IAM Identity Center を使用して AWS SDK とツールを認証する - AWS SDKsとツール
前提条件IAM Identity Center を使用してプログラムによるアクセスを設定しますポータルアクセスセッションを更新する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center を使用して AWS SDK とツールを認証する

AWS IAM アイデンティティセンター は、AWS 非コンピューティングサービス環境でアプリケーションを開発する AWS ときに AWS 認証情報を提供するために使用できます。Amazon Elastic Compute Cloud (Amazon EC2) や などの AWS リソースで開発する場合は AWS Cloud9、代わりにそのサービスから認証情報を取得することをお勧めします。

AWS アカウントアクセスに Identity Center を既に使用している場合、または組織のアクセスを管理する必要がある場合は、IAM Identity Center 認証を使用します。

このチュートリアルでは、IAM Identity Center アクセスを確立し、 AWS アクセスポータルと を使用して SDK またはツール用に設定します AWS CLI。

  • AWS アクセスポータルは、IAM アイデンティティセンターに手動でサインインするウェブの場所です。URL のフォーマットは d-xxxxxxxxxx.awsapps.com/start、または your_subdomain.awsapps.com/start です。 AWS アクセスポータルにサインインすると、そのユーザー用に設定された ロール AWS アカウント と ロールを表示できます。この手順では、 AWS アクセスポータルを使用して、SDK/ツール認証プロセスに必要な設定値を取得します。

  • AWS CLI は、コードによって行われた API コールに IAM アイデンティティセンター認証を使用するように SDK またはツールを設定するために使用されます。この 1 回限りのプロセスでは、共有 AWS configファイルが更新され、コードの実行時に SDK またはツールによって使用されます。

前提条件

この手順を開始する前に、次の手順を完了しておく必要があります。

IAM Identity Center を使用してプログラムによるアクセスを設定します

ステップ 1:アクセスを確立し、適切なアクセス許可セットを選択します

AWS 認証情報にアクセスするには、次のいずれかの方法を選択します。

  1. AWS IAM アイデンティティセンター ユーザーガイド」の「Configure user access with the default IAM Identity Center directory」の手順に従って、ユーザーを追加し、管理アクセス許可を追加します。

  2. AdministratorAccess アクセス許可セットは、通常の開発には使用しないでください。代わりに、雇用主がこの目的のためにカスタムアクセス許可セットを作成していない限り、定義済みの PowerUserAccess アクセス許可セットを使用することをお勧めします。

    再度同じ「Configure user access with the default IAM Identity Center directory」の手順に従います。ただし今回は次のようにします。

    • Admin team グループを作成する代わりに Dev team グループを作成し、その後の手順ではこれを代わりに使用します。

    • 既存のユーザーを使用できますが、そのユーザーを新しい Dev team グループに追加する必要があります。

    • AdministratorAccess アクセス許可セットを作成する代わりに PowerUserAccess アクセス許可セットを作成し、その後の手順ではこれを代わりに使用します。

    完了したら、以下があるはずです。

    • Dev team グループ。

    • Dev team グループにアタッチされた PowerUserAccess アクセス許可セット。

    • Dev team グループに追加されたユーザー。

  3. ポータルを終了し、再度サインインして、 Administratorまたは の AWS アカウント および オプションを確認しますPowerUserAccess。ツール/SDK を使用する場合は PowerUserAccess を選択します。

ID プロバイダーのポータル AWS から にサインインします。クラウド管理者がユーザー PowerUserAccess (開発者) にアクセス許可を付与している場合は、アクセスできる AWS アカウント とアクセス許可セットが表示されます。アクセス許可セットの名前の横に、そのアクセス許可セットを使用してアカウントに手動またはプログラムでアクセスするオプションが表示されます。

カスタム実装では、アクセス許可セット名が異なるなど、エクスペリエンスが異なる場合があります。どのアクセス許可セットを使用すればよいかわからない場合は、IT チームにお問い合わせください。

AWS アクセスポータル AWS から にサインインします。クラウド管理者から PowerUserAccess (開発者) アクセス許可を付与されている場合は、アクセス権のある AWS アカウント とアクセス許可セットが表示されます。アクセス許可セットの名前の横に、そのアクセス許可セットを使用してアカウントに手動またはプログラムでアクセスするオプションが表示されます。

サポートについては、IT チームにお問い合わせください。

ステップ 2:IAM Identity Center を使用するように SDK とツールを設定します

  1. 開発マシンに最新の AWS CLIをインストールします。

    1. AWS Command Line Interface  ユーザーガイド」の「AWS CLI の最新バージョンをインストールまたは更新します。」を参照してください。

    2. (オプション) AWS CLI が動作していることを確認するには、コマンドプロンプトを開き、 aws --version コマンドを実行します。

  2. AWS アクセスポータルにサインインします。この URL は、雇用主から提供されたり、「ステップ 1: アクセスを確立する」の後に E メールで取得したりする場合があります。これ以外の場合は、https://console.aws.amazon.com/singlesignon/ダッシュボードAWS アクセスポータル URL を確認できます。

    1. AWS アクセスポータルの アカウント タブで、管理する個々のアカウントを選択します。ユーザーのロールが表示されます。[アクセスキー] を選択して、適切なアクセス許可セットのコマンドラインまたはプログラムによるアクセスの認証情報を取得します。事前定義された PowerUserAccess 許可セットを使用するか、またはユーザーもしくは雇用主が開発のために最小特権の許可を適用するために作成した許可セットを使用してください。

    2. [認証情報の取得] ダイアログボックスで、オペレーティングシステムに応じて、[MacOS と Linux] または [Windows] を選択します。

    3. [IAM Identity Center 認証情報] メソッドを選択して、次のステップに必要な Issuer URLSSO Region の値を取得します。注: SSO Start URLIssuer URL と置き換えて使用できます。

  3. AWS CLI コマンドプロンプトで、 aws configure sso コマンドを実行します。プロンプトが表示されたら、前のステップで収集した設定値を入力します。この AWS CLI コマンドの詳細については、aws configure sso「ウィザードでプロファイルを設定する」を参照してください。

    1. プロンプト SSO Start URL で、Issuer URL 用に取得した値を入力します。

    2. [CLI プロファイル名]には、開始時にデフォルトを入力することをお勧めします。デフォルト以外の(名前付き)プロファイルとそれに関連する環境変数を設定する方法については、「プロファイル」を参照してください。

  4. (オプション) AWS CLI コマンドプロンプトで、 aws sts get-caller-identity コマンドを実行してアクティブなセッション ID を確認します。レスポンスには、設定した IAM Identity Center アクセス許可セットが表示されるはずです。

  5. AWS SDK を使用している場合は、開発環境で SDK 用のアプリケーションを作成します。

    1. 一部の SDK では、IAM Identity Center 認証を使用する前に、SSOSSOOIDC などの追加パッケージをアプリケーションに追加する必要があります。詳細については、具体的な SDK を参照してください。

    2. へのアクセスを以前に設定している場合は AWS、共有 AWS credentialsファイルで を確認しますAWS アクセスキー認証情報プロバイダーチェーンを理解する 優先順位により、SDK またはツールが IAM Identity Center の認証情報を使用する前に、静的認証情報をすべて削除する必要があります。

SDK とツールがこの設定を使用して認証情報を使用および更新する方法についての詳細は、「AWS SDK とツールの IAM Identity Center 認証の解決方法」を参照してください。

IAM Identity Center プロバイダー設定を共有 config ファイルで直接設定するには、このガイドの「IAM Identity Center 認証情報プロバイダー」を参照してください。

ポータルアクセスセッションを更新する

アクセスはいずれ期限切れになり、SDK またはツールで認証エラーが発生します。この有効期限は、設定したセッションの長さによって異なります。必要に応じてアクセスポータルセッションを再度更新するには、 AWS CLI を使用して aws sso login コマンドを実行します。

IAM Identity Center アクセスポータルのセッション期間とアクセス許可セットのセッション期間の両方を延長できます。これにより、 AWS CLIに手動でサインインし直す必要が出るまでにコードを実行できる時間が長くなります。詳細については、『AWS IAM アイデンティティセンター ユーザーガイド:』の以下のトピックを参照してください: