Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration de l'authentification IAM Identity Center à l'aide du AWS CLI
<a name="cli-configure-sso"></a>

Cette rubrique fournit des instructions sur la façon de configurer le AWS CLI with AWS IAM Identity Center (IAM Identity Center) pour récupérer les informations d'identification permettant d'exécuter des AWS CLI commandes. Il existe principalement deux méthodes pour authentifier les utilisateurs auprès d'IAM Identity Center afin d'obtenir les informations d'identification nécessaires pour exécuter des AWS CLI commandes via le `config` fichier : 
+ **(Recommandé)** Configuration du fournisseur de jetons SSO.
+ Configuration non actualisable héritée.

Pour plus d'informations sur l'utilisation de l'authentification au porteur, qui n'utilise aucun identifiant de compte ni rôle, consultez la section [Configuration pour utiliser l'authentification AWS CLI avec CodeCatalyst dans le guide](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) de * CodeCatalyst l'utilisateur Amazon*.

**Note**  
Pour un processus guidé d'utilisation d'IAM Identity Center avec des AWS CLI commandes, voir[Tutoriel : Utilisation d'IAM Identity Center pour exécuter des commandes Amazon S3 dans AWS CLI](cli-configure-sso-tutorial.md).

**Rubriques**
+ [Conditions préalables](#cli-configure-sso-prereqs)
+ [Configuration de votre profil à l’aide de l’assistant `aws configure sso`](#cli-configure-sso-configure)
+ [Configuration uniquement de votre section `sso-session` à l’aide de l’assistant `aws configure sso-session`](#cli-configure-sso-session)
+ [Configuration manuelle à l’aide du fichier `config`](#cli-configure-sso-manual)
+ [Connexion à une session IAM Identity Center](#cli-configure-sso-login)
+ [Exécution d’une commande avec votre profil IAM Identity Center](#cli-configure-sso-use)
+ [Déconnexion de vos sessions IAM Identity Center](#cli-configure-sso-logout)
+ [Résolution des problèmes](#cli-configure-sso-tshoot)
+ [Ressources connexes](#cli-configure-sso-resources)

## Conditions préalables
<a name="cli-configure-sso-prereqs"></a>
+ Installez le AWS CLI. Pour de plus amples informations, veuillez consulter [Installation ou mise à jour vers la dernière version du AWS CLI](getting-started-install.md).
+ Vous devez d’abord avoir accès à l’authentification SSO dans IAM Identity Center. Choisissez l'une des méthodes suivantes pour accéder à vos AWS informations d'identification.

### Je ne dispose pas d’un accès établi via IAM Identity Center
<a name="idc-access"></a>

Suivez les instructions de [Mise en route](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *. Ce processus active IAM Identity Center, crée un utilisateur administratif et ajoute un jeu d’autorisations de moindre privilège approprié.

**Note**  
Créez un jeu d’autorisations qui applique les autorisations de moindre privilège. Nous vous recommandons d’utiliser le jeu d’autorisations `PowerUserAccess` prédéfini, sauf si votre employeur a créé un jeu d’autorisations personnalisé à cette fin. 

Quittez le portail et reconnectez-vous pour voir vos Comptes AWS informations d'accès programmatiques et les options pour `Administrator` ou`PowerUserAccess`. Sélectionnez `PowerUserAccess` lorsque vous utilisez le kit SDK.

### J'y ai déjà accès AWS via un fournisseur d'identité fédéré géré par mon employeur (tel qu'Azure AD ou Okta)
<a name="federated-access"></a>

Connectez-vous AWS via le portail de votre fournisseur d'identité. Si votre administrateur cloud vous a accordé des autorisations `PowerUserAccess` (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. En regard du nom de votre jeu d’autorisations, vous pouvez voir des options permettant d’accéder aux comptes manuellement ou par programmation à l’aide de ce jeu d’autorisations. 

Les implémentations personnalisées peuvent entraîner des expériences différentes, telles que des noms de jeux d’autorisations différents. Si vous avez des doutes sur le jeu d’autorisations à utiliser, contactez votre équipe informatique pour obtenir de l’aide. 

### J'y ai déjà accès AWS via le portail AWS d'accès géré par mon employeur
<a name="accessportal-access"></a>

Connectez-vous AWS via votre portail AWS d'accès. Si votre administrateur cloud vous a accordé des autorisations `PowerUserAccess` (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. En regard du nom de votre jeu d’autorisations, vous pouvez voir des options permettant d’accéder aux comptes manuellement ou par programmation à l’aide de ce jeu d’autorisations. 

### J'y ai déjà accès AWS via un fournisseur d'identité personnalisé fédéré géré par mon employeur
<a name="customfederated-access"></a>

Contactez votre équipe informatique pour obtenir de l’aide.

Dès que vous disposez d’un accès à IAM Identity Center, recueillez les informations IAM Identity Center en procédant comme suit :

1. Recueillez les valeurs `SSO Start URL` et `SSO Region` dont vous avez besoin pour exécuter `aws configure sso`

   1. Dans votre portail AWS d'accès, sélectionnez l'ensemble d'autorisations que vous utilisez pour le développement, puis cliquez sur le lien **Clés d'accès**.

   1. Dans la boîte de dialogue **Obtenir des informations d’identification**, choisissez l’onglet correspondant à votre système d’exploitation. 

   1. Choisissez la méthode **Informations d’identification IAM Identity Center** pour obtenir les valeurs `SSO Start URL` et `SSO Region`.

1. À compter de la version 2.22.0, vous pouvez également utiliser l’URL de l’émetteur au lieu de l’URL de démarrage. L'URL de l'émetteur se trouve dans la AWS IAM Identity Center console à l'un des emplacements suivants :
   + Sur la page **Tableau de bord**, l’URL de l’émetteur se trouve dans le récapitulatif des paramètres.
   + Sur la page **Paramètres**, l’URL de l’émetteur se trouve dans les paramètres de la **source d’identité**. 

