Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengkonfigurasi autentikasi Pusat Identitas IAM dengan AWS CLI
<a name="cli-configure-sso"></a>

Topik ini memberikan petunjuk tentang cara mengkonfigurasi AWS CLI with AWS IAM Identity Center (IAM Identity Center) untuk mengambil kredensional untuk menjalankan perintah. AWS CLI Terutama ada dua cara untuk mengautentikasi pengguna dengan IAM Identity Center untuk mendapatkan kredensional untuk menjalankan AWS CLI perintah melalui file: `config` 
+ **(Disarankan)** Konfigurasi penyedia token SSO.
+ Konfigurasi lama yang tidak dapat disegarkan.

Untuk informasi tentang penggunaan autentikasi pembawa, yang tidak menggunakan ID akun dan peran, lihat [Menyiapkan untuk menggunakan AWS CLI dengan CodeCatalyst di CodeCatalyst ](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) *Panduan Pengguna Amazon*.

**catatan**  
Untuk proses terpandu menggunakan IAM Identity Center dengan AWS CLI perintah, lihat[Tutorial: Menggunakan IAM Identity Center untuk menjalankan perintah Amazon S3 di AWS CLI](cli-configure-sso-tutorial.md).

**Topik**
+ [Prasyarat](#cli-configure-sso-prereqs)
+ [Konfigurasikan profil Anda dengan `aws configure sso` wizard](#cli-configure-sso-configure)
+ [Konfigurasikan hanya `sso-session` bagian Anda dengan `aws configure sso-session` wizard](#cli-configure-sso-session)
+ [Konfigurasi manual menggunakan `config` file](#cli-configure-sso-manual)
+ [Masuk ke sesi Pusat Identitas IAM](#cli-configure-sso-login)
+ [Jalankan perintah dengan profil Pusat Identitas IAM Anda](#cli-configure-sso-use)
+ [Keluar dari sesi IAM Identity Center](#cli-configure-sso-logout)
+ [Pemecahan masalah](#cli-configure-sso-tshoot)
+ [Sumber daya terkait](#cli-configure-sso-resources)

## Prasyarat
<a name="cli-configure-sso-prereqs"></a>
+ Instal AWS CLI. Untuk informasi selengkapnya, lihat [Menginstal atau memperbarui ke versi terbaru dari AWS CLI](getting-started-install.md).
+ Anda harus terlebih dahulu memiliki akses ke otentikasi SSO dalam IAM Identity Center. Pilih salah satu metode berikut untuk mengakses AWS kredensional Anda.

### Saya tidak memiliki akses melalui IAM Identity Center
<a name="idc-access"></a>

Ikuti petunjuk di [Memulai](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) di *Panduan AWS IAM Identity Center Pengguna*. Proses ini mengaktifkan IAM Identity Center, membuat pengguna administratif, dan menambahkan set izin hak istimewa yang paling tidak sesuai.

**catatan**  
Buat set izin yang menerapkan izin hak istimewa paling sedikit. Sebaiknya gunakan set `PowerUserAccess` izin yang telah ditentukan sebelumnya, kecuali majikan Anda telah membuat set izin khusus untuk tujuan ini. 

Keluar dari portal dan masuk lagi untuk melihat detail akses terprogram Anda Akun AWS, dan opsi untuk `Administrator` atau`PowerUserAccess`. Pilih `PowerUserAccess` saat bekerja dengan SDK.

### Saya sudah memiliki akses AWS melalui penyedia identitas federasi yang dikelola oleh majikan saya (seperti Azure AD atau Okta)
<a name="federated-access"></a>

Masuk AWS melalui portal penyedia identitas Anda. Jika Administrator Cloud Anda telah memberi Anda izin `PowerUserAccess` (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut. 

Implementasi kustom dapat menghasilkan pengalaman yang berbeda, seperti nama set izin yang berbeda. Jika Anda tidak yakin izin mana yang disetel untuk digunakan, hubungi tim TI Anda untuk mendapatkan bantuan. 

### Saya sudah memiliki akses AWS melalui portal AWS akses yang dikelola oleh majikan saya
<a name="accessportal-access"></a>

Masuk AWS melalui portal AWS akses Anda. Jika Administrator Cloud Anda telah memberi Anda izin `PowerUserAccess` (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut. 

### Saya sudah memiliki akses AWS melalui penyedia identitas kustom federasi yang dikelola oleh majikan saya
<a name="customfederated-access"></a>

Hubungi tim TI Anda untuk bantuan.

Setelah mendapatkan akses ke Pusat Identitas IAM, kumpulkan informasi Pusat Identitas IAM Anda dengan melakukan hal berikut:

1. Kumpulkan `SSO Region` nilai-nilai Anda `SSO Start URL` dan yang Anda butuhkan untuk menjalankan `aws configure sso`

   1. Di portal AWS akses Anda, pilih set izin yang Anda gunakan untuk pengembangan, dan pilih tautan **Kunci akses**.

   1. Di kotak dialog **Dapatkan kredensi**, pilih tab yang cocok dengan sistem operasi Anda. 

   1. Pilih metode **kredensial Pusat Identitas IAM** untuk mendapatkan nilai dan`SSO Start URL`. `SSO Region`

1. Atau, dimulai dengan versi 2.22.0, Anda dapat menggunakan URL Penerbit alih-alih URL Mulai. URL Penerbit terletak di AWS IAM Identity Center konsol di salah satu lokasi berikut:
   + Pada halaman **Dasbor**, URL Penerbit ada di ringkasan pengaturan.
   + Pada halaman **Pengaturan**, URL Penerbit ada di pengaturan **sumber Identitas**. 

1. Untuk informasi tentang nilai cakupan mana yang akan didaftarkan, lihat [OAuth 2.0 Cakupan akses di Panduan](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) Pengguna *Pusat Identitas IAM*.

## Konfigurasikan profil Anda dengan `aws configure sso` wizard
<a name="cli-configure-sso-configure"></a>

**Untuk mengonfigurasi profil Pusat Identitas IAM untuk AWS CLI:**

1. Di terminal pilihan Anda, jalankan `aws configure sso` perintah.

------
#### [ (Recommended) IAM Identity Center ]

   Buat nama sesi, berikan URL awal Pusat Identitas IAM Anda atau URL penerbit, Wilayah AWS yang menghosting direktori Pusat Identitas IAM, dan ruang lingkup pendaftaran.

   ```
   $ aws configure sso
   SSO session name (Recommended): my-sso
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]: us-east-1
   SSO registration scopes [None]: sso:account:access
   ```

   Untuk dukungan dual-stack, gunakan URL awal SSO dual-stack:

   ```
   $ aws configure sso
   SSO session name (Recommended): my-sso
   SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
   SSO region [None]: us-east-1
   SSO registration scopes [None]: sso:account:access
   ```

   Otorisasi Kunci Bukti untuk Pertukaran Kode (PKCE) digunakan secara default untuk AWS CLI memulai dengan versi **2.22.0** dan harus digunakan pada perangkat dengan browser. Untuk terus menggunakan otorisasi Perangkat, tambahkan opsi. `--use-device-code`

   ```
   $ aws configure sso --use-device-code
   ```

------
#### [ Legacy IAM Identity Center ]

   Lewati nama sesi dan berikan URL awal Pusat Identitas IAM Anda dan AWS Wilayah yang menghosting direktori Pusat Identitas. 

   ```
   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]:us-east-1
   ```

   Untuk dukungan dual-stack:

   ```
   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
   SSO region [None]:us-east-1
   ```

------

1.  AWS CLI Upaya untuk membuka browser default Anda untuk proses masuk akun Pusat Identitas IAM Anda. Proses ini mungkin meminta Anda untuk mengizinkan AWS CLI akses ke data Anda. Karena AWS CLI dibangun di atas SDK untuk Python, pesan izin mungkin berisi variasi nama. `botocore`
   + **Jika AWS CLI tidak dapat membuka browser**, instruksi untuk memulai proses masuk secara manual ditampilkan berdasarkan jenis otorisasi yang Anda gunakan. 

------
#### [ PKCE authorization ]

     Otorisasi Kunci Bukti untuk Pertukaran Kode (PKCE) digunakan secara default untuk AWS CLI memulai dengan versi 2.22.0. URL yang ditampilkan adalah URL unik yang dimulai dengan:
     + IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
     + Tumpukan ganda: *https://oidc.us-east-1.api.aws/authorize*

     Otorisasi PKCE URLs harus dibuka pada perangkat yang sama dengan tempat Anda masuk dan harus digunakan untuk perangkat dengan browser.

     ```
     Attempting to automatically open the SSO authorization page in your 
     default browser.
     If the browser does not open or you wish to use a different device to 
     authorize the request, open the following URL:
     
     https://oidc.us-east-1.amazonaws.com/authorize?<abbreviated>
     ```

------
#### [ Device authorization ]

     Otorisasi perangkat OAuth 2.0 digunakan oleh AWS CLI untuk versi yang lebih lama dari 2.22.0. Anda dapat mengaktifkan metode ini pada versi yang lebih baru dengan menggunakan `--use-device-code` opsi.

     Otorisasi perangkat URLs tidak perlu dibuka pada perangkat yang sama dengan tempat Anda masuk dan dapat digunakan untuk perangkat dengan atau tanpa browser. Format titik akhir tergantung pada konfigurasi Anda:
     + IPv4: *https://device.sso.us-west-2.amazonaws.com/*
     + Tumpukan ganda: *https://device.sso.us-west-2.api.aws/*

     ```
     If the browser does not open or you wish to use a different device to 
     authorize this request, open the following URL:
     https://device.sso.us-west-2.amazonaws.com/
     
     Then enter the code:
     QCFK-N451
     ```

------

1. Pilih AWS akun yang akan digunakan dari daftar yang ditampilkan. Jika Anda diizinkan untuk menggunakan hanya satu akun, secara AWS CLI otomatis memilih akun itu dan melewatkan prompt.

   ```
   There are 2 AWS accounts available to you.
   > DeveloperAccount, developer-account-admin@example.com (123456789011) 
     ProductionAccount, production-account-admin@example.com (123456789022)
   ```

1. Pilih peran IAM yang akan digunakan dari daftar yang ditampilkan. Jika hanya ada satu peran yang tersedia, secara AWS CLI otomatis memilih peran itu dan melewatkan prompt.

   ```
   Using the account ID 123456789011
   There are 2 roles available to you.
   > ReadOnly
     FullAccess
   ```

1. Tentukan [format output default](cli-configure-files.md#cli-config-output), [default Wilayah AWS](cli-configure-files.md#cli-config-region) untuk mengirim perintah ke, dan [nama untuk profil](cli-configure-files.md). Jika Anda menentukan `default` sebagai nama profil, profil ini menjadi profil default yang digunakan. Dalam contoh berikut, pengguna memasukkan Wilayah default, format output default, dan nama profil.

   ```
   Default client Region [None]: us-west-2<ENTER>
   CLI default output format (json if not specified) [None]: json<ENTER>
   Profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>
   ```

1. Pesan terakhir menjelaskan konfigurasi profil yang telah selesai. Anda sekarang dapat menggunakan profil ini untuk meminta kredensional. Gunakan `aws sso login` perintah untuk meminta dan mengambil kredenal yang diperlukan untuk menjalankan perintah. Untuk petunjuk, lihat [Masuk ke sesi Pusat Identitas IAM](#cli-configure-sso-login).

