本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
获取Amazon CLI或Amazon软件开发工具包的 IAM Identity Center 用户证书
您可以使用Amazon Command Line Interface或带有 IAM Identity Center 用户证书的Amazon软件开发套件 (SDK),以编程方式访问Amazon服务。本主题介绍如何在 IAM Identity Center 中为用户获取临时证书。
Amazon Web Services访问门户为 IAM Identity Center 用户提供了对其应用程序Amazon Web Services 账户和云应用程序的单点登录访问权限。作为 IAM Identity Center 用户登录Amazon Web Services访问门户后,您可以获得临时证书。然后,您可以使用Amazon CLI或Amazon软件开发工具包中的证书(也称为 IAM Identity Center 用户证书)来访问中的资源。Amazon Web Services 账户
如果您使用以编程方式访问Amazon服务,则可以使用本主题中的过程来启动对服务的访问。Amazon CLI Amazon CLI有关信息Amazon CLI,请参阅《Amazon Command Line Interface用户指南》。
如果您使用Amazon软件开发工具包以编程方式访问Amazon服务,则按照本主题中的步骤还可以直接为软件开发工具包建立身份验证。Amazon有关 Amazon SDK 的信息,请参阅 AmazonSDK 和工具参考指南。
注意
IAM 身份中心中的用户与 IAM 用户不同。IAM 用户将获得Amazon资源的长期证书。IAM Identity Center 中的用户将获得临时证书。我们建议您使用临时证书作为访问您的证书的最佳安全实践,Amazon Web Services 账户因为这些证书是在您每次登录时生成的。
先决条件
要为您的 IAM Identity Center 用户获取临时证书,您需要具备以下条件:
-
IAM 身份中心用户-您将以该用户身份登录Amazon Web Services访问门户。您或您的管理员可能会创建此用户。有关如何启用 IAM 身份中心和创建 IAM 身份中心用户的信息,请参阅开始使用。
-
用户访问权限 Amazon Web Services 账户 — 要向 IAM Identity Center 用户授予检索其临时证书的权限,您或管理员必须将 IAM Identity Center 用户分配给权限集。权限集存储在 IAM 身份中心中,用于定义 IAM 身份中心用户对的访问级别Amazon Web Services 账户。如果您的管理员为您创建了 IAM Identity Center 用户,请让他们为您添加此访问权限。有关更多信息,请参阅将用户访问权限分配给 Amazon Web Services 账户:
-
Amazon CLI已安装-要使用临时证书,必须安装Amazon CLI。有关说明,请参阅Amazon CLI用户指南Amazon CLI中的安装或更新最新版本的。
注意事项
在完成为 IAM Identity Center 用户获取临时证书的步骤之前,请记住以下注意事项:
-
IAM Identity Center 创建 IAM 角色 — 当您将 IAM 身份中心中的用户分配给权限集时,IAM Identity Center 会根据权限集创建相应的 IAM 角色。权限集创建的 IAM 角色与通过以下Amazon Identity and Access Management方式创建的 IAM 角色不同:
-
IAM Identity Center 拥有并保护由权限集创建的角色。只有 IAM 身份中心可以修改这些角色。
-
只有 IAM Identity Center 中的用户才能担任与其分配的权限集相对应的角色。您不能向 IAM 用户、IAM 联合用户或服务账户分配权限集访问权限。
-
您不能修改这些角色的角色信任策略以允许委托人访问 IAM Identity C enter 以外的用户。
有关如何获取您在 IAM 中创建的角色的临时证书的信息,请参阅Amazon Identity and Access Management用户指南Amazon CLI中的使用临时安全证书。
-
-
您可以为权限集设置会话持续时间 — 登录Amazon Web Services访问门户后,分配给您的 IAM Identity Center 用户的权限集将显示为可用角色。IAM Identity Center 会为此角色创建单独的会话。此会话可能为 1 到 12 小时,具体取决于为权限集配置的会话持续时间。默认会话持续时间为一小时。有关更多信息,请参阅设置会话持续时间:
获取和刷新临时证书
您可以自动或手动获取和刷新 IAM Identity Center 用户的临时证书。
自动刷新凭证(推荐)
自动刷新凭证使用 Open ID Connect (OIDC) 设备代码授权标准。使用此方法,您可以使用中的aws configure
sso
命令直接启动访问Amazon CLI。您可以使用此命令自动访问与分配给您的任何权限集关联的任何角色Amazon Web Services 账户。
