Uso de IAM Identity Center para autenticar el SDK y las herramientas de AWS - SDK y herramientas de AWS
Requisitos previosConfiguración del acceso mediante programación mediante el IAM Identity CenterActualización de las sesiones de acceso al portal

Uso de IAM Identity Center para autenticar el SDK y las herramientas de AWS

AWS IAM Identity Center es el método recomendado para proporcionar credenciales de AWS cuando se desarrolla una aplicación de AWS en un servicio informático no relacionado con AWS. Por ejemplo, sería algo así como su entorno de desarrollo local. Si está desarrollando en un recurso de AWS, como Amazon Elastic Compute Cloud (Amazon EC2) o AWS Cloud9, le recomendamos que obtenga las credenciales de ese servicio en su lugar.

En este tutorial, establecerá el acceso al IAM Identity Center y podrá configurarlo para el SDK o la herramienta mediante el portal de acceso de AWS y la AWS CLI.

  • El portal de acceso a AWS es la ubicación web en la que se inicia sesión manualmente en el Centro de identidades de IAM. El formato de la URL es d-xxxxxxxxxx.awsapps.com/start o your_subdomain.awsapps.com/start. Al iniciar sesión en el portal de acceso de AWS, puede ver las Cuentas de AWS y roles que se han configurado para ese usuario. Este procedimiento utiliza el portal de acceso de AWS para obtener los valores de configuración que necesita para el proceso de autenticación del SDK y la herramienta.

  • La AWS CLI se utiliza para configurar el SDK o la herramienta a fin de utilizar la autenticación del Centro de identidades de IAM para las llamadas a la API realizadas por el código. Este proceso único actualiza su archivo AWS compartido de config para que el SDK o la herramienta lo utilicen cuando ejecute el código.

Requisitos previos

Antes de comenzar este procedimiento, debe haber completado lo siguiente:

Configuración del acceso mediante programación mediante el IAM Identity Center

Paso 1: establecer el acceso y seleccionar el conjunto de permisos adecuado

Elija uno de los siguientes métodos para acceder a las credenciales de AWS.

  1. Agregue un usuario y permisos administrativos según el procedimiento de configuración del acceso de los usuarios con el directorio predeterminado de IAM Identity Center de la Guía del usuario de AWS IAM Identity Center

  2. El conjunto de permisos de AdministratorAccess no debe utilizarse para un desarrollo normal. En su lugar, le recomendamos que utilice el conjunto de permisos predefinido PowerUserAccess, a menos que su empleador haya creado un conjunto de permisos personalizado para este fin.

    Siga el mismo procedimiento de configuración del acceso de los usuarios con el directorio predeterminado de IAM Identity Center, pero esta vez:

    • En lugar de crear el grupo Admin team, cree un grupo Dev team y sustitúyalo por este a continuación en las instrucciones.

    • Puede usar el usuario existente, pero debe agregarlo al nuevo grupo Dev team.

    • En lugar de crear el conjunto de permisos AdministratorAccess, cree un conjunto de permisos PowerUserAccess y sustitúyalo por este a continuación en las instrucciones.

    Cuando haya terminado, tendrá lo siguiente:

    • Un grupo Dev team.

    • Un conjunto de permisos PowerUserAccess adjunto al grupo Dev team.

    • Su usuario agregado al grupo Dev team.

  3. Salga del portal e inicie sesión de nuevo para ver sus Cuentas de AWS y opciones para Administrator o PowerUserAccess. Seleccione PowerUserAccess cuando trabaje con el SDK/las herramientas.

Inicie sesión en AWS a través del portal de su proveedor de identidades. Si su administrador de la nube le ha concedido permisos PowerUserAccess (desarrollador), verá las Cuentas de AWS a las que tiene acceso y su conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos.

Las implementaciones personalizadas pueden dar lugar a experiencias diferentes, como distintos nombres de conjuntos de permisos. Si no está seguro de qué configuración de permisos debe utilizar, contacte con su equipo de TI para obtener ayuda.

Inicie sesión en AWS a través del portal de acceso de AWS. Si su administrador de la nube le ha concedido permisos PowerUserAccess (desarrollador), verá las Cuentas de AWS a las que tiene acceso y su conjunto de permisos. Junto al nombre de su conjunto de permisos, verá las opciones para acceder a las cuentas de forma manual o programática mediante ese conjunto de permisos.