1. Pour plus d'informations sur la valeur d'étendue à enregistrer, consultez la section Étendue [d'accès OAuth 2.0 dans le guide](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) de l'utilisateur d'*IAM Identity Center*.

## Configuration de votre profil à l’aide de l’assistant `aws configure sso`
<a name="cli-configure-sso-configure"></a>

**Pour configurer un profil IAM Identity Center pour votre AWS CLI :**

1. Dans votre terminal préféré, exécutez la commande `aws configure sso`.

------
#### [ (Recommended) IAM Identity Center ]

   Créez un nom de session, indiquez l'URL de démarrage de votre IAM Identity Center ou l'URL de l'émetteur, Région AWS celle qui héberge le répertoire du IAM Identity Center et le périmètre d'enregistrement.

   ```
   $ aws configure sso
   SSO session name (Recommended): my-sso
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]: us-east-1
   SSO registration scopes [None]: sso:account:access
   ```

   Pour la prise en charge de la double pile, utilisez l'URL de démarrage SSO à double pile :

   ```
   $ aws configure sso
   SSO session name (Recommended): my-sso
   SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
   SSO region [None]: us-east-1
   SSO registration scopes [None]: sso:account:access
   ```

   L'autorisation PKCE (Proof Key for Code Exchange) est utilisée par défaut à AWS CLI partir de la version **2.22.0** et doit être utilisée sur les appareils dotés d'un navigateur. Pour continuer à utiliser l’autorisation d’appareil, ajoutez l’option `--use-device-code`.

   ```
   $ aws configure sso --use-device-code
   ```

------
#### [ Legacy IAM Identity Center ]

   Ignorez le nom de session, puis indiquez l’URL de démarrage d’IAM Identity Center et la région AWS qui héberge l’annuaire Identity Center. 

   ```
   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]:us-east-1
   ```

   Pour le support à double pile :

   ```
   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
   SSO region [None]:us-east-1
   ```

------

1. Les AWS CLI tentatives d'ouverture de votre navigateur par défaut pour le processus de connexion de votre compte IAM Identity Center. Ce processus peut vous demander d'autoriser l' AWS CLI accès à vos données. Étant donné que le AWS CLI est construit au-dessus du SDK pour Python, les messages d'autorisation peuvent contenir des variantes du `botocore` nom.
   + **S'il n'est AWS CLI pas possible d'ouvrir le navigateur**, les instructions pour démarrer manuellement le processus de connexion s'affichent en fonction du type d'autorisation que vous utilisez. 

------
#### [ PKCE authorization ]

     L'autorisation Proof Key for Code Exchange (PKCE) est utilisée par défaut à AWS CLI partir de la version 2.22.0. L'URL affichée est une URL unique commençant par :
     + IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
     + Double pile : *https://oidc.us-east-1.api.aws/authorize*

     L'autorisation PKCE URLs doit être ouverte sur le même appareil que celui sur lequel vous vous connectez et doit être utilisée pour un appareil doté d'un navigateur.

     ```
     Attempting to automatically open the SSO authorization page in your 
     default browser.
     If the browser does not open or you wish to use a different device to 
     authorize the request, open the following URL:
     
     https://oidc.us-east-1.amazonaws.com/authorize?<abbreviated>
     ```

------
#### [ Device authorization ]

     L'autorisation de l'appareil OAuth 2.0 est utilisée par AWS CLI les versions antérieures à 2.22.0. Vous pouvez activer cette méthode sur les versions plus récentes à l’aide de l’option `--use-device-code`.

     L'autorisation de l'appareil URLs n'a pas besoin d'être ouverte sur le même appareil que celui sur lequel vous vous connectez et peut être utilisée pour un appareil avec ou sans navigateur. Le format du point de terminaison dépend de votre configuration :
     + IPv4: *https://device.sso.us-west-2.amazonaws.com/*
     + Double pile : *https://device.sso.us-west-2.api.aws/*

     ```
     If the browser does not open or you wish to use a different device to 
     authorize this request, open the following URL:
     https://device.sso.us-west-2.amazonaws.com/
     
     Then enter the code:
     QCFK-N451
     ```

------

1. Sélectionnez le AWS compte à utiliser dans la liste qui s'affiche. Si vous n'êtes autorisé à utiliser qu'un seul compte, celui-ci est AWS CLI automatiquement sélectionné et ignore l'invite.

   ```
   There are 2 AWS accounts available to you.
   > DeveloperAccount, developer-account-admin@example.com (123456789011) 
     ProductionAccount, production-account-admin@example.com (123456789022)
   ```

1. Sélectionnez le rôle IAM à utiliser dans la liste qui s’affiche. S'il n'y a qu'un seul rôle disponible, il le sélectionne AWS CLI automatiquement et ignore l'invite.

   ```
   Using the account ID 123456789011
   There are 2 roles available to you.
   > ReadOnly
     FullAccess
   ```

1. Spécifiez le [format de sortie par défaut](cli-configure-files.md#cli-config-output), la [Région AWS par défaut](cli-configure-files.md#cli-config-region) à laquelle envoyer les commandes, ainsi qu’un [nom pour le profil](cli-configure-files.md). Si vous spécifiez `default` comme nom de profil, ce profil devient le profil par défaut utilisé. Dans l’exemple suivant, l’utilisateur entre une région par défaut, un format de sortie par défaut et le nom du profil.

