Uso del Centro de identidades de IAM para autenticar el AWS SDK y las herramientas - AWS SDKs y herramientas
Requisitos previosConfiguración del acceso mediante programación mediante el IAM Identity CenterActualización de las sesiones de acceso al portal

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso del Centro de identidades de IAM para autenticar el AWS SDK y las herramientas

AWS IAM Identity Center se puede utilizar para proporcionar AWS credenciales al desarrollar una AWS aplicación en entornos de servicios no AWS informáticos. Si estás desarrollando en un AWS recurso, como Amazon Elastic Compute Cloud (Amazon EC2) o AWS Cloud9, te recomendamos que obtengas las credenciales de ese servicio.

Utilice la autenticación del IAM Identity Center si ya utiliza el Identity Center para acceder a la AWS cuenta o si necesita gestionar el acceso de una organización.

En este tutorial, establecerá el acceso al Centro de Identidad de IAM y lo configurará para su SDK o herramienta mediante el portal de AWS acceso y el. AWS CLI

  • El portal de AWS acceso es la ubicación web en la que se inicia sesión manualmente en el Centro de identidades de IAM. El formato de la URL es d-xxxxxxxxxx.awsapps.com/start o your_subdomain.awsapps.com/start. Al iniciar sesión en el portal de AWS acceso, puede ver Cuentas de AWS los roles que se han configurado para ese usuario. Este procedimiento utiliza el portal de AWS acceso para obtener los valores de configuración que necesita para el proceso de SDK/tool autenticación.

  • AWS CLI Se utiliza para configurar el SDK o la herramienta para que utilice la autenticación del Centro de Identidad de IAM para las llamadas a la API realizadas mediante el código. Este proceso único actualiza el AWS config archivo compartido, que luego es utilizado por el SDK o la herramienta al ejecutar el código.

Requisitos previos

Antes de comenzar este procedimiento, debe haber completado lo siguiente:

Configuración del acceso mediante programación mediante el IAM Identity Center

Paso 1: establecer el acceso y seleccionar el conjunto de permisos adecuado

Elija uno de los siguientes métodos para acceder a sus AWS credenciales.

  1. Agregue un usuario y permisos administrativos según el procedimiento de configuración del acceso de los usuarios con el directorio predeterminado de IAM Identity Center de la Guía del usuario de AWS IAM Identity Center

  2. El conjunto de permisos de AdministratorAccess no debe utilizarse para un desarrollo normal. En su lugar, le recomendamos que utilice el conjunto de permisos predefinido PowerUserAccess, a menos que su empleador haya creado un conjunto de permisos personalizado para este fin.

    Siga el mismo procedimiento de configuración del acceso de los usuarios con el directorio predeterminado de IAM Identity Center, pero esta vez:

    • En lugar de crear el grupo Admin team, cree un grupo Dev team y sustitúyalo por este a continuación en las instrucciones.

    • Puede usar el usuario existente, pero debe agregarlo al nuevo grupo Dev team.

    • En lugar de crear el conjunto de permisos AdministratorAccess, cree un conjunto de permisos PowerUserAccess y sustitúyalo por este a continuación en las instrucciones.

    Cuando haya terminado, tendrá lo siguiente:

    • Un grupo Dev team.

    • Un conjunto de permisos PowerUserAccess adjunto al grupo Dev team.

    • Su usuario agregado al grupo Dev team.

  3. Salga del portal e inicie sesión de nuevo para ver sus opciones Cuentas de AWS y para Administrator oPowerUserAccess. Seleccione PowerUserAccess cuando trabaje con el SDK/las herramientas.

Inicia sesión a AWS través del portal de tu proveedor de identidad. Si el administrador de la nube te ha concedido permisos PowerUserAccess (de desarrollador), verás aquellos a los Cuentas de AWS que tienes acceso y tu conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos.

Las implementaciones personalizadas pueden dar lugar a experiencias diferentes, como distintos nombres de conjuntos de permisos. Si no está seguro de qué configuración de permisos debe utilizar, contacte con su equipo de TI para obtener ayuda.

Inicie sesión a AWS través del portal de AWS acceso. Si su administrador de la nube le ha concedido permisos PowerUserAccess (desarrollador), verá las Cuentas de AWS a las que tiene acceso y su conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos.

