如果没有,请在的控制面板URL上找到您的Amazon 访问门户https://console.aws.amazon.com/singlesignon/

    1. 在 Amazon 访问门户的账户选项卡中,选择要管理的个人账户。将显示您的用户的角色。选择访问密钥以获取命令行凭证或相应权限集的编程访问权限。使用预定义的 PowerUserAccess 权限集,或者您或您的雇主创建的任何权限集,以将最低权限应用于开发。

    2. 获取凭证对话框中,选择 MacOS 和 LinuxWindows,具体取决于您的操作系统。

    3. 选择 IAMIdentity Center 凭证方法以获取下一步所需的SSO Start URLSSO Region值。

  3. 在 Amazon CLI 命令提示符下,运行该aws configure sso命令。出现提示时,输入在上一步中收集的配置值。有关此 Amazon CLI 命令的详细信息,请参阅使用aws configure sso向导配置您的个人资料

    1. 对于CLI个人资料名称,我们建议输入 default 当你刚开始的时候。有关如何设置非默认(已命名)配置文件及其关联环境变量的信息,请参阅 配置文件

  4. (可选)在 Amazon CLI 命令提示符下,通过运行aws sts get-caller-identity命令确认活动会话身份。响应应显示您配置的IAM身份中心权限集。

  5. 如果您使用的是 Amazon SDK,请在您的开发环境SDK中为您创建一个应用程序。

    1. 对于某些人来说SDKs,在使用 Identity Center IAM 身份验证之前,SSOOIDC必须将其他软件包(例如SSO和)添加到您的应用程序中。有关详细信息,请参阅您的具体内容SDK。

    2. 如果您之前配置了对的访问权限 Amazon,请查看您的共享 Amazon credentials文件是否有任何访问权限Amazon 访问密钥。由于了解凭证提供商链优先顺序,在SDK或工具使用IAM身份中心凭证之前,您必须移除所有静态证书。

要深入了解SDKs和工具如何使用和使用此配置刷新凭据,请参阅了解 IAM Identity Center 身份验证

根据您配置的会话时长,您的访问权限最终将过期,并且SDK或工具将遇到身份验证错误。要在需要时再次刷新访问门户会话, Amazon CLI 请使用运行aws sso login命令。

您可以延长 Ident IAM ity Center 访问门户会话持续时间和权限集会话持续时间。这会延长您在需要再次使用 Amazon CLI手动登录之前运行代码的时间。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的以下主题:

有关所有 Ident IAM ity Center 提供商设置SDKs和工具的详细信息,请参阅本指南IAM身份中心凭证提供商中的。