   ```
   Default client Region [None]: us-west-2<ENTER>
   CLI default output format (json if not specified) [None]: json<ENTER>
   Profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>
   ```

1. Un message final décrit la configuration de profil terminée. Vous pouvez désormais utiliser ce profil pour demander des informations d’identification. Utilisez la commande `aws sso login` pour demander et extraire les informations d’identification temporaires nécessaires à l’exécution des commandes. Pour obtenir des instructions, consultez [Connexion à une session IAM Identity Center](#cli-configure-sso-login).

### Fichier de configuration généré
<a name="cli-configure-sso-generated"></a>

Ces étapes aboutissent à la création de la section `sso-session` et du profil nommé dans le fichier `config` qui se présente comme suit :

------
#### [ IAM Identity Center ]

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

Pour le support à double pile :

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

------
#### [ Legacy IAM Identity Center ]

```
[profile my-dev-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```

Pour le support à double pile :

```
[profile my-dev-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```

------

## Configuration uniquement de votre section `sso-session` à l’aide de l’assistant `aws configure sso-session`
<a name="cli-configure-sso-session"></a>

**Note**  
Cette configuration n’est pas compatible avec IAM Identity Center hérité.

La commande `aws configure sso-session` met à jour les sections `sso-session` dans le fichier `~/.aws/config`. Exécutez la `aws configure sso-session` commande et indiquez l'URL de démarrage ou l'URL de l'émetteur de votre IAM Identity Center, ainsi que la AWS région qui héberge le répertoire de l'IAM Identity Center. 

```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

Pour la prise en charge de la double pile, utilisez l'URL de démarrage SSO à double pile :

```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

## Configuration manuelle à l’aide du fichier `config`
<a name="cli-configure-sso-manual"></a>

Les informations de configuration d’IAM Identity Center sont stockées dans le fichier `config` et elles peuvent être modifiées à l’aide d’un éditeur de texte. Pour ajouter manuellement la prise en charge d’IAM Identity Center dans un profil nommé, vous devez ajouter des clés et des valeurs au fichier `config`. 

### Fichier de configuration IAM Identity Center
<a name="cli-configure-sso-manual-config"></a>

La `sso-session` section du `config` fichier est utilisée pour regrouper les variables de configuration permettant d'acquérir des jetons d'accès SSO, qui peuvent ensuite être utilisés pour acquérir des AWS informations d'identification. Les paramètres suivants sont utilisés :
+ **(Obligatoire)** `sso\$1start\$1url`
+ **(Obligatoire)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

Vous définissez une section `sso-session` et vous l’associez à un profil. Les paramètres `sso_region` et `sso_start_url` doivent être définis dans la section `sso-session`. Généralement, `sso_account_id` et `sso_role_name` doivent être définis dans la section `profile` afin que le kit SDK puisse demander des informations d’identification SSO. 

L’exemple suivant configure le kit SDK pour demander des informations d’identification SSO et il prend en charge l’actualisation automatique des jetons : 

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```

Pour la prise en charge de la double pile, utilisez le format d'URL de démarrage SSO à double pile :

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```

Cela permet également de réutiliser les configurations `sso-session` dans plusieurs profils : 

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```

Pour la prise en charge de la double pile, utilisez le format d'URL de démarrage SSO à double pile :

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```

Cependant, `sso_account_id` et `sso_role_name` ne sont pas obligatoires pour tous les scénarios de configuration de jetons SSO. Si votre application utilise uniquement des AWS services qui prennent en charge l'authentification par porteur, les informations d' AWS identification traditionnelles ne sont pas nécessaires. L’authentification par jeton de porteur est un schéma d’authentification HTTP qui utilise des jetons de sécurité appelés jetons de porteur. Dans ce scénario, `sso_account_id` et `sso_role_name` ne sont pas obligatoires. Consultez le guide individuel de votre AWS service pour déterminer s'il prend en charge l'autorisation par jeton au porteur.

De plus, les portées d’enregistrement peuvent être configurées dans le cadre d’une `sso-session`. Scope est un mécanisme de la OAuth version 2.0 qui limite l'accès d'une application au compte d'un utilisateur. Une application peut demander une ou plusieurs portées, et le jeton d’accès émis pour l’application sera limité aux portées accordées. Ces portées définissent les autorisations demandées à accorder au client OIDC enregistré ainsi que les jetons d’accès que ce client obtient. L’exemple suivant définit `sso_registration_scopes` afin de fournir un accès permettant de répertorier les comptes et les rôles : 

```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

Pour le support à double pile :

```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

Le jeton d’authentification est mis en cache sur le disque sous le répertoire `sso/cache` avec un nom de fichier basé sur le nom de session. 

### Fichier de configuration IAM Identity Center hérité
<a name="cli-configure-sso-manual-legacy"></a>

**Note**  
L’actualisation automatique des jetons n’est pas prise en charge avec la configuration non actualisable héritée. Nous vous recommandons d’utiliser la configuration de jeton SSO.

Pour ajouter manuellement la prise en charge d’IAM Identity Center dans un profil nommé, vous devez ajouter les clés et valeurs suivantes à la définition de profil dans le fichier `config`.
+ `sso\$1start\$1url`
+ `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`

Vous pouvez inclure toutes les autres clés et valeurs valides dans le fichier `.aws/config`. L’exemple suivant est un profil IAM Identity Center :

```
[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```

Pour le support à double pile :

```
[profile my-sso-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```

Pour exécuter des commandes, vous devez d’abord utiliser [Connexion à une session IAM Identity Center](#cli-configure-sso-login) afin de demander et d’obtenir vos informations d’identification temporaires.

Pour plus d’informations sur les fichiers `config` et `credentials`, consultez [Paramètres des fichiers de configuration et d'identification dans AWS CLI](cli-configure-files.md).

## Connexion à une session IAM Identity Center
<a name="cli-configure-sso-login"></a>

**Note**  
Le processus de connexion peut vous demander d'autoriser l' AWS CLI accès à vos données. Étant donné que le AWS CLI est construit au-dessus du SDK pour Python, les messages d'autorisation peuvent contenir des variantes du `botocore` nom.