### File konfigurasi yang dihasilkan
<a name="cli-configure-sso-generated"></a>

Langkah-langkah ini menghasilkan pembuatan `sso-session` bagian dan profil bernama dalam `config` file yang terlihat seperti berikut:

------
#### [ IAM Identity Center ]

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

Untuk dukungan dual-stack:

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

------
#### [ Legacy IAM Identity Center ]

```
[profile my-dev-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```

Untuk dukungan dual-stack:

```
[profile my-dev-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```

------

## Konfigurasikan hanya `sso-session` bagian Anda dengan `aws configure sso-session` wizard
<a name="cli-configure-sso-session"></a>

**catatan**  
Konfigurasi ini tidak kompatibel dengan Pusat Identitas IAM lama.

`aws configure sso-session`Perintah memperbarui `sso-session` bagian dalam `~/.aws/config` file. Jalankan `aws configure sso-session` perintah dan berikan URL awal Pusat Identitas IAM atau URL penerbit dan AWS Wilayah yang menghosting direktori Pusat Identitas IAM. 

```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

Untuk dukungan dual-stack, gunakan URL awal SSO dual-stack:

```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

## Konfigurasi manual menggunakan `config` file
<a name="cli-configure-sso-manual"></a>

Informasi konfigurasi IAM Identity Center disimpan dalam `config` file dan dapat diedit menggunakan editor teks. Untuk menambahkan dukungan IAM Identity Center secara manual ke profil bernama, Anda harus menambahkan kunci dan nilai ke `config` file. 

### File konfigurasi Pusat Identitas IAM
<a name="cli-configure-sso-manual-config"></a>

`sso-session`Bagian `config` file digunakan untuk mengelompokkan variabel konfigurasi untuk memperoleh token akses SSO, yang kemudian dapat digunakan untuk memperoleh AWS kredensional. Pengaturan berikut digunakan:
+ **(Diperlukan)** `sso\$1start\$1url`
+ **(Diperlukan)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

Anda menentukan `sso-session` bagian dan mengaitkannya ke profil. `sso_start_url`Pengaturan `sso_region` dan harus diatur di dalam `sso-session` bagian. Biasanya, `sso_account_id` dan `sso_role_name` harus diatur di `profile` bagian sehingga SDK dapat meminta kredensional SSO. 

Contoh berikut mengonfigurasi SDK untuk meminta kredensional SSO dan mendukung penyegaran token otomatis: 

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```

Untuk dukungan dual-stack, gunakan format URL start SSO dual-stack:

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```

Ini juga memungkinkan `sso-session` konfigurasi untuk digunakan kembali di beberapa profil: 

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```

Untuk dukungan dual-stack, gunakan format URL start SSO dual-stack:

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```

Namun, `sso_account_id` dan `sso_role_name` tidak diperlukan untuk semua skenario konfigurasi token SSO. Jika aplikasi Anda hanya menggunakan AWS layanan yang mendukung otentikasi pembawa, maka AWS kredensi tradisional tidak diperlukan. Otentikasi pembawa adalah skema otentikasi HTTP yang menggunakan token keamanan yang disebut token pembawa. Dalam skenario ini, `sso_account_id` dan `sso_role_name` tidak diperlukan. Lihat panduan individual untuk AWS layanan Anda untuk menentukan apakah itu mendukung otorisasi token pembawa.

Selain itu, cakupan pendaftaran dapat dikonfigurasi sebagai bagian dari file. `sso-session` Lingkup adalah mekanisme di OAuth 2.0 untuk membatasi akses aplikasi ke akun pengguna. Aplikasi dapat meminta satu atau lebih cakupan, dan token akses yang dikeluarkan untuk aplikasi akan terbatas pada cakupan yang diberikan. Cakupan ini menentukan izin yang diminta untuk diotorisasi untuk klien OIDC terdaftar dan token akses yang diambil oleh klien. Contoh berikut menetapkan `sso_registration_scopes` untuk menyediakan akses untuk daftar akun/peran: 

```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

Untuk dukungan dual-stack:

```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

Token otentikasi di-cache ke disk di bawah `sso/cache` direktori dengan nama file berdasarkan nama sesi. 

### File konfigurasi Pusat Identitas IAM Legacy
<a name="cli-configure-sso-manual-legacy"></a>

**catatan**  
Penyegaran token otomatis tidak didukung menggunakan konfigurasi lama yang tidak dapat disegarkan. Sebaiknya gunakan konfigurasi token SSO.

Untuk menambahkan dukungan Pusat Identitas IAM secara manual ke profil bernama, Anda harus menambahkan kunci dan nilai berikut ke definisi profil dalam `config` file.
+ `sso\$1start\$1url`
+ `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`

Anda dapat menyertakan kunci dan nilai lain yang valid dalam `.aws/config` file. Contoh berikut adalah profil IAM Identity Center:

```
[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```

Untuk dukungan dual-stack:

```
[profile my-sso-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```

Untuk menjalankan perintah, Anda harus terlebih dahulu [Masuk ke sesi Pusat Identitas IAM](#cli-configure-sso-login) meminta dan mengambil kredensi sementara Anda.

Untuk informasi lebih lanjut tentang `credentials` file `config` dan, lihat[Konfigurasi dan pengaturan file kredensi di AWS CLI](cli-configure-files.md).

## Masuk ke sesi Pusat Identitas IAM
<a name="cli-configure-sso-login"></a>

**catatan**  
Proses masuk dapat meminta Anda untuk mengizinkan AWS CLI akses ke data Anda. Karena AWS CLI dibangun di atas SDK untuk Python, pesan izin mungkin berisi variasi nama. `botocore`

Untuk mengambil dan menyimpan satu set kredensional IAM Identity Center, jalankan perintah berikut AWS CLI untuk membuka browser default Anda dan memverifikasi log masuk Pusat Identitas IAM Anda. 

```
$ aws sso login --profile my-dev-profile
SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start
```

Kredensi sesi Pusat Identitas IAM Anda di-cache dan AWS CLI menggunakannya untuk mengambil AWS kredenal dengan aman untuk peran IAM yang ditentukan dalam profil. 