要访问为您的 IAM Identity Center 用户创建的角色,aws configure sso
请运行命令,然后Amazon CLI从浏览器窗口对其进行授权。只要您的Amazon Web Services访问门户会话处于活动状态,Amazon CLI就会自动检索临时证书并自动刷新证书。
有关更多信息,请参阅《Amazon Command Line Interface用户指南》aws configure sso wizard
中的 “使用配置您的个人资料”。
获取可自动刷新的临时证书
-
使用管理员提供的特定登录 URL 登录Amazon Web Services访问门户。如果您创建了 IAM Identity Center 用户,则会Amazon发送一封包含您的登录 URL 的电子邮件邀请。有关更多信息,请参阅《登录用户指南》中的Amazon登录Amazon Web Services访问门户。
-
在Amazon Web Services访问门户页面上,选择Amazon账户图标
以展开账户列表。如果未显示任何帐户,则表示您没有访问该帐户所需的权限。
-
选择您要Amazon Web Services 账户从中检索临时凭证的。选择账户后,会显示与该账户关联的账户名、账户 ID 和电子邮件地址。
-
在账户名称下方,分配给您的 IAM Identity Center 用户的权限集显示为可用角色。例如,如果您的 IAM Identity Center 用户被分配到该账户的PowerUserAccess权限集,则该角色在Amazon Web Services访问门户中显示为
PowerUserAccess
。 -
在角色名称的右侧,选择命令行或编程访问权限。
-
在 “获取凭据” 对话框中,选择 macOS 和 Linux PowerShell、Windows 或,具体取决于您安装的操作系统。Amazon CLI
-
在 AmazonIAM 身份中心证书(推荐)下,将
SSO Region
显示您的SSO Start URL
和。配置启用 IAM Identity Center 的配置文件和sso-session
您的配置文件都需要这些值Amazon CLI。要完成此配置,请按照《Amazon Command Line Interface用户指南》中的 “配置您的个人资料”aws configure sso wizard
中的说明进行操作。
手动刷新凭据
您可以使用手动凭证刷新方法来获取与特定权限集关联的角色的临时证书。Amazon Web Services 账户为此,您需要复制并粘贴临时证书所需的命令。使用此方法,您必须手动刷新临时证书。
在临时证书到期之前,您可以运行Amazon CLI命令。
获取您手动刷新的凭据
-
使用管理员提供的特定登录 URL 登录Amazon Web Services访问门户。如果您创建了 IAM Identity Center 用户,则会Amazon发送一封包含您的登录 URL 的电子邮件邀请。有关更多信息,请参阅《登录用户指南》中的Amazon登录Amazon Web Services访问门户。
-
在Amazon Web Services访问门户页面上,选择Amazon账户图标
以展开账户列表。如果未显示任何帐户,则表示您没有访问该帐户所需的权限。
-
选择您要Amazon Web Services 账户从中检索临时凭证的。选择账户后,会显示与该账户关联的账户名、账户 ID 和电子邮件地址。
-
在账户名称下方,分配给您的 IAM Identity Center 用户的权限集显示为可用角色。例如,如果您的 IAM Identity Center 用户被分配到该账户的PowerUserAccess权限集,则该角色在Amazon Web Services访问门户中显示为
PowerUserAccess
。 -
在角色名称的右侧,选择命令行或编程访问权限。
-
在 “获取凭据” 对话框中,选择 macOS 和 Linux PowerShell、Windows 或,具体取决于您安装的操作系统。Amazon CLI
-
选择以下任一选项:
-
选项 1:设置Amazon环境变量
选择此选项可覆盖所有凭据设置,包括
credentials
文件和config
文件中的任何设置。有关更多信息,请参阅《Amazon CLI用户指南》Amazon CLI中的要配置的环境变量。要使用此选项,请将命令复制到剪贴板,将命令粘贴到Amazon CLI终端窗口,然后按 Enter 键设置所需的环境变量。
-
选项 2:手动将配置文件添加到您的Amazon凭据文件中
选择此选项可使用不同的凭据集运行命令。
要使用此选项,请将命令复制到剪贴板,然后将命令粘贴到共享Amazon
credentials
文件中以设置新的命名配置文件。有关更多信息,请参阅《Amazon软件开发工具包和工具参考指南》中的共享配置和凭据文件。要使用此凭证,请在Amazon CLI命令中指定该--profile
选项。这会影响使用相同凭证文件的所有环境。 -
选项 3:在Amazon服务客户端中使用个人值
选择此选项可从Amazon服务客户端访问Amazon资源。有关更多信息,请参阅用于在 Amazon 上进行构建的工具
。 要使用此选项,请将值复制到剪贴板,将值粘贴到代码中,然后将其分配给适合您的 SDK 的相应变量。有关更多信息,请参阅您的特定 SDK API 的文档。
-