Conditions préalables Configuration de votre profil à l’aide de l’assistant aws configure sso Configuration uniquement de votre section sso-session à l’aide de l’assistant aws configure sso-session Configuration manuelle à l’aide du fichier config Connexion à une session IAM Identity Center Exécution d’une commande avec votre profil IAM Identity Center Déconnexion de vos sessions IAM Identity Center Résolution des problèmes Ressources connexes

Configuration de l'authentification IAM Identity Center à l'aide du AWS CLI

Cette rubrique fournit des instructions sur la façon de configurer le AWS CLI with AWS IAM Identity Center (IAM Identity Center) pour récupérer les informations d'identification permettant d'exécuter des AWS CLI commandes. Il existe principalement deux méthodes pour authentifier les utilisateurs auprès d'IAM Identity Center afin d'obtenir les informations d'identification nécessaires pour exécuter des AWS CLI commandes via le config fichier :

(Recommandé) Configuration du fournisseur de jetons SSO.
Configuration non actualisable héritée.

Pour plus d'informations sur l'utilisation de l'authentification au porteur, qui n'utilise aucun identifiant de compte ni rôle, consultez la section Configuration pour utiliser l'authentification AWS CLI avec CodeCatalyst dans le guide de CodeCatalyst l'utilisateur Amazon.

Note

Pour un processus guidé d'utilisation d'IAM Identity Center avec des AWS CLI commandes, voirTutoriel : Utilisation d'IAM Identity Center pour exécuter des commandes Amazon S3 dans le AWS CLI.

Rubriques

Conditions préalables
Configuration de votre profil à l’aide de l’assistant aws configure sso
Configuration uniquement de votre section sso-session à l’aide de l’assistant aws configure sso-session
Configuration manuelle à l’aide du fichier config
Connexion à une session IAM Identity Center
Exécution d’une commande avec votre profil IAM Identity Center
Déconnexion de vos sessions IAM Identity Center
Résolution des problèmes
Ressources connexes

Conditions préalables

Installez le AWS CLI. Pour de plus amples informations, veuillez consulter Installation de la dernière version de l’AWS CLI ou mise à jour vers celle-ci.
Vous devez d’abord avoir accès à l’authentification SSO dans IAM Identity Center. Choisissez l'une des méthodes suivantes pour accéder à vos AWS informations d'identification.

Suivez les instructions de Mise en route dans le Guide de l’utilisateur AWS IAM Identity Center . Ce processus active IAM Identity Center, crée un utilisateur administratif et ajoute un jeu d’autorisations de moindre privilège approprié.

Note

Créez un jeu d’autorisations qui applique les autorisations de moindre privilège. Nous vous recommandons d’utiliser le jeu d’autorisations PowerUserAccess prédéfini, sauf si votre employeur a créé un jeu d’autorisations personnalisé à cette fin.

Quittez le portail et reconnectez-vous pour voir vos Comptes AWS informations d'accès programmatiques et les options pour Administrator ouPowerUserAccess. Sélectionnez PowerUserAccess lorsque vous utilisez le kit SDK.

Connectez-vous AWS via le portail de votre fournisseur d'identité. Si votre administrateur cloud vous a accordé des autorisations PowerUserAccess (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. En regard du nom de votre jeu d’autorisations, vous pouvez voir des options permettant d’accéder aux comptes manuellement ou par programmation à l’aide de ce jeu d’autorisations.

Les implémentations personnalisées peuvent entraîner des expériences différentes, telles que des noms de jeux d’autorisations différents. Si vous avez des doutes sur le jeu d’autorisations à utiliser, contactez votre équipe informatique pour obtenir de l’aide.

Connectez-vous AWS via votre portail AWS d'accès. Si votre administrateur cloud vous a accordé des autorisations PowerUserAccess (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. En regard du nom de votre jeu d’autorisations, vous pouvez voir des options permettant d’accéder aux comptes manuellement ou par programmation à l’aide de ce jeu d’autorisations.

Contactez votre équipe informatique pour obtenir de l’aide.

Dès que vous disposez d’un accès à IAM Identity Center, recueillez les informations IAM Identity Center en procédant comme suit :

Recueillez les valeurs SSO Start URL et SSO Region dont vous avez besoin pour exécuter aws configure sso
1. Dans votre portail AWS d'accès, sélectionnez l'ensemble d'autorisations que vous utilisez pour le développement, puis cliquez sur le lien Clés d'accès.
2. Dans la boîte de dialogue Obtenir des informations d’identification, choisissez l’onglet correspondant à votre système d’exploitation.
3. Choisissez la méthode Informations d’identification IAM Identity Center pour obtenir les valeurs SSO Start URL et SSO Region.
À compter de la version 2.22.0, vous pouvez également utiliser l’URL de l’émetteur au lieu de l’URL de démarrage. L'URL de l'émetteur se trouve dans la AWS IAM Identity Center console à l'un des emplacements suivants :
- Sur la page Tableau de bord, l’URL de l’émetteur se trouve dans le récapitulatif des paramètres.
- Sur la page Paramètres, l’URL de l’émetteur se trouve dans les paramètres de la source d’identité.
Pour plus d'informations sur la valeur d'étendue à enregistrer, consultez la section Étendue d'accès OAuth 2.0 dans le guide de l'utilisateur d'IAM Identity Center.

Configuration de votre profil à l’aide de l’assistant `aws configure sso`

Pour configurer un profil IAM Identity Center pour votre AWS CLI :