### Jika tidak AWS CLI dapat membuka browser Anda
<a name="cli-configure-sso-login-browser"></a>

Jika AWS CLI tidak dapat membuka browser Anda secara otomatis, instruksi untuk memulai proses masuk secara manual ditampilkan berdasarkan jenis otorisasi yang Anda gunakan. 

------
#### [ PKCE authorization ]

Otorisasi Kunci Bukti untuk Pertukaran Kode (PKCE) digunakan secara default untuk AWS CLI memulai dengan versi 2.22.0. URL yang ditampilkan adalah URL unik yang dimulai dengan:
+ IPv4: *https://oidc.us-east-1.amazonaws.com/authorize*
+ Tumpukan ganda: *https://oidc.us-east-1.api.aws/authorize*

Otorisasi PKCE URLs harus dibuka pada perangkat yang sama dengan tempat Anda masuk dan harus digunakan untuk perangkat dengan browser.

```
Attempting to automatically open the SSO authorization page in your 
default browser.
If the browser does not open or you wish to use a different device to 
authorize the request, open the following URL:

https://oidc.us-east-1.amazonaws.com/authorize?<abbreviated>
```

------
#### [ Device authorization ]

Otorisasi perangkat OAuth 2.0 digunakan oleh AWS CLI untuk versi yang lebih lama dari 2.22.0. Anda dapat mengaktifkan metode ini pada versi yang lebih baru dengan menggunakan `--use-device-code` opsi.

Otorisasi perangkat URLs tidak perlu dibuka pada perangkat yang sama dengan tempat Anda masuk dan dapat digunakan untuk perangkat dengan atau tanpa browser.

```
If the browser does not open or you wish to use a different device to 
authorize this request, open the following URL:
https://device.sso.us-west-2.amazonaws.com/

Then enter the code:
QCFK-N451
```

------

Anda juga dapat menentukan `sso-session` profil mana yang akan digunakan saat masuk menggunakan `--sso-session` parameter `aws sso login` perintah. `sso-session`Opsi ini tidak tersedia untuk Pusat Identitas IAM lama.

```
$ aws sso login --sso-session my-dev-session
```

Dimulai dengan versi 2.22.0, otorisasi PKCE adalah default. Untuk menggunakan otorisasi perangkat untuk masuk, tambahkan `--use-device-code` opsi.

```
$ aws sso login --profile my-dev-profile --use-device-code
```

Token otentikasi di-cache ke disk di bawah `~/.aws/sso/cache` direktori dengan nama file berdasarkan file. `sso_start_url` 

## Jalankan perintah dengan profil Pusat Identitas IAM Anda
<a name="cli-configure-sso-use"></a>

Setelah masuk, Anda dapat menggunakan kredensional Anda untuk memanggil AWS CLI perintah dengan profil bernama yang terkait. Contoh berikut menunjukkan perintah menggunakan profil:

```
$ aws sts get-caller-identity --profile my-dev-profile
```

Selama Anda masuk ke IAM Identity Center dan kredenal cache tersebut tidak kedaluwarsa, kredensi yang kedaluwarsa akan diperbarui AWS CLI secara otomatis bila diperlukan. AWS Namun, jika kredenal Pusat Identitas IAM Anda kedaluwarsa, Anda harus memperbaruinya secara eksplisit dengan masuk ke akun Pusat Identitas IAM Anda lagi.

## Keluar dari sesi IAM Identity Center
<a name="cli-configure-sso-logout"></a>

Ketika Anda selesai menggunakan profil Pusat Identitas IAM Anda, Anda dapat membiarkan kredensional Anda kedaluwarsa atau menjalankan perintah berikut untuk menghapus kredenal cache Anda.

```
$ aws sso logout
Successfully signed out of all SSO profiles.
```

## Pemecahan masalah
<a name="cli-configure-sso-tshoot"></a>

Jika Anda menemukan masalah menggunakan AWS CLI, lihat [Memecahkan masalah kesalahan untuk AWS CLI](cli-chap-troubleshooting.md) untuk langkah-langkah pemecahan masalah.

## Sumber daya terkait
<a name="cli-configure-sso-resources"></a>

Sumber daya tambahan adalah sebagai berikut.
+ [AWS IAM Identity Center konsep untuk AWS CLI](cli-configure-sso-concepts.md)
+ [Tutorial: Menggunakan IAM Identity Center untuk menjalankan perintah Amazon S3 di AWS CLI](cli-configure-sso-tutorial.md)
+ [Menginstal atau memperbarui ke versi terbaru dari AWS CLI](getting-started-install.md)
+ [Konfigurasi dan pengaturan file kredensi di AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html)dalam *AWS CLI versi 2 Referensi*
+ [Menyiapkan untuk menggunakan AWS CLI dengan CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) di *Panduan CodeCatalyst Pengguna Amazon*
+ [OAuth 2.0 Cakupan akses](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) di Panduan Pengguna *Pusat Identitas IAM*
+ [Memulai tutorial](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) di *Panduan Pengguna Pusat Identitas IAM*

# AWS IAM Identity Center konsep untuk AWS CLI
<a name="cli-configure-sso-concepts"></a>

Topik ini menjelaskan konsep kunci AWS IAM Identity Center (IAM Identity Center). IAM Identity Center adalah layanan IAM berbasis cloud yang menyederhanakan manajemen akses pengguna di beberapa aplikasi Akun AWS SDKs, dan alat dengan mengintegrasikan dengan penyedia identitas yang ada (iDP). Ini memungkinkan sistem masuk tunggal yang aman, manajemen izin, dan audit melalui portal pengguna terpusat, merampingkan identitas dan tata kelola akses untuk organisasi.

**Topics**
+ [Apa itu Pusat Identitas IAM](#cli-configure-sso-concepts-what)
+ [Ketentuan](#cli-configure-sso-terms)
+ [Bagaimana IAM Identity Center bekerja](#cli-configure-sso-concepts-process)
+ [Sumber daya tambahan](#cli-configure-sso-concepts-resources)

## Apa itu Pusat Identitas IAM
<a name="cli-configure-sso-concepts-what"></a>

IAM Identity Center adalah layanan manajemen identitas dan akses berbasis cloud (IAM) yang memungkinkan Anda mengelola akses ke beberapa aplikasi bisnis secara terpusat. Akun AWS 

Ini menyediakan portal pengguna di mana pengguna yang berwenang dapat mengakses Akun AWS dan aplikasi yang telah diberikan izin kepada mereka, menggunakan kredensi perusahaan yang ada. Hal ini memungkinkan organisasi untuk menegakkan kebijakan keamanan yang konsisten dan merampingkan manajemen akses pengguna.

Terlepas dari IDP mana yang Anda gunakan, IAM Identity Center mengabstraksikan perbedaan tersebut. Misalnya, Anda dapat menghubungkan Microsoft Azure AD seperti yang dijelaskan dalam artikel blog [Evolusi Berikutnya di Pusat Identitas IAM](https://aws.amazon.com/blogs/aws/the-next-evolution-in-aws-single-sign-on/).

**catatan**  
Untuk informasi tentang penggunaan autentikasi pembawa, yang tidak menggunakan ID akun dan peran, lihat [Menyiapkan untuk menggunakan AWS CLI dengan CodeCatalyst di CodeCatalyst ](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) *Panduan Pengguna Amazon*.

## Ketentuan
<a name="cli-configure-sso-terms"></a>

Istilah umum saat menggunakan IAM Identity Center adalah sebagai berikut:

**Penyedia Identitas (iDP)**  
Sistem manajemen identitas seperti IAM Identity Center, Microsoft Azure AD, Okta, atau layanan direktori perusahaan Anda sendiri.

**AWS IAM Identity Center**  
IAM Identity Center adalah layanan IDP yang AWS dimiliki. Sebelumnya dikenal sebagai AWS Single Sign-On, SDKs dan alat menjaga ruang nama `sso` API untuk kompatibilitas mundur. Untuk informasi selengkapnya, lihat [ganti nama Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) di *AWS IAM Identity Center Panduan Pengguna*.

**Portal akses AWS URL, URL awal SSO, URL Mulai**  
URL Pusat Identitas IAM unik organisasi Anda untuk mengakses resmi Akun AWS, layanan, dan sumber daya Anda.

**URL Penerbit**  
URL penerbit IAM Identity Center unik organisasi Anda untuk akses terprogram untuk otorisasi Akun AWS, layanan, dan sumber daya Anda. Dimulai dengan versi 2.22.0 AWS CLI, URL penerbit dapat digunakan secara bergantian dengan URL awal.

**Federation**  
Proses membangun kepercayaan antara IAM Identity Center dan penyedia identitas untuk mengaktifkan single sign-on (SSO).

**Akun AWS**  
 Akun AWS Yang Anda berikan akses kepada pengguna melalui AWS IAM Identity Center.

**Set izin, kredensial, AWS kredensial, kredensial sigv4**  
Kumpulan izin yang telah ditentukan sebelumnya yang dapat ditetapkan ke pengguna atau grup untuk memberikan akses ke. Layanan AWS

**Lingkup pendaftaran, cakupan akses, cakupan**  
Cakupan adalah mekanisme di OAuth 2.0 untuk membatasi akses aplikasi ke akun pengguna. Aplikasi dapat meminta satu atau lebih cakupan, dan token akses yang dikeluarkan untuk aplikasi terbatas pada cakupan yang diberikan. Untuk informasi tentang cakupan, lihat [Akses cakupan di Panduan Pengguna](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) *Pusat Identitas IAM*.

**Token, token penyegaran, token akses**  
Token adalah kredensi keamanan sementara yang dikeluarkan untuk Anda setelah otentikasi. Token ini berisi informasi tentang identitas Anda dan izin yang telah diberikan kepada Anda.  
Saat Anda mengakses AWS sumber daya atau aplikasi melalui portal Pusat Identitas IAM, token Anda disajikan AWS untuk otentikasi dan otorisasi. Ini memungkinkan AWS untuk memverifikasi identitas Anda dan memastikan Anda memiliki izin yang diperlukan untuk melakukan tindakan yang Anda minta.   
Token otentikasi di-cache ke disk di bawah `~/.aws/sso/cache` direktori dengan nama file JSON berdasarkan nama sesi.

**Sesi**  
Sesi Pusat Identitas IAM mengacu pada periode waktu pengguna diautentikasi dan diberi wewenang untuk mengakses AWS sumber daya atau aplikasi. Saat pengguna masuk ke portal Pusat Identitas IAM, sesi dibuat, dan token pengguna valid untuk durasi tertentu. Untuk informasi selengkapnya tentang pengaturan durasi sesi, lihat [Mengatur durasi sesi](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) di *Panduan AWS IAM Identity Center Pengguna*.  
Selama sesi, Anda dapat menavigasi antara AWS akun dan aplikasi yang berbeda tanpa harus mengautentikasi ulang, selama sesi mereka tetap aktif. Saat sesi berakhir, masuk lagi untuk memperbarui akses Anda.  
Sesi IAM Identity Center membantu memberikan pengalaman pengguna yang mulus sambil juga menegakkan praktik terbaik keamanan dengan membatasi validitas kredensil akses pengguna.

**Pemberian kode otorisasi dengan PKCE, PKCE, Kunci Bukti untuk Pertukaran Kode**  
Dimulai dengan versi 2.22.0, Proof Key for Code Exchange (PKCE) adalah alur hibah otentikasi OAuth 2.0 untuk perangkat dengan browser. PKCE adalah cara sederhana dan aman untuk mengautentikasi dan mendapatkan persetujuan untuk mengakses AWS sumber daya Anda dari desktop dan perangkat seluler dengan browser web. Ini adalah perilaku otorisasi default. *Untuk informasi lebih lanjut tentang PKCE, lihat [Pemberian Kode Otorisasi dengan PKCE di Panduan Pengguna](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#auth-code-grant-pkce).AWS IAM Identity Center *

**Hibah otorisasi perangkat**  
Alur hibah otentikasi OAuth 2.0 untuk perangkat dengan atau tanpa browser web. Untuk informasi selengkapnya tentang pengaturan durasi sesi, lihat [Pemberian Otorisasi Perangkat](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#device-auth-grant) di *AWS IAM Identity Center Panduan Pengguna*.

## Bagaimana IAM Identity Center bekerja
<a name="cli-configure-sso-concepts-process"></a>

IAM Identity Center terintegrasi dengan penyedia identitas organisasi Anda, seperti IAM Identity Center, Microsoft Azure AD, atau Okta. Pengguna mengautentikasi terhadap penyedia identitas ini, dan Pusat Identitas IAM kemudian memetakan identitas tersebut ke izin dan akses yang sesuai di lingkungan Anda. AWS 

Alur kerja IAM Identity Center berikut mengasumsikan Anda telah mengonfigurasi penggunaan IAM Identity Center: AWS CLI 

1. Di terminal pilihan Anda, jalankan `aws sso login` perintah.

1. Masuk ke Anda Portal akses AWS untuk memulai sesi baru. 
   + Saat memulai sesi baru, Anda menerima token penyegaran dan token akses yang di-cache.
   + Jika Anda sudah memiliki sesi aktif, sesi yang ada akan digunakan kembali dan kedaluwarsa saat sesi yang ada berakhir.

1. Berdasarkan profil yang telah Anda atur dalam `config` file Anda, IAM Identity Center mengasumsikan set izin yang sesuai, memberikan akses ke yang relevan Akun AWS dan aplikasi. 

1. The AWS CLI, SDKs, dan Tools menggunakan peran IAM yang diasumsikan untuk melakukan panggilan Layanan AWS seperti membuat bucket Amazon S3 hingga sesi tersebut berakhir.

1. Token akses dari IAM Identity Center diperiksa setiap jam dan secara otomatis di-refresh menggunakan token penyegaran.
   + Jika token akses kedaluwarsa, SDK atau alat menggunakan token penyegaran untuk mendapatkan token akses baru. Durasi sesi token ini kemudian dibandingkan, dan jika token penyegaran tidak kedaluwarsa IAM Identity Center menyediakan token akses baru.
   + Jika token penyegaran telah kedaluwarsa, maka tidak ada token akses baru yang disediakan dan sesi Anda telah berakhir.

1. Sesi berakhir setelah token refresh kedaluwarsa, atau saat Anda log out secara manual menggunakan `aws sso logout` perintah. Kredensial cache dihapus. Untuk terus mengakses layanan menggunakan IAM Identity Center, Anda harus memulai sesi baru menggunakan perintah. `aws sso login`

## Sumber daya tambahan
<a name="cli-configure-sso-concepts-resources"></a>

Sumber daya tambahan adalah sebagai berikut.
+ [Mengkonfigurasi autentikasi Pusat Identitas IAM dengan AWS CLI](cli-configure-sso.md)
+ [Tutorial: Menggunakan IAM Identity Center untuk menjalankan perintah Amazon S3 di AWS CLI](cli-configure-sso-tutorial.md)
+ [Menginstal atau memperbarui ke versi terbaru dari AWS CLI](getting-started-install.md)
+ [Konfigurasi dan pengaturan file kredensi di AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html)dalam *AWS CLI versi 2 Referensi*
+ [Menyiapkan untuk menggunakan AWS CLI dengan CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) di *Panduan CodeCatalyst Pengguna Amazon*
+ [Ganti nama Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed) *di Panduan Pengguna AWS IAM Identity Center *
+ [OAuth 2.0 Cakupan akses](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) di Panduan Pengguna *Pusat Identitas IAM*
+ [Mengatur durasi sesi](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html) di *Panduan AWS IAM Identity Center Pengguna*
+ [Memulai tutorial](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) di *Panduan Pengguna Pusat Identitas IAM*

# Tutorial: Menggunakan IAM Identity Center untuk menjalankan perintah Amazon S3 di AWS CLI
<a name="cli-configure-sso-tutorial"></a>

Topik ini menjelaskan cara mengonfigurasi untuk mengautentikasi pengguna dengan saat ini AWS IAM Identity Center (Pusat Identitas IAM) untuk mengambil kredensil untuk menjalankan AWS Command Line Interface (AWS CLI) perintah untuk (Amazon Amazon Simple Storage Service S3). AWS CLI 

**Topics**
+ [Langkah 1: Otentikasi di Pusat Identitas IAM](#cli-configure-sso-tutorial-authentication)
+ [Langkah 2: Kumpulkan informasi Pusat Identitas IAM Anda](#cli-configure-sso-tutorial-gather)
+ [Langkah 3: Buat ember Amazon S3](#cli-configure-sso-tutorial-buckets)
+ [Langkah 4: Instal AWS CLI](#cli-configure-sso-tutorial-install)
+ [Langkah 5: Konfigurasikan AWS CLI profil Anda](#cli-configure-sso-tutorial-configure)
+ [Langkah 6: Masuk ke IAM Identity Center](#cli-configure-sso-tutorial-login.title)
+ [Langkah 7: Jalankan perintah Amazon S3](#cli-configure-sso-tutorial-commands)
+ [Langkah 8: Keluar dari IAM Identity Center](#cli-configure-sso-tutorial-logout)
+ [Langkah 9: Bersihkan sumber daya](#cli-configure-sso-tutorial-cleanup)
+ [Pemecahan masalah](#cli-configure-sso-tutorial-tshoot)
+ [Sumber daya tambahan](#cli-configure-sso-tutorial-resources.title)

## Langkah 1: Otentikasi di Pusat Identitas IAM
<a name="cli-configure-sso-tutorial-authentication"></a>

Dapatkan akses ke otentikasi SSO dalam IAM Identity Center. Pilih salah satu metode berikut untuk mengakses AWS kredensil Anda.

### Saya tidak memiliki akses melalui IAM Identity Center
<a name="idc-access"></a>

Ikuti petunjuk di [Memulai](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) di *Panduan AWS IAM Identity Center Pengguna*. Proses ini mengaktifkan IAM Identity Center, membuat pengguna administratif, dan menambahkan set izin hak istimewa yang paling tidak sesuai.

**catatan**  
Buat set izin yang menerapkan izin hak istimewa paling sedikit. Sebaiknya gunakan set `PowerUserAccess` izin yang telah ditentukan sebelumnya, kecuali majikan Anda telah membuat set izin khusus untuk tujuan ini. 

Keluar dari portal dan masuk lagi untuk melihat detail akses terprogram Anda Akun AWS, dan opsi untuk `Administrator` atau`PowerUserAccess`. Pilih `PowerUserAccess` saat bekerja dengan SDK.

### Saya sudah memiliki akses AWS melalui penyedia identitas federasi yang dikelola oleh majikan saya (seperti Azure AD atau Okta)
<a name="federated-access"></a>

Masuk AWS melalui portal penyedia identitas Anda. Jika Administrator Cloud Anda telah memberi Anda izin `PowerUserAccess` (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut. 

Implementasi kustom dapat menghasilkan pengalaman yang berbeda, seperti nama set izin yang berbeda. Jika Anda tidak yakin izin mana yang disetel untuk digunakan, hubungi tim TI Anda untuk mendapatkan bantuan. 

### Saya sudah memiliki akses AWS melalui portal AWS akses yang dikelola oleh majikan saya
<a name="accessportal-access"></a>

Masuk AWS melalui portal AWS akses Anda. Jika Administrator Cloud Anda telah memberi Anda izin `PowerUserAccess` (pengembang), Anda akan melihat Akun AWS bahwa Anda memiliki akses ke dan izin Anda ditetapkan. Di samping nama set izin Anda, Anda melihat opsi untuk mengakses akun secara manual atau terprogram menggunakan set izin tersebut. 

### Saya sudah memiliki akses AWS melalui penyedia identitas kustom federasi yang dikelola oleh majikan saya
<a name="customfederated-access"></a>

Hubungi tim TI Anda untuk bantuan.

## Langkah 2: Kumpulkan informasi Pusat Identitas IAM Anda
<a name="cli-configure-sso-tutorial-gather"></a>

Setelah mendapatkan akses ke AWS, kumpulkan informasi Pusat Identitas IAM Anda dengan melakukan hal berikut:

1. Kumpulkan `SSO Region` nilai-nilai Anda `SSO Start URL` dan yang Anda butuhkan untuk menjalankan `aws configure sso`

   1. Di portal AWS akses Anda, pilih set izin yang Anda gunakan untuk pengembangan, dan pilih tautan **Kunci akses**.

   1. Di kotak dialog **Dapatkan kredensi**, pilih tab yang cocok dengan sistem operasi Anda. 

   1. Pilih metode **kredensial Pusat Identitas IAM** untuk mendapatkan nilai dan`SSO Start URL`. `SSO Region`

1. Atau, dimulai dengan versi 2.22.0, Anda dapat menggunakan URL Penerbit baru alih-alih URL Mulai. URL Penerbit terletak di AWS IAM Identity Center konsol di salah satu lokasi berikut:
   + Pada halaman **Dasbor**, URL Penerbit ada di ringkasan pengaturan.
   + Pada halaman **Pengaturan**, URL Penerbit ada di pengaturan **sumber Identitas**. 

1. Untuk informasi tentang nilai cakupan mana yang akan didaftarkan, lihat [OAuth 2.0 Cakupan akses di Panduan](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) Pengguna *Pusat Identitas IAM*.

## Langkah 3: Buat ember Amazon S3
<a name="cli-configure-sso-tutorial-buckets"></a>

Masuk ke Konsol Manajemen AWS dan buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

Untuk tutorial ini, buat beberapa bucket untuk kemudian diambil dalam daftar.

## Langkah 4: Instal AWS CLI
<a name="cli-configure-sso-tutorial-install"></a>

Instal petunjuk AWS CLI berikut untuk sistem operasi Anda. Untuk informasi selengkapnya, lihat [Menginstal atau memperbarui ke versi terbaru dari AWS CLI](getting-started-install.md).

Setelah diinstal, Anda dapat memverifikasi instalasi dengan membuka terminal pilihan Anda dan menjalankan perintah berikut. Ini akan menampilkan versi yang Anda instal dari file AWS CLI. 

```
$ aws --version
```

## Langkah 5: Konfigurasikan AWS CLI profil Anda
<a name="cli-configure-sso-tutorial-configure"></a>

Konfigurasikan profil Anda menggunakan salah satu metode berikut

### Konfigurasikan profil Anda dengan `aws configure sso` wizard
<a name="li-configure-sso-tutorial-configure-wizard"></a>

`sso-session`Bagian `config` file digunakan untuk mengelompokkan variabel konfigurasi untuk memperoleh token akses SSO, yang kemudian dapat digunakan untuk memperoleh AWS kredensil. Pengaturan berikut digunakan:
+ **(Diperlukan)** `sso\$1start\$1url`
+ **(Diperlukan)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

Anda menentukan `sso-session` bagian dan mengaitkannya ke profil. `sso_start_url`Pengaturan `sso_region` dan harus diatur di dalam `sso-session` bagian. Biasanya, `sso_account_id` dan `sso_role_name` harus diatur di `profile` bagian sehingga SDK dapat meminta kredensional SSO. 

Contoh berikut mengonfigurasi SDK untuk meminta kredensional SSO dan mendukung penyegaran token otomatis: 

```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

Untuk dukungan dual-stack, Anda dapat menggunakan format URL awal SSO dual-stack:

```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

Otorisasi Kunci Bukti untuk Pertukaran Kode (PKCE) digunakan secara default untuk AWS CLI memulai dengan versi 2.22.0 dan harus digunakan pada perangkat dengan browser. Untuk terus menggunakan otorisasi Perangkat, tambahkan opsi. `--use-device-code`

```
$ aws configure sso --use-device-code
```

### Konfigurasi manual menggunakan `config` file
<a name="cli-configure-sso-tutorial-configure-manual"></a>

`sso-session`Bagian `config` file digunakan untuk mengelompokkan variabel konfigurasi untuk memperoleh token akses SSO, yang kemudian dapat digunakan untuk memperoleh AWS kredensil. Pengaturan berikut digunakan:
+ **(Diperlukan)** `sso\$1start\$1url`
+ **(Diperlukan)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

Anda menentukan `sso-session` bagian dan mengaitkannya ke profil. `sso_region`dan `sso_start_url` harus diatur dalam `sso-session` bagian. Biasanya, `sso_account_id` dan `sso_role_name` harus diatur di `profile` bagian sehingga SDK dapat meminta kredensional SSO. 

Contoh berikut mengonfigurasi SDK untuk meminta kredensional SSO dan mendukung penyegaran token otomatis: 

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

Untuk dukungan dual-stack, gunakan format URL start SSO dual-stack:

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

Token otentikasi di-cache ke disk di bawah `~/.aws/sso/cache` direktori dengan nama file berdasarkan nama sesi. 

## Langkah 6: Masuk ke IAM Identity Center
<a name="cli-configure-sso-tutorial-login.title"></a>

**catatan**  
Proses masuk dapat meminta Anda untuk mengizinkan AWS CLI akses ke data Anda. Karena AWS CLI dibangun di atas SDK untuk Python, pesan izin mungkin berisi variasi nama. `botocore`

Untuk mengambil dan menyimpan kredenal Pusat Identitas IAM Anda, jalankan perintah berikut AWS CLI untuk membuka browser default Anda dan memverifikasi log masuk Pusat Identitas IAM Anda.

```
$ aws sso login --profile my-dev-profile
```

Dimulai dengan versi 2.22.0, otorisasi PKCE adalah default. Untuk menggunakan otorisasi perangkat untuk masuk, tambahkan `--use-device-code` opsi.

```
$ aws sso login --profile my-dev-profile --use-device-code
```

## Langkah 7: Jalankan perintah Amazon S3
<a name="cli-configure-sso-tutorial-commands"></a>

Untuk membuat daftar ember yang Anda buat sebelumnya, gunakan [https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html](https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html)perintah. Contoh berikut mencantumkan semua bucket Amazon S3 Anda.

```
$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2
```

## Langkah 8: Keluar dari IAM Identity Center
<a name="cli-configure-sso-tutorial-logout"></a>

Ketika Anda selesai menggunakan profil Pusat Identitas IAM Anda, jalankan perintah berikut untuk menghapus kredenal cache Anda.

```
$ aws sso logout
Successfully signed out of all SSO profiles.
```

## Langkah 9: Bersihkan sumber daya
<a name="cli-configure-sso-tutorial-cleanup"></a>

Setelah Anda selesai dengan tutorial ini, bersihkan semua sumber daya yang Anda buat selama tutorial ini yang tidak lagi Anda perlukan, termasuk bucket Amazon S3.

## Pemecahan masalah
<a name="cli-configure-sso-tutorial-tshoot"></a>

Jika Anda menemukan masalah menggunakan AWS CLI, lihat langkah-langkah [Memecahkan masalah kesalahan untuk AWS CLI](cli-chap-troubleshooting.md) pemecahan masalah umum.

## Sumber daya tambahan
<a name="cli-configure-sso-tutorial-resources.title"></a>

Sumber daya tambahan adalah sebagai berikut.
+ [AWS IAM Identity Center konsep untuk AWS CLI](cli-configure-sso-concepts.md)
+ [Mengkonfigurasi autentikasi Pusat Identitas IAM dengan AWS CLI](cli-configure-sso.md)
+ [Menginstal atau memperbarui ke versi terbaru dari AWS CLI](getting-started-install.md)
+ [Konfigurasi dan pengaturan file kredensi di AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html)dalam *AWS CLI versi 2 Referensi*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html)dalam *AWS CLI versi 2 Referensi*
+ [Menyiapkan untuk menggunakan AWS CLI dengan CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) di *Panduan CodeCatalyst Pengguna Amazon*
+ [OAuth 2.0 Cakupan akses](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) di Panduan Pengguna *Pusat Identitas IAM*
+ [Memulai tutorial](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) di *Panduan Pengguna Pusat Identitas IAM*