Obtención de las credenciales de usuario de IAM Identity Center para la AWS CLI o AWS SDKs - AWS IAM Identity Center
Requisitos previosConsideracionesObtención y actualización de credenciales temporales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Obtención de las credenciales de usuario de IAM Identity Center para la AWS CLI o AWS SDKs

Puede acceder a AWS los servicios de mediante programación usando los kits de desarrollo de AWS software (SDKs) de la AWS Command Line Interface o de con credenciales de usuario de IAM Identity Center. En este tema se describe cómo obtener credenciales temporales para un usuario en IAM Identity Center.

El portal de AWS acceso proporciona a los usuarios de IAM Identity Center un acceso único a sus aplicaciones Cuentas de AWS y la nube de. Tras iniciar sesión en el portal de AWS acceso como usuario de IAM Identity Center, podrá obtener credenciales temporales. A continuación, puede utilizar las credenciales, también denominadas credenciales de usuario de IAM Identity Center, en la AWS CLI o AWS SDKs para acceder a los recursos de una Cuenta de AWS.

Si utiliza la AWS CLI para acceder a los AWS servicios de mediante programación, puede utilizar los procedimientos de este tema para iniciar el acceso a la. AWS CLI Para obtener información sobre el AWS CLI, consulte la Guía del AWS Command Line Interface usuario.

Si utiliza la AWS SDKs para acceder a los AWS servicios de mediante programación, seguir los procedimientos de este tema también establece directamente la autenticación de la. AWS SDKs Para obtener información acerca de AWS SDKs, consulte la Guía de referencia de herramientas AWS SDKs y herramientas.

nota

Los usuarios de IAM Identity Center son diferentes a los usuarios de IAM. Los usuarios de IAM reciben credenciales a largo plazo para AWS los recursos de. Los usuarios de IAM Identity Center reciben credenciales temporales. Le recomendamos que utilice credenciales temporales como práctica recomendada de seguridad para acceder a sus, Cuentas de AWS ya que estas credenciales se generan cada vez que inicia sesión.

Requisitos previos

Para obtener credenciales temporales para su usuario de IAM Identity Center, necesitará lo siguiente:

  • Un usuario de IAM Identity Center: iniciará sesión en el portal de acceso AWS como este usuario. Usted o su administrador pueden crearlo. Para obtener información sobre cómo activar IAM Identity Center y crear un usuario de IAM Identity Center, consulte Getting started with IAM Identity Center.

  • Acceso de usuario a una Cuenta de AWS: para conceder permiso a un usuario de IAM Identity Center para que recupere sus credenciales temporales, usted o un administrador deben asignar al usuario de IAM Identity Center un conjunto de permisos. Los conjuntos de permisos se guardan en IAM Identity Center y definen el nivel de acceso que tienen los usuarios y grupos de una Cuenta de AWS. Si su administrador creó el usuario de IAM Identity Center por usted, pídale que añada este acceso. Para obtener más información, consulte Asigne el acceso de usuario o grupo a Cuentas de AWS.

  • AWS CLI La instalada: para usar las credenciales temporales, debe instalar la AWS CLI. Para obtener instrucciones de instalación, consulte Instalar o actualizar la última versión de la AWS CLI en la Guía del usuario de AWS CLI .

Consideraciones

Antes de completar los pasos para obtener credenciales temporales para el usuario de IAM Identity Center, tenga en cuenta los siguientes aspectos:

  • IAM Identity Center crea roles de IAM: cuando se asigna a un usuario de IAM Identity Center un conjunto de permisos, IAM Identity Center crea un rol de IAM correspondiente a partir del conjunto de permisos. Los roles de IAM creados mediante conjuntos de permisos se diferencian de los roles de IAM creados AWS Identity and Access Management en los siguientes aspectos:

    • IAM Identity Center posee y protege los roles creados por los conjuntos de permisos. Solo IAM Identity Center puede modificar estos roles.

    • Solo los usuarios de IAM Identity Center pueden asumir los roles que corresponden a sus conjuntos de permisos asignados. No puede asignar el acceso a los conjuntos de permisos a los usuarios de IAM, a los usuarios federados de IAM ni a las cuentas de servicio.

    • No puede modificar una política de confianza de roles en estos roles para permitir el acceso a entidades principales fuera de IAM Identity Center.

    Para obtener información sobre cómo obtener credenciales temporales para un rol que cree en IAM, consulte Uso de credenciales de seguridad temporales con la AWS CLI en la Guía del usuario de AWS Identity and Access Management .

  • Puede configurar la duración de la sesión para los conjuntos de permisos: tras iniciar sesión en el portal de AWS acceso, el conjunto de permisos al que está asignado su usuario de IAM Identity Center aparecerá como rol disponible. IAM Identity Center crea una sesión independiente para este rol. Esta sesión puede durar de una a 12 horas según la duración de la sesión configurada para el conjunto de permisos. De forma predeterminada, la sesión durará 1 hora. Para obtener más información, consulte Definir la duración de la sesión para Cuentas de AWS.

Obtención y actualización de credenciales temporales

Puede obtener y actualizar credenciales temporales de su usuario de IAM Identity Center de forma automática o manual.

Actualización automática de credenciales (recomendada)

La actualización automática de credenciales utiliza el estándar de autorización de código de dispositivo Open ID Connect (OIDC)). Con este método, se inicia el acceso directamente mediante el comando aws configure sso en la AWS CLI. Puede usar este comando para acceder automáticamente a cualquier rol que esté asociado a cualquier conjunto de permisos al que esté asignado para cualquier Cuenta de AWS.