Dans votre terminal préféré, exécutez la commande aws configure sso.
(Recommended) IAM Identity Center
Créez un nom de session, indiquez l'URL de démarrage de votre IAM Identity Center ou l'URL de l'émetteur, Région AWS celle qui héberge le répertoire du IAM Identity Center et le périmètre d'enregistrement.
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
Pour la prise en charge de la double pile, utilisez l'URL de démarrage SSO à double pile :
```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```
L'autorisation PKCE (Proof Key for Code Exchange) est utilisée par défaut à AWS CLI partir de la version 2.22.0 et doit être utilisée sur les appareils dotés d'un navigateur. Pour continuer à utiliser l’autorisation d’appareil, ajoutez l’option --use-device-code.
```
$ aws configure sso --use-device-code
```
Legacy IAM Identity Center
Ignorez le nom de session, puis indiquez l’URL de démarrage d’IAM Identity Center et la région AWS qui héberge l’annuaire Identity Center.
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1
```
Pour le support à double pile :
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]:us-east-1
```
Les AWS CLI tentatives d'ouverture de votre navigateur par défaut pour le processus de connexion de votre compte IAM Identity Center. Ce processus peut vous demander d'autoriser l' AWS CLI accès à vos données. Étant donné que le AWS CLI est construit au-dessus du SDK pour Python, les messages d'autorisation peuvent contenir des variantes du botocore nom.
- S'il n'est AWS CLI pas possible d'ouvrir le navigateur, les instructions pour démarrer manuellement le processus de connexion s'affichent en fonction du type d'autorisation que vous utilisez.
  PKCE authorization
  
  L'autorisation Proof Key for Code Exchange (PKCE) est utilisée par défaut à AWS CLI partir de la version 2.22.0. L'URL affichée est une URL unique commençant par :
  
  IPv4: https://oidc.us-east-1.amazonaws.com/authorize
  
  Double pile : https://oidc.us-east-1.api.aws/authorize
  
  L'autorisation PKCE URLs doit être ouverte sur le même appareil que celui sur lequel vous vous connectez et doit être utilisée pour un appareil doté d'un navigateur.
  
  Attempting to automatically open the SSO authorization page in your default browser. If the browser does not open or you wish to use a different device to authorize the request, open the following URL: https://oidc.us-east-1.amazonaws.com/authorize?<abbreviated>
  
  Device authorization
  
  L'autorisation de l'appareil OAuth 2.0 est utilisée par AWS CLI les versions antérieures à 2.22.0. Vous pouvez activer cette méthode sur les versions plus récentes à l’aide de l’option --use-device-code.
  
  L'autorisation de l'appareil URLs n'a pas besoin d'être ouverte sur le même appareil que celui sur lequel vous vous connectez et peut être utilisée pour un appareil avec ou sans navigateur. Le format du point de terminaison dépend de votre configuration :
  
  IPv4: https://device.sso.us-west-2.amazonaws.com/
  
  Double pile : https://device.sso.us-west-2.api.aws/
  
  If the browser does not open or you wish to use a different device to authorize this request, open the following URL: https://device.sso.us-west-2.amazonaws.com/ Then enter the code: QCFK-N451
  Afficher plusAfficher moins
Sélectionnez le AWS compte à utiliser dans la liste qui s'affiche. Si vous n'êtes autorisé à utiliser qu'un seul compte, celui-ci est AWS CLI automatiquement sélectionné et ignore l'invite.
```
There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (123456789011) 
  ProductionAccount, production-account-admin@example.com (123456789022)
```
Sélectionnez le rôle IAM à utiliser dans la liste qui s’affiche. S'il n'y a qu'un seul rôle disponible, il le sélectionne AWS CLI automatiquement et ignore l'invite.
```
Using the account ID 123456789011
There are 2 roles available to you.
> ReadOnly
  FullAccess
```
Spécifiez le format de sortie par défaut, la Région AWS par défaut à laquelle envoyer les commandes, ainsi qu’un nom pour le profil. Si vous spécifiez default comme nom de profil, ce profil devient le profil par défaut utilisé. Dans l’exemple suivant, l’utilisateur entre une région par défaut, un format de sortie par défaut et le nom du profil.
```
Default client Region [None]: us-west-2<ENTER>
CLI default output format (json if not specified) [None]: json<ENTER>
Profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>
```
Un message final décrit la configuration de profil terminée. Vous pouvez désormais utiliser ce profil pour demander des informations d’identification. Utilisez la commande aws sso login pour demander et extraire les informations d’identification temporaires nécessaires à l’exécution des commandes. Pour obtenir des instructions, consultez Connexion à une session IAM Identity Center.

Ces étapes aboutissent à la création de la section sso-session et du profil nommé dans le fichier config qui se présente comme suit :

Configuration uniquement de votre section `sso-session` à l’aide de l’assistant `aws configure sso-session`

Note

Cette configuration n’est pas compatible avec IAM Identity Center hérité.

La commande aws configure sso-session met à jour les sections sso-session dans le fichier ~/.aws/config. Exécutez la aws configure sso-session commande et indiquez l'URL de démarrage ou l'URL de l'émetteur de votre IAM Identity Center, ainsi que la AWS région qui héberge le répertoire de l'IAM Identity Center.


$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

Pour la prise en charge de la double pile, utilisez l'URL de démarrage SSO à double pile :


$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

Configuration manuelle à l’aide du fichier `config`

Les informations de configuration d’IAM Identity Center sont stockées dans le fichier config et elles peuvent être modifiées à l’aide d’un éditeur de texte. Pour ajouter manuellement la prise en charge d’IAM Identity Center dans un profil nommé, vous devez ajouter des clés et des valeurs au fichier config.

La sso-session section du config fichier est utilisée pour regrouper les variables de configuration permettant d'acquérir des jetons d'accès SSO, qui peuvent ensuite être utilisés pour acquérir des AWS informations d'identification. Les paramètres suivants sont utilisés :

(Obligatoire) sso_start_url
(Obligatoire) sso_region
sso_account_id
sso_role_name
sso_registration_scopes

Vous définissez une section sso-session et vous l’associez à un profil. Les paramètres sso_region et sso_start_url doivent être définis dans la section sso-session. Généralement, sso_account_id et sso_role_name doivent être définis dans la section profile afin que le kit SDK puisse demander des informations d’identification SSO.

L’exemple suivant configure le kit SDK pour demander des informations d’identification SSO et il prend en charge l’actualisation automatique des jetons :


[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

Pour la prise en charge de la double pile, utilisez le format d'URL de démarrage SSO à double pile :


[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws

Cela permet également de réutiliser les configurations sso-session dans plusieurs profils :


[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

Pour la prise en charge de la double pile, utilisez le format d'URL de démarrage SSO à double pile :


[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws

Cependant, sso_account_id et sso_role_name ne sont pas obligatoires pour tous les scénarios de configuration de jetons SSO. Si votre application utilise uniquement des AWS services qui prennent en charge l'authentification par porteur, les informations d' AWS identification traditionnelles ne sont pas nécessaires. L’authentification par jeton de porteur est un schéma d’authentification HTTP qui utilise des jetons de sécurité appelés jetons de porteur. Dans ce scénario, sso_account_id et sso_role_name ne sont pas obligatoires. Consultez le guide individuel de votre AWS service pour déterminer s'il prend en charge l'autorisation par jeton au porteur.

De plus, les portées d’enregistrement peuvent être configurées dans le cadre d’une sso-session. Scope est un mécanisme de la OAuth version 2.0 qui limite l'accès d'une application au compte d'un utilisateur. Une application peut demander une ou plusieurs portées, et le jeton d’accès émis pour l’application sera limité aux portées accordées. Ces portées définissent les autorisations demandées à accorder au client OIDC enregistré ainsi que les jetons d’accès que ce client obtient. L’exemple suivant définit sso_registration_scopes afin de fournir un accès permettant de répertorier les comptes et les rôles :


[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Pour le support à double pile :


[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access

Le jeton d’authentification est mis en cache sur le disque sous le répertoire sso/cache avec un nom de fichier basé sur le nom de session.

Note

L’actualisation automatique des jetons n’est pas prise en charge avec la configuration non actualisable héritée. Nous vous recommandons d’utiliser la configuration de jeton SSO.

Pour ajouter manuellement la prise en charge d’IAM Identity Center dans un profil nommé, vous devez ajouter les clés et valeurs suivantes à la définition de profil dans le fichier config.

Vous pouvez inclure toutes les autres clés et valeurs valides dans le fichier .aws/config. L’exemple suivant est un profil IAM Identity Center :


[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json

Pour le support à double pile :


[profile my-sso-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json

Pour exécuter des commandes, vous devez d’abord utiliser Connexion à une session IAM Identity Center afin de demander et d’obtenir vos informations d’identification temporaires.

Pour plus d’informations sur les fichiers config et credentials, consultez Paramètres des fichiers de configuration et d’informations d’identification dans l’ AWS CLI.

Note

Le processus de connexion peut vous demander d'autoriser l' AWS CLI accès à vos données. Étant donné que le AWS CLI est construit au-dessus du SDK pour Python, les messages d'autorisation peuvent contenir des variantes du botocore nom.

Pour récupérer et mettre en cache un jeu d’informations d’identification IAM Identity Center, exécutez la commande suivante pour l’ AWS CLI afin d’ouvrir votre navigateur par défaut et de vérifier votre connexion à IAM Identity Center.


$ aws sso login --profile my-dev-profile
SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start

Les informations d'identification de votre session IAM Identity Center sont mises en cache et les AWS CLI utilisent pour récupérer en toute sécurité les AWS informations d'identification pour le rôle IAM spécifié dans le profil.

S'il n'est AWS CLI pas possible d'ouvrir automatiquement votre navigateur, les instructions pour démarrer manuellement le processus de connexion s'affichent en fonction du type d'autorisation que vous utilisez.

Vous pouvez également spécifier le profil sso-session à utiliser lors de la connexion à l’aide du paramètre --sso-session de la commande aws sso login. L’option sso-session n’est pas disponible pour IAM Identity Center hérité.


$ aws sso login --sso-session my-dev-session

À compter de la version 2.22.0, l’autorisation PKCE est la valeur par défaut. Pour utiliser l’autorisation d’appareil pour vous connecter, ajoutez l’option --use-device-code.


$ aws sso login --profile my-dev-profile --use-device-code

Le jeton d’authentification est mis en cache sur le disque sous le répertoire ~/.aws/sso/cache avec un nom de fichier basé sur la valeur sso_start_url.

Exécution d’une commande avec votre profil IAM Identity Center

Une fois connecté, vous pouvez utiliser vos informations d'identification pour appeler des AWS CLI commandes avec le profil nommé associé. L’exemple suivant montre une commande utilisant un profil :


$ aws sts get-caller-identity --profile my-dev-profile

Tant que vous êtes connecté à IAM Identity Center et que ces informations d'identification mises en cache n'ont pas expiré, les informations d'identification expirées sont AWS CLI automatiquement renouvelées en cas de besoin AWS . Toutefois, si vos informations d’identification IAM Identity Center expirent, vous devez les renouveler explicitement en vous connectant à nouveau à votre compte IAM Identity Center.

Déconnexion de vos sessions IAM Identity Center

Lorsque vous avez terminé d’utiliser votre profil IAM Identity Center, vous pouvez laisser vos informations d’identification expirer ou exécuter la commande suivante pour supprimer vos informations d’identification mises en cache.


$ aws sso logout
Successfully signed out of all SSO profiles.

Résolution des problèmes

Si vous rencontrez des problèmes lors de l'utilisation du AWS CLI, consultez les étapes Résolution des erreurs liées au AWS CLI de résolution des problèmes.

Ressources connexes

Les ressources supplémentaires sont les suivantes.

Concepts AWS IAM Identity Center pour l’AWS CLI
Tutoriel : Utilisation d'IAM Identity Center pour exécuter des commandes Amazon S3 dans le AWS CLI
Installation de la dernière version de l’AWS CLI ou mise à jour vers celle-ci
Paramètres des fichiers de configuration et d’informations d’identification dans l’ AWS CLI
aws configure sso dans la Référence de l’AWS CLI version 2
aws configure sso-session dans la Référence de l’AWS CLI version 2
aws sso login dans la Référence de l’AWS CLI version 2
aws sso logout dans la Référence de l’AWS CLI version 2
Configuration pour utiliser le AWS CLI with CodeCatalyst dans le guide de CodeCatalyst l'utilisateur Amazon
OAuth Étendue d'accès 2.0 dans le guide de l'utilisateur d'IAM Identity Center
Didacticiels de démarrage dans le Guide de l’utilisateur IAM Identity Center

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Informations d'identification de console

Concepts IAM Identity Center