Pour récupérer et mettre en cache un jeu d’informations d’identification IAM Identity Center, exécutez la commande suivante pour l’ AWS CLI afin d’ouvrir votre navigateur par défaut et de vérifier votre connexion à IAM Identity Center. 

```
$ aws sso login --profile my-dev-profile
SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start
```

Les informations d'identification de votre session IAM Identity Center sont mises en cache et les AWS CLI utilisent pour récupérer en toute sécurité les AWS informations d'identification pour le rôle IAM spécifié dans le profil. 

### Si vous ne AWS CLI parvenez pas à ouvrir votre navigateur
<a name="cli-configure-sso-login-browser"></a>

S'il n'est AWS CLI pas possible d'ouvrir automatiquement votre navigateur, les instructions pour démarrer manuellement le processus de connexion s'affichent en fonction du type d'autorisation que vous utilisez. 

------
#### [ PKCE authorization ]

L'autorisation Proof Key for Code Exchange (PKCE) est utilisée par défaut à AWS CLI partir de la version 2.22.0. L'URL affichée est une URL unique commençant par :
+ IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
+ Double pile : *https://oidc.us-east-1.api.aws/authorize*

L'autorisation PKCE URLs doit être ouverte sur le même appareil que celui sur lequel vous vous connectez et doit être utilisée pour un appareil doté d'un navigateur.

```
Attempting to automatically open the SSO authorization page in your 
default browser.
If the browser does not open or you wish to use a different device to 
authorize the request, open the following URL:

https://oidc.us-east-1.amazonaws.com/authorize?<abbreviated>
```

------
#### [ Device authorization ]

L'autorisation de l'appareil OAuth 2.0 est utilisée par AWS CLI les versions antérieures à 2.22.0. Vous pouvez activer cette méthode sur les versions plus récentes à l’aide de l’option `--use-device-code`.

L'autorisation de l'appareil URLs n'a pas besoin d'être ouverte sur le même appareil que celui sur lequel vous vous connectez et peut être utilisée pour un appareil avec ou sans navigateur.

```
If the browser does not open or you wish to use a different device to 
authorize this request, open the following URL:
https://device.sso.us-west-2.amazonaws.com/

Then enter the code:
QCFK-N451
```

------

Vous pouvez également spécifier le profil `sso-session` à utiliser lors de la connexion à l’aide du paramètre `--sso-session` de la commande `aws sso login`. L’option `sso-session` n’est pas disponible pour IAM Identity Center hérité.

```
$ aws sso login --sso-session my-dev-session
```

À compter de la version 2.22.0, l’autorisation PKCE est la valeur par défaut. Pour utiliser l’autorisation d’appareil pour vous connecter, ajoutez l’option `--use-device-code`.

```
$ aws sso login --profile my-dev-profile --use-device-code
```

Le jeton d’authentification est mis en cache sur le disque sous le répertoire `~/.aws/sso/cache` avec un nom de fichier basé sur la valeur `sso_start_url`. 

## Exécution d’une commande avec votre profil IAM Identity Center
<a name="cli-configure-sso-use"></a>

Une fois connecté, vous pouvez utiliser vos informations d'identification pour appeler des AWS CLI commandes avec le profil nommé associé. L’exemple suivant montre une commande utilisant un profil :

```
$ aws sts get-caller-identity --profile my-dev-profile
```

Tant que vous êtes connecté à IAM Identity Center et que ces informations d'identification mises en cache n'ont pas expiré, les informations d'identification expirées sont AWS CLI automatiquement renouvelées en cas de besoin AWS . Toutefois, si vos informations d’identification IAM Identity Center expirent, vous devez les renouveler explicitement en vous connectant à nouveau à votre compte IAM Identity Center.

## Déconnexion de vos sessions IAM Identity Center
<a name="cli-configure-sso-logout"></a>

Lorsque vous avez terminé d’utiliser votre profil IAM Identity Center, vous pouvez laisser vos informations d’identification expirer ou exécuter la commande suivante pour supprimer vos informations d’identification mises en cache.

```
$ aws sso logout
Successfully signed out of all SSO profiles.
```

## Résolution des problèmes
<a name="cli-configure-sso-tshoot"></a>

Si vous rencontrez des problèmes lors de l'utilisation du AWS CLI, consultez les étapes [Résolution des erreurs liées au AWS CLI](cli-chap-troubleshooting.md) de résolution des problèmes.

## Ressources connexes
<a name="cli-configure-sso-resources"></a>

Les ressources supplémentaires sont les suivantes.
+ [Concepts AWS IAM Identity Center pour l’AWS CLI](cli-configure-sso-concepts.md)
+ [Tutoriel : Utilisation d'IAM Identity Center pour exécuter des commandes Amazon S3 dans AWS CLI](cli-configure-sso-tutorial.md)
+ [Installation ou mise à jour vers la dernière version du AWS CLI](getting-started-install.md)
+ [Paramètres des fichiers de configuration et d'identification dans AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) dans la *Référence de l’AWS CLI version 2*
+ [Configuration pour utiliser le AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) dans le *guide de CodeCatalyst l'utilisateur Amazon*
+ [OAuth Étendue d'accès 2.0 dans le](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) guide de l'utilisateur d'*IAM Identity Center*
+ [Didacticiels de démarrage](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) dans le *Guide de l’utilisateur IAM Identity Center*

# Concepts AWS IAM Identity Center pour l’AWS CLI
<a name="cli-configure-sso-concepts"></a>

Cette rubrique décrit les concepts clés d’AWS IAM Identity Center (IAM Identity Center). IAM Identity Center est un service IAM basé sur le cloud qui simplifie la gestion de l’accès des utilisateurs à plusieurs Comptes AWS, kits SDK et outils en s’intégrant aux fournisseurs d’identité (IdP) existants. Il permet l’authentification unique sécurisée, la gestion des autorisations et l’audit via un portail utilisateur centralisé, rationalisant ainsi la gouvernance des identités et des accès pour les entreprises.