Contacte con su equipo de TI para obtener ayuda.

Paso 2: Configurar SDKs y usar las herramientas para usar el IAM Identity Center

  1. En su máquina de desarrollo, instale la versión más reciente de la AWS CLI.

    1. Consulte Instalar o actualizar la versión más reciente de la AWS CLI en la Guía del usuario de AWS Command Line Interface .

    2. (Opcional) Para comprobar que funciona, abra una línea de comandos y ejecute el aws --version comando. AWS CLI

  2. Inicie sesión en el portal de AWS acceso. Es posible que su empresa le facilite esta URL o que la reciba en un correo electrónico tras el paso 1: establecer el acceso. De lo contrario, busque la URL de su portal de AWS acceso en el panel de control de https://console.aws.amazon.com/singlesignon/.

    1. En el portal de AWS acceso, en la pestaña Cuentas, seleccione la cuenta individual que desee administrar. Aparece los roles para el usuario. Elija Claves de acceso para obtener credenciales de acceso a la línea de comandos o mediante programación para el conjunto de permisos apropiado. Utilice el conjunto de permisos PowerUserAccess predefinido o el conjunto de permisos que usted o su empleador hayan creado para aplicar permisos de privilegio mínimo para el desarrollo.

    2. En el cuadro de diálogo Obtener credenciales, elija MacOS y Linux o Windows, en función del sistema operativo.

    3. Elija el método de Credenciales del IAM Identity Center para obtener los valores Issuer URL y SSO Region que necesita para el próximo paso. Nota: Se puede usar SSO Start URL indistintamente con Issuer URL.

  3. En la AWS CLI línea de comandos, ejecute el aws configure sso comando. Cuando se le solicite, introduzca los valores de configuración que recopiló en el paso anterior. Para obtener más información sobre este AWS CLI comando, consulte Configurar su perfil con el aws configure sso asistente.

    1. En la petición SSO Start URL, introduzca el valor que obtuvo para Issuer URL.

    2. Para el nombre del perfil CLI, le recomendamos que lo introduzca default al empezar. Para obtener información sobre cómo configurar perfiles no predeterminados (con nombre) y su variable de entorno asociada, consulte Perfiles.

  4. (Opcional) En la AWS CLI línea de comandos, confirme la identidad de la sesión activa ejecutando el aws sts get-caller-identity comando. La respuesta debería mostrar el conjunto de permisos del IAM Identity Center que configuró.

  5. Si utiliza un AWS SDK, cree una aplicación para su SDK en su entorno de desarrollo.

    1. En el caso de algunos SDKs, es SSOOIDC necesario añadir paquetes adicionales a la aplicación antes de poder utilizar la autenticación del IAM Identity Center. SSO Para obtener más detalles, consulte su SDK específica.

    2. Si anteriormente configuró el acceso a AWS, revise el AWS credentials archivo compartido para ver si existe algunoClaves de acceso de AWS. Debe eliminar todas las credenciales estáticas antes de que el SDK o la herramienta utilicen las credenciales del IAM Identity Center debido a la precedencia Comprender la cadena de proveedores de credenciales.

Para obtener información detallada sobre cómo las herramientas SDKs y herramientas utilizan y actualizan las credenciales con esta configuración, consulteCómo se resuelve la autenticación de IAM Identity Center para los SDK y las herramientas de AWS.

Para configurar los ajustes del proveedor de IAM Identity Center directamente en el archivo config compartido, consulte Proveedor de credenciales del IAM Identity Center en esta guía.

Actualización de las sesiones de acceso al portal

El acceso eventualmente caducará y los SDK o las herramientas detectarán un error de autenticación. El momento en que se produce este vencimiento depende de la duración de las sesiones configuradas. Para volver a actualizar la sesión del portal de acceso cuando sea necesario, utilice el comando AWS CLI para ejecutar el aws sso login comando.

Puede ampliar tanto la duración de la sesión del portal de acceso al IAM Identity Center como la duración de la sesión del conjunto de permisos. Esto prolonga el tiempo que puede ejecutar el código antes de tener que volver a iniciar sesión manualmente con la AWS CLI. Para obtener más información, consulte los siguientes temas en la Guía del usuario de AWS IAM Identity Center :