Para acceder al rol creado para su usuario de IAM Identity Center, ejecute el aws configure sso comando y, a continuación, autorice la AWS CLI desde una ventana del navegador. Mientras tenga una sesión activa en el portal de AWS acceso, la AWS CLI recuperará automáticamente las credenciales temporales y las actualizará automáticamente.

Para obtener más información, consulte Configurar el perfil con el aws configure sso wizard en la Guía del usuario AWS Command Line Interface .

Cómo obtener credenciales temporales que se actualicen automáticamente:

  1. El administrador o el empleado del AWS servicio de asistencia proporcionan el portal de acceso o la URL de inicio de sesión específica. Si creó el usuario de IAM Identity Center, AWS envió una invitación por correo electrónico con la URL de inicio de sesión. Para obtener más información, consulte Iniciar sesión en el portal de AWS acceso en la Guía del usuario de AWS inicio de sesión.

  2. En la pestaña Cuentas, localice Cuenta de AWS la para la que desee recuperar las credenciales. Al seleccionar la cuenta, aparecerán el nombre y el ID de la cuenta y la dirección de correo electrónico asociados a la cuenta.

    nota

    Si no ve ninguna Cuentas de AWS en la lista, es probable que aún no se le haya asignado un conjunto de permisos dicha cuenta o cuentas. En este caso, póngase en contacto con su administrador y pídale que añada este acceso. Para obtener más información, consulte Asigne el acceso de usuario o grupo a Cuentas de AWS.

  3. Debajo del nombre de la cuenta, los permisos al que está asignado el usuario de IAM Identity Center aparecen como un rol disponible. Por ejemplo, si a su usuario del Centro de Identidad de IAM se le asigna el conjunto de PowerUserAccesspermisos de la cuenta, el rol aparecerá en el portal de AWS acceso como PowerUserAccess.

  4. Según la opción que elija junto al nombre del rol, elija Claves de acceso o Línea de comandos o acceso mediante programación.

  5. En el cuadro de diálogo Obtener credenciales, elija macOS y Linux, Windows o PowerShell, según el sistema operativo en el que haya instalado el AWS CLI.

  6. En Credenciales de IAM Identity Center de AWS (recomendadas), se muestran sus credenciales de SSO Start URL y SSO Region. Estos valores son necesarios para configurar un perfil habilitado para IAM Identity Center y sso-session para la AWS CLI Para completar esta configuración, siga las instrucciones de Configurar el perfil con el aws configure sso wizard en la Guía del usuario de AWS Command Line Interface .

Continúe utilizando la para su cuenta de AWS CLI mientras la Cuenta de AWS necesite hasta que caduquen las credenciales.

Actualización manual de credenciales

Puede usar el método de actualización manual de credenciales para obtener credenciales temporales para un rol que esté asociado a un conjunto de permisos específico en una Cuenta de AWS específica. Para ello, debe copiar y pegar los comandos necesarios para las credenciales temporales. Con este método, debe actualizar las credenciales temporales manualmente.

Puede ejecutar AWS CLI comandos de la hasta que caduquen sus credenciales temporales.

Cómo obtener credenciales que se actualizan manualmente

  1. El administrador o el empleado del AWS servicio de asistencia proporcionan el portal de acceso o la URL de inicio de sesión específica. Si creó el usuario de IAM Identity Center, AWS envió una invitación por correo electrónico con la URL de inicio de sesión. Para obtener más información, consulte Iniciar sesión en el portal de AWS acceso en la Guía del usuario de AWS inicio de sesión.

  2. En la pestaña Cuentas, localice la para la que desea recuperar las credenciales Cuenta de AWS de acceso y amplíela para mostrar el nombre del rol de IAM (por ejemplo, Administrador). Según la opción que elija junto al nombre del rol de IAM, elija Claves de acceso o Línea de comandos o acceso mediante programación.

    nota

    Si no ve ninguna Cuentas de AWS en la lista, es probable que aún no se le haya asignado un conjunto de permisos dicha cuenta o cuentas. En este caso, póngase en contacto con su administrador y pídale que añada este acceso. Para obtener más información, consulte Asigne el acceso de usuario o grupo a Cuentas de AWS.

  3. En el cuadro de diálogo Obtener credenciales, elija macOS y Linux, Windows o PowerShell, según el sistema operativo en el que haya instalado el AWS CLI.

  4. Elija una de las siguientes opciones:

    • Opción 1: definir las variables de AWS entorno

      Elija esta opción para anular toda la configuración de credenciales, incluida la configuración de los archivos credentials y config. Para obtener más información, consulte Variables de entorno para configurar la AWS CLI en la Guía del usuario de AWS CLI .

      Para usar esta opción, copie los comandos en el portapapeles, péguelos en la ventana del AWS CLI terminal de la y, a continuación, presione Entrar para configurar las variables de entorno necesarias.

    • Opción 2: agregue un perfil al archivo de AWS credenciales de

      Elija esta opción para ejecutar comandos con diferentes conjuntos de credenciales.

      Para usar esta opción, copie los comandos en el portapapeles y, a continuación, péguelos en los AWS credentials archivos compartidos de para configurar un nuevo perfil con nombre. Para obtener más información, consulte los archivos de configuración y credenciales compartidos en la Guía de referencia de herramientas AWS SDKs y herramientas. Para usar esta credencial, especifique la --profile opción en el AWS CLI comando de la. Esto afecta a todos los símbolos del sistema que utilicen el mismo archivo de credenciales.

    • Opción 3: utilice valores individuales en su cliente AWS de servicio de

      Elija esta opción para acceder a AWS los recursos de de de un cliente AWS de servicio de. Para obtener más información, consulte Herramientas para crear en AWS.

      Para usar esta opción, copie los valores en el portapapeles, péguelos en el código y asígnelos a las variables adecuadas para su SDK. Para obtener más información, consulte la documentación específica de su específico SDK API.