**Topics**
+ [Qu’est-ce que IAM Identity Center](#cli-configure-sso-concepts-what)
+ [Conditions](#cli-configure-sso-terms)
+ [Fonctionnement d’IAM Identity Center](#cli-configure-sso-concepts-process)
+ [Ressources supplémentaires](#cli-configure-sso-concepts-resources)

## Qu’est-ce que IAM Identity Center
<a name="cli-configure-sso-concepts-what"></a>

IAM Identity Center est un service de gestion des identités et des accès (IAM) basé sur le cloud qui vous permet de gérer de manière centralisée l’accès à plusieurs Comptes AWS et applications professionnelles.

Il fournit un portail utilisateur où les utilisateurs autorisés peuvent accéder aux Comptes AWS et aux applications pour lesquels ils ont obtenu une autorisation, en utilisant leurs informations d’identification professionnelles existantes. Cela permet aux entreprises d’appliquer des politiques de sécurité cohérentes et de rationaliser la gestion des accès des utilisateurs.

Quel que soit l’IdP que vous utilisez, IAM Identity Center élimine ces distinctions. Par exemple, vous pouvez connecter Microsoft Azure AD comme décrit dans l’article de blog [The Next Evolution in IAM Identity Center](https://aws.amazon.com/blogs/aws/the-next-evolution-in-aws-single-sign-on/).

**Note**  
Pour plus d’informations sur l’utilisation de l’authentification par jeton de porteur, qui n’utilise aucun ID de compte ni rôle, consultez [Configuration pour l’utilisation de l’AWS CLI avec CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) dans le *Guide de l’utilisateur Amazon CodeCatalyst*.

## Conditions
<a name="cli-configure-sso-terms"></a>

Les termes courants utilisés lors de l’utilisation d’IAM Identity Center sont les suivants :

**Fournisseur d’identité (IdP)**  
Un système de gestion des identités tel que IAM Identity Center, Microsoft Azure AD, Okta ou votre propre service d’annuaire d’entreprise.

**AWS IAM Identity Center**  
IAM Identity Center est le service IdP détenu par AWS. Il était anciennement appelé Authentification unique AWS. Les kits SDK et les outils conservent les espaces de noms des API `sso` à des fins de rétrocompatibilité. Pour plus d’informations, consultez [IAM Identity Center rename](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) dans le *Guide de l’utilisateur AWS IAM Identity Center*.

**URL Portail d'accès AWS, URL de démarrage SSO, URL de démarrage**  
URL IAM Identity Center unique de votre organisation pour accéder à vos Comptes AWS, services et ressources autorisés.

**URL de l’émetteur**  
URL de l’émetteur IAM Identity Center unique de votre organisation pour un accès par programmation à vos Comptes AWS, services et ressources autorisés. À compter de la version 2.22.0 de l’AWS CLI, l’URL de l’émetteur peut être utilisée de manière interchangeable avec l’URL de démarrage.

**Fédération**  
Processus qui consiste à établir un lien de confiance entre IAM Identity Center et un fournisseur d’identité pour activer l’authentification unique (SSO).

**Comptes AWS**  
Comptes AWS dont vous autorisez l’accès aux utilisateurs via AWS IAM Identity Center.

**Jeu d’autorisations, informations d’identification AWS, informations d’identification, informations d’identification sigv4**  
Collections prédéfinies d’autorisations qui peuvent être attribuées à des utilisateurs ou à des groupes afin de leur accorder l’accès aux Services AWS.

**Portées d’enregistrement, portées d’accès, portées**  
Les portées sont un mécanisme OAuth 2.0 permettant de limiter l’accès d’une application au compte d’un utilisateur. Une application peut demander une ou plusieurs portées, et le jeton d’accès émis pour l’application est limité aux portées accordées. Pour plus d’informations sur les portées, consultez [Portées des accès](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) dans le *Guide de l’utilisateur IAM Identity Center*.

**Jetons, jeton d’actualisation, jeton d’accès**  
Les jetons sont des informations d’identification temporaires qui vous sont délivrés lors de l’authentification. Ces jetons contiennent des informations sur votre identité et les autorisations qui vous ont été accordées.  
Lorsque vous accédez à une ressource ou à une application AWS via le portail IAM Identity Center, votre jeton est présenté à AWS à des fins d’authentification et d’autorisation. Cela permet à AWS de vérifier votre identité et de vérifier que vous disposez des autorisations nécessaires pour exécuter les actions demandées.   
Le jeton d’authentification est mis en cache sur le disque sous le répertoire `~/.aws/sso/cache` avec un nom de fichier JSON basé sur le nom de session.

**Session**  
Une session IAM Identity Center fait référence à la période pendant laquelle un utilisateur est authentifié et autorisé à accéder à des ressources ou à des applications AWS. Lorsqu’un utilisateur se connecte au portail IAM Identity Center, une session est établie et le jeton de l’utilisateur est valide pendant une durée spécifiée. Pour plus d’informations sur la définition des durées de session, consultez [Définir la durée de la session](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) dans le *Guide de l’utilisateur AWS IAM Identity Center*.  
Au cours de la session, vous pouvez naviguer entre différents comptes et applications AWS sans avoir à vous authentifier à nouveau, tant que leur session reste active. Lorsque la session expire, reconnectez-vous pour renouveler votre accès.  
Les sessions IAM Identity Center contribuent à offrir une expérience utilisateur fluide tout en appliquant les meilleures pratiques de sécurité en limitant la validité des informations d’identification des utilisateurs.

**Octroi de code d’autorisation avec PKCE, PKCE, Proof Key for Code Exchange**  
À compter de la version 2.22.0, PKCE (Proof Key for Code Exchange) est un flux d’autorisation d’authentification OAuth 2.0 pour les appareils dotés d’un navigateur. PKCE est un moyen simple et sûr de vous authentifier et d’obtenir le consentement pour accéder à vos ressources AWS à partir d’ordinateurs de bureau et d’appareils mobiles équipés de navigateurs Web. Il s’agit du comportement d’autorisation par défaut. Pour plus d’informations sur PKCE, consultez [Octroi de code d’autorisation avec PKCE](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#auth-code-grant-pkce) dans le *Guide de l’utilisateur AWS IAM Identity Center*.

**Octroi d’autorisation d’appareil**  
Un flux d’autorisation d’authentification OAuth 2.0 pour les appareils avec ou sans navigateur Web. Pour plus d’informations sur la définition des durées de session, consultez [Octroi d’autorisation d’appareil](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#device-auth-grant) dans le *Guide de l’utilisateur AWS IAM Identity Center*.

## Fonctionnement d’IAM Identity Center
<a name="cli-configure-sso-concepts-process"></a>

IAM Identity Center s’intègre au fournisseur d’identité de votre organisation, tel que IAM Identity Center, Microsoft Azure AD ou Okta. Les utilisateurs s’authentifient auprès de ce fournisseur d’identité, et IAM Identity Center associe ensuite ces identités aux autorisations et aux accès appropriés au sein de votre environnement AWS.

Le flux de travail IAM Identity Center suivant suppose que vous avez déjà configuré votre AWS CLI pour utiliser IAM Identity Center :

1. Dans votre terminal préféré, exécutez la commande `aws sso login`.

1. Connectez-vous à votre Portail d'accès AWS pour démarrer une nouvelle session. 
   + Lorsque vous démarrez une nouvelle session, vous recevez un jeton d’actualisation et un jeton d’accès mis en cache.
   + Si vous avez déjà une session active, la session existante est réutilisée et expire en même temps que la session existante.

1. Sur la base du profil que vous avez défini dans votre fichier `config`, IAM Identity Center utilise les jeux d’autorisations appropriés, en accordant l’accès aux Comptes AWS et aux applications pertinents. 

1. L’AWS CLI, les kits SDK et les outils utilisent votre rôle IAM assumé pour effectuer des appels aux Services AWS, notamment pour demander la création de compartiments Amazon S3 jusqu’à l’expiration de cette session.

1. Le jeton d’accès d’IAM Identity Center est vérifié toutes les heures et est automatiquement actualisé à l’aide du jeton d’actualisation.
   + Si le jeton d’accès a expiré, le kit SDK ou l’outil utilise le jeton d’actualisation pour obtenir un nouveau jeton d’accès. Les durées de session de ces jetons sont ensuite comparées, et si le jeton d’actualisation n’a pas expiré, IAM Identity Center fournit un nouveau jeton d’accès.
   + Si le jeton d’actualisation a expiré, aucun nouveau jeton d’accès n’est fourni et votre session est terminée.

1. Les sessions se terminent après l’expiration des jetons d’actualisation ou lorsque vous vous déconnectez manuellement à l’aide de la commande `aws sso logout`. Les informations d’identification mises en cache sont supprimées. Pour continuer à accéder aux services via IAM Identity Center, vous devez démarrer une nouvelle session à l’aide de la commande `aws sso login`.

## Ressources supplémentaires
<a name="cli-configure-sso-concepts-resources"></a>

Les ressources supplémentaires sont les suivantes.
+ [Configuration de l'authentification IAM Identity Center à l'aide du AWS CLI](cli-configure-sso.md)
+ [Tutoriel : Utilisation d'IAM Identity Center pour exécuter des commandes Amazon S3 dans AWS CLI](cli-configure-sso-tutorial.md)
+ [Installation ou mise à jour vers la dernière version du AWS CLI](getting-started-install.md)
+ [Paramètres des fichiers de configuration et d'identification dans AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) dans la *Référence de l’AWS CLI version 2*
+ [Configuration pour utiliser l’AWS CLI avec CodeCatalyst dans le *Guide de l’utilisateur Amazon CodeCatalyst*](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html)
+ [IAM Identity Center rename](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) dans le *Guide de l’utilisateur AWS IAM Identity Center*
+ [Portées des accès OAuth 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) dans le *Guide de l’utilisateur IAM Identity Center*
+ [Définir la durée de la session](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) dans le *Guide de l’utilisateur AWS IAM Identity Center*
+ [Didacticiels de démarrage](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) dans le *Guide de l’utilisateur IAM Identity Center*

# Tutoriel : Utilisation d'IAM Identity Center pour exécuter des commandes Amazon S3 dans AWS CLI
<a name="cli-configure-sso-tutorial"></a>

Cette rubrique décrit comment configurer les commandes AWS CLI pour authentifier les utilisateurs auprès de Current AWS IAM Identity Center (IAM Identity Center) afin de récupérer les informations d'identification pour exécuter AWS Command Line Interface (AWS CLI) les commandes Amazon Simple Storage Service (Amazon S3). 

