Tutorial: Verwenden von IAM Identity Center zur Ausführung von Amazon-S3-Befehlen in der AWS CLI - AWS Command Line Interface
Schritt 1: Authentifizierung in IAM Identity CenterSchritt 2: Erfassen Ihrer Informationen für IAM Identity CenterSchritt 3: Erstellen von Amazon-S3-BucketsSchritt 4: Installieren der AWS CLISchritt 5: Konfigurieren Ihres AWS CLI-ProfilsSchritt 6: Anmelden bei IAM Identity CenterSchritt 7: Ausführen von Amazon-S3-Befehlen Schritt 8: Abmelden von IAM Identity CenterSchritt 9: Bereinigen von RessourcenFehlersucheWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Verwenden von IAM Identity Center zur Ausführung von Amazon-S3-Befehlen in der AWS CLI

In diesem Thema wird beschrieben, wie Sie die AWS CLI so konfigurieren, dass Benutzer über das aktuelle AWS IAM Identity Center (IAM Identity Center) authentifiziert werden, um Anmeldeinformationen zum Ausführen von AWS Command Line Interface-Befehlen (AWS CLI) für Amazon Simple Storage Service (Amazon S3) abzurufen.

Schritt 1: Authentifizierung in IAM Identity Center

Besorgen Sie sich Zugriff auf die SSO-Authentifizierung in IAM Identity Center. Wählen Sie eine der folgenden Methoden aus, um auf Ihre AWS-Anmeldeinformationen zuzugreifen.

Folgen Sie den Anweisungen unter Erste Schritte im AWS IAM Identity Center-Benutzerhandbuch. Dieser Prozess aktiviert IAM Identity Center, erstellt einen Administratorbenutzer und fügt einen entsprechenden Berechtigungssatz mit der geringsten Berechtigung hinzu.

Anmerkung

Erstellen Sie einen Berechtigungssatz, der Berechtigungen mit der geringsten Berechtigung anwendet. Wir empfehlen, den vordefinierten PowerUserAccess-Berechtigungssatz zu verwenden, es sei denn, Ihr Arbeitgeber hat zu diesem Zweck einen benutzerdefinierten Berechtigungssatz erstellt.

Verlassen Sie das Portal und melden Sie sich erneut an, um Ihre AWS-Konten, Details zum programmgesteuerten Zugriff und Optionen für Administrator oder PowerUserAccess zu sehen. Wählen Sie PowerUserAccess aus, wenn Sie mit dem SDK arbeiten.

Melden Sie sich über das Portal Ihres Identitätsanbieters bei AWS an. Wenn Ihr Cloud-Administrator Ihnen PowerUserAccess (Entwickler-)Berechtigungen erteilt hat, sehen Sie die AWS-Konten, auf die Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.

Benutzerdefinierte Implementierungen können zu unterschiedlichen Erfahrungen führen, z. B. zu unterschiedlichen Namen von Berechtigungssätzen. Wenn Sie sich nicht sicher sind, welchen Berechtigungssatz Sie verwenden sollen, wenden Sie sich an Ihr IT-Team.

Melden Sie sich über Ihr AWS-Zugriffsportal bei AWS an. Wenn Ihr Cloud-Administrator Ihnen PowerUserAccess (Entwickler-)Berechtigungen erteilt hat, sehen Sie die AWS-Konten, auf die Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.

Wenden Sie sich an Ihr IT-Team, um Hilfe zu erhalten.

Schritt 2: Erfassen Ihrer Informationen für IAM Identity Center

Nachdem Sie Zugriff auf AWS erhalten haben, erfassen Sie Ihre Informationen für IAM Identity Center, indem Sie wie folgt vorgehen:

  1. Sammeln Sie Ihre SSO Region- und SSO Start URL-Werte, die Sie für die Ausführung von aws configure sso benötigen.

    1. Wählen Sie in Ihrem AWS-Zugriffsportal den Berechtigungssatz aus, den Sie für die Entwicklung verwenden. Klicken Sie dann auf den Link Zugriffsschlüssel.

    2. Wählen Sie im Dialogfeld Anmeldeinformationen abrufen die Registerkarte aus, die Ihrem Betriebssystem entspricht.

    3. Wählen Sie die Methode Anmeldeinformationen für IAM Identity Center aus, um die Werte für SSO Start URL und SSO Region abzurufen.

  2. Alternativ können Sie ab Version 2.22.0 die neue Aussteller-URL anstelle der Start-URL verwenden. Die Aussteller-URL befindet sich in der AWS IAM Identity Center-Konsole an einem der folgenden Orte:

    • Auf der Dashboard-Seite finden Sie die Aussteller-URL in der Einstellungsübersicht.

    • Auf der Seite Einstellungen finden Sie die Aussteller-URL in den Einstellungen für die Identitätsquelle.

  3. Informationen dazu, welcher Bereichswert registriert werden soll, finden Sie unter OAuth 2.0-Zugriffsbereiche im IAM Identity Center-Benutzerhandbuch.

Schritt 3: Erstellen von Amazon-S3-Buckets

Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

Erstellen Sie für dieses Tutorial einige Buckets, die später in einer Liste abgerufen werden sollen.

Schritt 4: Installieren der AWS CLI

Installieren Sie die AWS CLI, indem Sie den Anleitungen für Ihr Betriebssystem folgen. Weitere Informationen finden Sie unter Installation oder Aktualisierung der neuesten Version von AWS CLI..

Nach der Installation können Sie die Installation überprüfen, indem Sie Ihr bevorzugtes Terminal öffnen und den folgenden Befehl ausführen. Damit sollte die von Ihnen installierte Version der AWS CLI angezeigt werden. 

$ aws --version

Schritt 5: Konfigurieren Ihres AWS CLI-Profils

Konfigurieren Sie Ihr Profil mithilfe einer der folgenden Methoden:

Der sso-session-Abschnitt der config-Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann für den Erhalt von AWS-Anmeldeinformationen verwendet werden können. Die folgenden Einstellungen werden verwendet:

Sie definieren einen sso-session-Abschnitt und ordnen ihn einem Profil zu. Die Einstellungen sso_region und sso_start_url müssen innerhalb des sso-session-Abschnitts festgelegt werden. Normalerweise müssen sso_account_id und sso_role_name im profile-Abschnitt festgelegt werden, damit das SDK SSO-Anmeldeinformationen anfordern kann.

Im folgenden Beispiel wird das SDK für die Anforderung von SSO-Anmeldeinformationen konfiguriert und es wird eine automatische Token-Aktualisierung unterstützt: 

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

Die Autorisierung mit Proof Key for Code Exchange (PKCE) wird ab Version 2.22.0 der AWS CLI standardmäßig verwendet und muss auf Geräten mit einem Browser genutzt werden. Um die Geräteautorisierung weiterhin zu verwenden, fügen Sie die Option --use-device-code hinzu.

$ aws configure sso --use-device-code

Der sso-session-Abschnitt der config-Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann für den Erhalt von AWS-Anmeldeinformationen verwendet werden können. Die folgenden Einstellungen werden verwendet:

Sie definieren einen sso-session-Abschnitt und ordnen ihn einem Profil zu. sso_region und sso_start_url müssen innerhalb des sso-session-Abschnitts festgelegt werden. Normalerweise müssen sso_account_id und sso_role_name im profile-Abschnitt festgelegt werden, damit das SDK SSO-Anmeldeinformationen anfordern kann.

Im folgenden Beispiel wird das SDK für die Anforderung von SSO-Anmeldeinformationen konfiguriert und es wird eine automatische Token-Aktualisierung unterstützt: 

[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Das Authentifizierungs-Token wird auf der Festplatte unter dem Verzeichnis ~/.aws/sso/cache mit einem Dateinamen zwischengespeichert, der auf dem Sitzungsnamen basiert.

Schritt 6: Anmelden bei IAM Identity Center

Anmerkung

Während des Anmeldevorgangs werden Sie möglicherweise aufgefordert, der AWS CLI Zugriff auf Ihre Daten zu gewähren. Da die AWS CLI auf dem SDK für Python aufbaut, können Berechtigungsnachrichten Variationen des Namens botocore enthalten.

Um Ihre Anmeldeinformationen für IAM Identity Center abzurufen und zwischenzuspeichern, führen Sie den folgenden Befehl für die AWS CLI aus, um Ihren Standardbrowser zu öffnen und Ihre Anmeldung bei IAM Identity Center zu überprüfen.

$ aws sso login --profile my-dev-profile

Ab der Version 2.22.0 ist die PKCE-Autorisierung die Standardeinstellung. Um die Geräteautorisierung für die Anmeldung zu verwenden, fügen Sie die Option --use-device-code hinzu.

$ aws sso login --profile my-dev-profile --use-device-code

Schritt 7: Ausführen von Amazon-S3-Befehlen

Verwenden Sie den Befehl aws s3 ls, um die Buckets aufzulisten, die Sie zuvor erstellt haben. Das folgende Beispiel listet alle Ihre Amazon-S3-Buckets auf.

$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2

Schritt 8: Abmelden von IAM Identity Center

Wenn Sie Ihr Profil für IAM Identity Center nicht mehr verwenden, führen Sie den folgenden Befehl aus, um Ihre zwischengespeicherten Anmeldeinformationen zu löschen.

$ aws sso logout
Successfully signed out of all SSO profiles.

Schritt 9: Bereinigen von Ressourcen

Wenn Sie mit diesem Tutorial fertig sind, bereinigen Sie alle Ressourcen, die Sie in diesem Tutorial erstellt haben und nicht mehr benötigen, einschließlich Amazon-S3-Buckets.

Fehlersuche

Wenn bei der Verwendung der AWS CLI Fehler auftreten, finden Sie unter Behebung von Fehlern für den AWS CLI Informationen zur Behebung gängiger Fehler.

Weitere Ressourcen

Die folgenden zusätzlichen Ressourcen stehen zur Verfügung.