IAM Identity Center 認証情報プロバイダー

この認証メカニズムは、AWS IAM Identity Center を使ってコードの AWS のサービス のためのシングルサインオン (SSO) アクセスを取得します。

IAM Identity Center を有効にしたら、 AWS config 共有ファイル内の設定用のプロファイルを定義します。このプロファイルは IAM Identity Center アクセスポータルへの接続に使用されます。ユーザーが IAM Identity Center で正常に認証されると、ポータルはそのユーザーに関連付けられた IAM ロールの短期認証情報を返します。SDK が設定から一時的な認証情報を取得して AWS のサービス リクエストに使用する方法については、 AWS SDK とツールの IAM Identity Center 認証の解決方法 を参照してください。

config ファイルを使用して IAM Identity Center を設定するには 2 つの方法があります。

どちらの構成でも、セッションの有効期限が切れたら再度サインインする必要があります。

次の 2 つのガイドには、IAM Identity Center に関する追加情報が含まれています。

SDK とツールがこの構成を使用して認証情報を使用および更新する方法の詳細については、「AWS SDK とツールの IAM Identity Center 認証の解決方法」を参照してください。

前提条件

最初に IAM Identity Center を有効にしておく必要があります。IAM アイデンティティセンターの認証を有効にする方法の詳細については、「AWS IAM Identity Center ユーザーガイド」の「Enabling AWS IAM Identity Center」を参照してください。

SSO トークンプロバイダー設定

SSO トークンプロバイダー設定を使用すると、AWS SDK またはツールは延長されたセッション期間までセッションを自動的に更新します。セッション期間および最大期間の詳細は、「AWS IAM Identity Center ユーザーガイド」の「Configure the session duration in IAM Identity Center」を参照してください。

config ファイルの sso-session セクションを使用して、SSO アクセストークンを取得するための設定変数をグループ化します。これらを使用して、AWS 認証情報を取得できます。config ファイル内のこのセクションの詳細については、「設定ファイルの形式」を参照してください。

次の共有 config ファイルの例では、dev プロファイルを使用して SDK またはツールを設定し、IAM Identity Center の認証情報をリクエストします。

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

前の例は sso-session セクションの定義とプロファイルへの関連付けを示しています。SDK が AWS 認証情報をリクエストできるように、通常、sso_account_id と sso_role_name は profile セクション内に設定する必要があります。sso_region、sso_start_url、および sso_registration_scopes は sso-session セクション内に設定する必要があります。

sso_account_id と sso_role_name は SSO トークン設定のすべてのシナリオで必須というわけではありません。アプリケーションでベアラー認証をサポートする AWS のサービス のサービスのみを使用する場合、従来の AWS 認証情報は必要ありません。ベアラー認証は、ベアラートークンと呼ばれるセキュリティトークンを使用する HTTP 認証スキームです。このシナリオでは、sso_account_id と sso_role_name は必須ではありません。サービスがベアラートークン認可をサポートしているかどうかについては、個別の AWS のサービスのガイドを参照してください。

登録スコープは sso-session の一部として設定されます。スコープは、ユーザーのアカウントに対するアプリケーションのアクセスを制限する OAuth 2.0 のメカニズムです。前の例では、アカウントとロールを一覧表示するために必要なアクセスを許可するように sso_registration_scopes を設定しています。

次の例は、複数のプロファイルで同じ sso-session 設定を再利用する方法を示しています。

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

認証トークンは、セッション名に基づいたファイル名を使用して、~/.aws/sso/cache ディレクトリの下のディスクにキャッシュされます。

更新不可のレガシー設定

トークンの自動更新は、更新不可のレガシー設定ではサポートされていません。代わりに、SSO トークンプロバイダー設定 の使用をお勧めします。

更新不可のレガシー設定を使用するには、プロファイル内で次の設定を指定する必要があります。

プロファイルのユーザーポータルは、 sso_start_url および sso_region 設定を使用して指定します。アクセス許可は sso_account_id および sso_role_name 設定で指定します。

次の例では、 config ファイルに 4 つの必要となる値を設定します。

[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole

認証トークンは、sso_start_url に基づいたファイル名を使用して、~/.aws/sso/cache ディレクトリの下のディスクにキャッシュされます。

IAM Identity Center 認証情報プロバイダーの設定

AWS SDK とツールによるサポート

以下の SDK は、このトピックで説明する機能と設定をサポートします。部分的な例外があれば、すべて記載されています。JVM システムプロパティ設定は、AWS SDK for Java と AWS SDK for Kotlin でのみサポートされます。