**Topics**
+ [Étape 1 : authentification dans IAM Identity Center](#cli-configure-sso-tutorial-authentication)
+ [Étape 2 : recueil des informations d’IAM Identity Center](#cli-configure-sso-tutorial-gather)
+ [Étape 3 : création de compartiments Amazon S3](#cli-configure-sso-tutorial-buckets)
+ [Étape 4 : Installation du AWS CLI](#cli-configure-sso-tutorial-install)
+ [Étape 5 : Configuration de votre AWS CLI profil](#cli-configure-sso-tutorial-configure)
+ [Étape 6 : connexion à IAM Identity Center](#cli-configure-sso-tutorial-login.title)
+ [Étape 7 : exécution de commandes Amazon S3](#cli-configure-sso-tutorial-commands)
+ [Étape 8 : déconnexion d’IAM Identity Center](#cli-configure-sso-tutorial-logout)
+ [Étape 9 : nettoyage des ressources](#cli-configure-sso-tutorial-cleanup)
+ [Résolution des problèmes](#cli-configure-sso-tutorial-tshoot)
+ [Ressources supplémentaires](#cli-configure-sso-tutorial-resources.title)

## Étape 1 : authentification dans IAM Identity Center
<a name="cli-configure-sso-tutorial-authentication"></a>

Obtenez accès à l’authentification SSO dans IAM Identity Center. Choisissez l'une des méthodes suivantes pour accéder à vos AWS informations d'identification.

### Je ne dispose pas d’un accès établi via IAM Identity Center
<a name="idc-access"></a>

Suivez les instructions de [Mise en route](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *. Ce processus active IAM Identity Center, crée un utilisateur administratif et ajoute un jeu d’autorisations de moindre privilège approprié.

**Note**  
Créez un jeu d’autorisations qui applique les autorisations de moindre privilège. Nous vous recommandons d’utiliser le jeu d’autorisations `PowerUserAccess` prédéfini, sauf si votre employeur a créé un jeu d’autorisations personnalisé à cette fin. 

Quittez le portail et reconnectez-vous pour voir vos Comptes AWS informations d'accès programmatiques et les options pour `Administrator` ou`PowerUserAccess`. Sélectionnez `PowerUserAccess` lorsque vous utilisez le kit SDK.

### J'y ai déjà accès AWS via un fournisseur d'identité fédéré géré par mon employeur (tel qu'Azure AD ou Okta)
<a name="federated-access"></a>

Connectez-vous AWS via le portail de votre fournisseur d'identité. Si votre administrateur cloud vous a accordé des autorisations `PowerUserAccess` (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. En regard du nom de votre jeu d’autorisations, vous pouvez voir des options permettant d’accéder aux comptes manuellement ou par programmation à l’aide de ce jeu d’autorisations. 

Les implémentations personnalisées peuvent entraîner des expériences différentes, telles que des noms de jeux d’autorisations différents. Si vous avez des doutes sur le jeu d’autorisations à utiliser, contactez votre équipe informatique pour obtenir de l’aide. 

### J'y ai déjà accès AWS via le portail AWS d'accès géré par mon employeur
<a name="accessportal-access"></a>

Connectez-vous AWS via votre portail AWS d'accès. Si votre administrateur cloud vous a accordé des autorisations `PowerUserAccess` (de développeur), vous voyez Comptes AWS celles auxquelles vous avez accès et votre ensemble d'autorisations. En regard du nom de votre jeu d’autorisations, vous pouvez voir des options permettant d’accéder aux comptes manuellement ou par programmation à l’aide de ce jeu d’autorisations. 

### J'y ai déjà accès AWS via un fournisseur d'identité personnalisé fédéré géré par mon employeur
<a name="customfederated-access"></a>

Contactez votre équipe informatique pour obtenir de l’aide.

## Étape 2 : recueil des informations d’IAM Identity Center
<a name="cli-configure-sso-tutorial-gather"></a>

Après avoir obtenu l'accès à AWS, collectez les informations de votre centre d'identité IAM en effectuant les opérations suivantes :

1. Recueillez les valeurs `SSO Start URL` et `SSO Region` dont vous avez besoin pour exécuter `aws configure sso`

   1. Dans votre portail AWS d'accès, sélectionnez l'ensemble d'autorisations que vous utilisez pour le développement, puis cliquez sur le lien **Clés d'accès**.

   1. Dans la boîte de dialogue **Obtenir des informations d’identification**, choisissez l’onglet correspondant à votre système d’exploitation. 

   1. Choisissez la méthode **Informations d’identification IAM Identity Center** pour obtenir les valeurs `SSO Start URL` et `SSO Region`.

1. À compter de la version 2.22.0, vous pouvez également utiliser la nouvelle URL de l’émetteur au lieu de l’URL de démarrage. L'URL de l'émetteur se trouve dans la AWS IAM Identity Center console à l'un des emplacements suivants :
   + Sur la page **Tableau de bord**, l’URL de l’émetteur se trouve dans le récapitulatif des paramètres.
   + Sur la page **Paramètres**, l’URL de l’émetteur se trouve dans les paramètres de la **source d’identité**. 

1. Pour plus d'informations sur la valeur d'étendue à enregistrer, consultez la section Étendue [d'accès OAuth 2.0 dans le guide](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) de l'utilisateur d'*IAM Identity Center*.

## Étape 3 : création de compartiments Amazon S3
<a name="cli-configure-sso-tutorial-buckets"></a>

Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

Pour ce didacticiel, créez quelques compartiments à extraire ultérieurement dans une liste.

## Étape 4 : Installation du AWS CLI
<a name="cli-configure-sso-tutorial-install"></a>

Installez les instructions AWS CLI suivantes pour votre système d'exploitation. Pour de plus amples informations, veuillez consulter [Installation ou mise à jour vers la dernière version du AWS CLI](getting-started-install.md).

Une fois l’installation terminée, vous pouvez vérifier l’installation en ouvrant le terminal de votre choix et en exécutant la commande suivante. Cela devrait afficher la version que vous avez installée du AWS CLI. 

```
$ aws --version
```

## Étape 5 : Configuration de votre AWS CLI profil
<a name="cli-configure-sso-tutorial-configure"></a>

Configurez votre profil à l’aide d’une des méthodes suivantes.

### Configuration de votre profil à l’aide de l’assistant `aws configure sso`
<a name="li-configure-sso-tutorial-configure-wizard"></a>

La `sso-session` section du `config` fichier est utilisée pour regrouper les variables de configuration permettant d'acquérir des jetons d'accès SSO, qui peuvent ensuite être utilisés pour acquérir des AWS informations d'identification. Les paramètres suivants sont utilisés :
+ **(Obligatoire)** `sso\$1start\$1url`
+ **(Obligatoire)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

Vous définissez une section `sso-session` et vous l’associez à un profil. Les paramètres `sso_region` et `sso_start_url` doivent être définis dans la section `sso-session`. Généralement, `sso_account_id` et `sso_role_name` doivent être définis dans la section `profile` afin que le kit SDK puisse demander des informations d’identification SSO. 

L’exemple suivant configure le kit SDK pour demander des informations d’identification SSO et il prend en charge l’actualisation automatique des jetons : 

```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

Pour la prise en charge de la double pile, vous pouvez utiliser le format d'URL de démarrage SSO à double pile :

```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

L’autorisation PKCE (Proof Key for Code Exchange) est utilisée par défaut pour l’ AWS CLI à compter de la version 2.22.0 et elle doit être utilisée sur les appareils disposant d’un navigateur. Pour continuer à utiliser l’autorisation d’appareil, ajoutez l’option `--use-device-code`.

```
$ aws configure sso --use-device-code
```

### Configuration manuelle à l’aide du fichier `config`
<a name="cli-configure-sso-tutorial-configure-manual"></a>

La `sso-session` section du `config` fichier est utilisée pour regrouper les variables de configuration permettant d'acquérir des jetons d'accès SSO, qui peuvent ensuite être utilisés pour acquérir des AWS informations d'identification. Les paramètres suivants sont utilisés :
+ **(Obligatoire)** `sso\$1start\$1url`
+ **(Obligatoire)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

Vous définissez une section `sso-session` et vous l’associez à un profil. `sso_region` et `sso_start_url` doivent être définis dans la section `sso-session`. Généralement, `sso_account_id` et `sso_role_name` doivent être définis dans la section `profile` afin que le kit SDK puisse demander des informations d’identification SSO. 

L’exemple suivant configure le kit SDK pour demander des informations d’identification SSO et il prend en charge l’actualisation automatique des jetons : 

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

Pour la prise en charge de la double pile, utilisez le format d'URL de démarrage SSO à double pile :

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

Le jeton d’authentification est mis en cache sur le disque sous le répertoire `~/.aws/sso/cache` avec un nom de fichier basé sur le nom de session. 

## Étape 6 : connexion à IAM Identity Center
<a name="cli-configure-sso-tutorial-login.title"></a>

**Note**  
Le processus de connexion peut vous demander d'autoriser l' AWS CLI accès à vos données. Étant donné que le AWS CLI est construit au-dessus du SDK pour Python, les messages d'autorisation peuvent contenir des variantes du `botocore` nom.

Pour récupérer et mettre en cache vos informations d’identification IAM Identity Center, exécutez la commande suivante pour l’ AWS CLI afin d’ouvrir votre navigateur par défaut et de vérifier votre connexion à IAM Identity Center.

```
$ aws sso login --profile my-dev-profile
```

À compter de la version 2.22.0, l’autorisation PKCE est la valeur par défaut. Pour utiliser l’autorisation d’appareil pour vous connecter, ajoutez l’option `--use-device-code`.

```
$ aws sso login --profile my-dev-profile --use-device-code
```

## Étape 7 : exécution de commandes Amazon S3
<a name="cli-configure-sso-tutorial-commands"></a>

Pour répertorier les compartiments que vous avez créés précédemment, utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html](https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html). L’exemple suivant répertorie tous les compartiments Amazon S3.

```
$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2
```

## Étape 8 : déconnexion d’IAM Identity Center
<a name="cli-configure-sso-tutorial-logout"></a>

Lorsque vous avez terminé d’utiliser votre profil IAM Identity Center, exécutez la commande suivante pour supprimer vos informations d’identification mises en cache.

```
$ aws sso logout
Successfully signed out of all SSO profiles.
```

## Étape 9 : nettoyage des ressources
<a name="cli-configure-sso-tutorial-cleanup"></a>

Une fois ce didacticiel terminé, nettoyez toutes les ressources que vous avez créées au cours de ce didacticiel dont vous n’avez plus besoin, y compris les compartiments Amazon S3.

## Résolution des problèmes
<a name="cli-configure-sso-tutorial-tshoot"></a>

Si vous rencontrez des problèmes lors de l'utilisation du AWS CLI, consultez [Résolution des erreurs liées au AWS CLI](cli-chap-troubleshooting.md) les étapes de dépannage les plus courantes.

## Ressources supplémentaires
<a name="cli-configure-sso-tutorial-resources.title"></a>

Les ressources supplémentaires sont les suivantes.
+ [Concepts AWS IAM Identity Center pour l’AWS CLI](cli-configure-sso-concepts.md)
+ [Configuration de l'authentification IAM Identity Center à l'aide du AWS CLI](cli-configure-sso.md)
+ [Installation ou mise à jour vers la dernière version du AWS CLI](getting-started-install.md)
+ [Paramètres des fichiers de configuration et d'identification dans AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) dans la *Référence de l’AWS CLI version 2*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) dans la *Référence de l’AWS CLI version 2*
+ [Configuration pour utiliser le AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) dans le *guide de CodeCatalyst l'utilisateur Amazon*
+ [OAuth Étendue d'accès 2.0 dans le](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) guide de l'utilisateur d'*IAM Identity Center*
+ [Didacticiels de démarrage](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) dans le *Guide de l’utilisateur IAM Identity Center*