Contacte con su equipo de TI para obtener ayuda.

Paso 2: configurar los SDK y las Herramientas para usar el IAM Identity Center

  1. En su máquina de desarrollo, instale la versión más reciente de la AWS CLI.

    1. Consulte Instalar o actualizar la versión más reciente de la AWS CLI en la Guía del usuario de AWS Command Line Interface.

    2. (Opcional) Para comprobar que la AWS CLI funciona, abra una línea de comandos y ejecute el comando aws --version.

  2. Inicio de sesión en el portal de acceso AWS. Es posible que su empresa le facilite esta URL o que la reciba en un correo electrónico tras el paso 1: establecer el acceso. Si no es así, puede encontrar la URL de su portal de acceso de AWS en el panel de control de https://console.aws.amazon.com/singlesignon/.

    1. En el portal de acceso de AWS, en la pestaña Cuentas, seleccione la cuenta individual que desee administrar. Aparece los roles para el usuario. Elija Claves de acceso para obtener credenciales de acceso a la línea de comandos o mediante programación para el conjunto de permisos apropiado. Utilice el conjunto de permisos PowerUserAccess predefinido o el conjunto de permisos que usted o su empleador hayan creado para aplicar permisos de privilegio mínimo para el desarrollo.

    2. En el cuadro de diálogo Obtener credenciales, elija MacOS y Linux o Windows, en función del sistema operativo.

    3. Elija el método de Credenciales del IAM Identity Center para obtener los valores Issuer URL y SSO Region que necesita para el próximo paso. Nota: Se puede usar SSO Start URL indistintamente con Issuer URL.

  3. En el símbolo del sistema de la AWS CLI, ejecute el comando aws configure sso. Cuando se le solicite, introduzca los valores de configuración que recopiló en el paso anterior. Para obtener más información sobre este comando de la AWS CLI, consulte Configuración del perfil mediante el asistente de aws configure sso.

    1. En la petición SSO Start URL, introduzca el valor que obtuvo para Issuer URL.

    2. Para el nombre del perfil de la CLI, le recomendamos que introduzca el valor predeterminado al empezar. Para obtener información sobre cómo configurar perfiles no predeterminados (con nombre) y su variable de entorno asociada, consulte Perfiles.

  4. (Opcional) En el símbolo del sistema de la AWS CLI, confirme la identidad de la sesión activa ejecutando el comando aws sts get-caller-identity. La respuesta debería mostrar el conjunto de permisos del IAM Identity Center que configuró.

  5. Si utiliza un AWS SDK, cree una aplicación para su SDK en su entorno de desarrollo.

    1. En el caso de algunos SDK, es necesario añadir paquetes adicionales como SSO y SSOOIDC, a la aplicación antes de poder utilizar la autenticación del IAM Identity Center. Para obtener más detalles, consulte su SDK específica.

    2. Si anteriormente configuraste el acceso a AWS, revise su archivo compartido credentials de AWS para ver si hay alguno Claves de acceso de AWS. Debe eliminar todas las credenciales estáticas antes de que el SDK o la herramienta utilicen las credenciales del IAM Identity Center debido a la precedencia Comprender la cadena de proveedores de credenciales.

Para obtener información detallada sobre cómo los SDK y las herramientas utilizan y actualizan las credenciales con esta configuración, consulte Cómo se resuelve la autenticación de IAM Identity Center para los SDK y las herramientas de AWS.

Para configurar los ajustes del proveedor de IAM Identity Center directamente en el archivo config compartido, consulte Proveedor de credenciales del IAM Identity Center en esta guía.

Actualización de las sesiones de acceso al portal

El acceso eventualmente caducará y los SDK o las herramientas detectarán un error de autenticación. El momento en que se produce este vencimiento depende de la duración de las sesiones configuradas. Para volver a actualizar la sesión del portal de acceso cuando sea necesario, utilice el comando de la AWS CLI para ejecutar el comando aws sso login.

Puede ampliar tanto la duración de la sesión del portal de acceso al IAM Identity Center como la duración de la sesión del conjunto de permisos. Esto prolonga el tiempo que puede ejecutar el código antes de tener que volver a iniciar sesión manualmente con la AWS CLI. Para obtener más información, consulte los siguientes temas en la Guía del usuario de AWS IAM Identity Center: