翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS SDK for Ruby AWS を使用した での認証
で開発 AWS するときに、コードが で認証される方法を確立する必要があります AWS のサービス。 AWS リソースへのプログラムによるアクセスは、環境と利用可能な AWS アクセスに応じてさまざまな方法で設定できます。
認証方法を選択して SDK 用に設定するには、AWS SDK とツールのリファレンスガイドの「認証とアクセス」を参照してください。
コンソール認証情報の使用
ローカル開発では、新しいユーザーが既存の AWS マネジメントコンソールのサインイン認証情報を使用して AWS サービスにプログラムでアクセスすることをお勧めします。ブラウザベースの認証後、 AWS は コマンドラインインターフェイス (AWS CLI) や AWS SDK for Ruby などのローカル開発ツールで動作する一時的な認証情報 AWS を生成します。
この方法を選択した場合は、「 CLI を使用してコンソール認証情報を使用して AWS ローカル開発のためにログインする AWS」の手順に従います。
AWS SDK for Ruby では、コンソール認証情報でログインを使用するために、アプリケーションに追加の Gem ( などaws-sdk-signin) は必要ありません。
IAM Identity Center 認証の使用
この方法を選択した場合は、「AWS SDK とツールのリファレンスガイド」の「IAM Identity Center 認証」の手順を完了します。その後、環境には次の要素が含まれている必要があります。
-
アプリケーションを実行する前に AWS アクセスポータルセッションを開始 AWS CLIするために使用する 。
-
SDK から参照できる設定値のセットを含む
[default]プロファイルがある共有 AWSconfigファイル。このファイルの場所を確認するには、AWS SDK とツールのリファレンスガイドの「共有ファイルの場所」を参照してください。 -
共有
configファイルはregion設定を設定します。これにより、SDK AWS リージョン が AWS リクエストに使用するデフォルトが設定されます。このリージョンは、使用するリージョンが指定されていない SDK サービスリクエストに使用されます。 -
SDK は、リクエストを AWSに送信する前に、プロファイルの SSO トークンプロバイダー設定を使用して認証情報を取得します。
sso_role_name値は、IAM Identity Center アクセス許可セットに接続された IAM ロールであり、アプリケーションで AWS のサービス 使用されている へのアクセスを許可します。次のサンプル
configファイルは、SSO トークンプロバイダー設定で設定されたデフォルトプロファイルを示しています。プロファイルのsso_session設定は、指定されたsso-sessionセクションを参照します。sso-sessionセクションには、 AWS アクセスポータルセッションを開始するための設定が含まれています。[default] sso_session = my-sso sso_account_id =111122223333sso_role_name =SampleRoleregion = us-east-1 output = json [sso-session my-sso] sso_region = us-east-1 sso_start_url =https://provided-domain.awsapps.com/startsso_registration_scopes = sso:account:access
AWS SDK for Ruby では、IAM Identity Center 認証を使用するために、アプリケーションに追加の Gem ( aws-sdk-ssoや などaws-sdk-ssooidc) は必要ありません。
AWS アクセスポータルセッションを開始する
アクセスするアプリケーションを実行する前に AWS のサービス、SDK が IAM Identity Center 認証を使用して認証情報を解決するためのアクティブな AWS アクセスポータルセッションが必要です。設定したセッションの長さによっては、アクセスが最終的に期限切れになり、SDK で認証エラーが発生します。 AWS アクセスポータルにサインインするには、 で次のコマンドを実行します AWS CLI。
aws sso login
ガイダンスに従い、デフォルトのプロファイルを設定している場合は、--profile オプションを指定してコマンドを呼び出す必要はありません。SSO トークンプロバイダー設定で名前付きプロファイルを使用している場合、コマンドは aws sso login --profile
named-profile です。
既にアクティブなセッションがあるかどうかをオプションでテストするには、次の AWS CLI コマンドを実行します。
aws sts get-caller-identity
セッションがアクティブな場合、このコマンドへの応答により、共有 config ファイルに設定されている IAM Identity Center アカウントとアクセス許可のセットが報告されます。
注記
既にアクティブな AWS アクセスポータルセッションがあり、 を実行している場合はaws sso login、認証情報を指定する必要はありません。
サインインプロセスにより、データ AWS CLI へのアクセスを許可するように求められる場合があります。 AWS CLI は SDK for Python 上に構築されているため、アクセス許可メッセージにはbotocore名前のバリエーションが含まれている可能性があります。
詳細認証情報
人間のユーザーとは、別名人的 ID と呼ばれ、人、管理者、デベロッパー、オペレーター、およびアプリケーションのコンシューマーを指します。 AWS 環境とアプリケーションにアクセスするには、ID が必要です。組織のメンバーである人間のユーザー、つまり、ユーザーや開発者は、ワークフォースアイデンティティと呼ばれます。
アクセス時に一時的な認証情報を使用します AWS。人間のユーザーの ID プロバイダーを使用して、一時的な認証情報を提供するロールを引き受けることで、 AWS アカウントへのフェデレーションアクセスを提供できます。一元的なアクセス管理を行うには、 AWS IAM Identity Center (IAM Identity Center) を使用して、ご自分のアカウントへのアクセスと、それらのアカウント内でのアクセス許可を管理することをお勧めします。その他の代替案については、以下を参照してください。
-
ベストプラクティスの詳細については、IAM ユーザーガイドの「IAM でのセキュリティのベストプラクティス」を参照してください。
-
短期 AWS 認証情報を作成するには、IAM ユーザーガイドの「一時的なセキュリティ認証情報」を参照してください。
-
AWS SDK for Ruby 認証情報プロバイダーチェーン、および SDK によって一連の認証方法が自動的に試行される方法については、「」を参照してください認証情報プロバイダーチェーン。
-
AWS SDK 認証情報プロバイダーの設定については、「 SDK およびツールリファレンスガイド」の「標準化された認証情報プロバイダー」を参照してください。 AWS SDKs
