本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 設定 IAM Identity Center 身分驗證 AWS CLI
<a name="cli-configure-sso"></a>

本主題說明如何 AWS CLI 使用 AWS IAM Identity Center (IAM Identity Center) 設定 以擷取登入資料來執行 AWS CLI 命令。使用 IAM Identity Center 對使用者進行身分驗證，以取得登入資料以透過 `config` 檔案執行 AWS CLI 命令的方式主要有兩種：
+ **(建議)** SSO 權杖提供者組態。
+ 舊版不可重新整理的配置。

如需有關使用不使用帳戶 ID 和角色的承載身分驗證的資訊，請參閱《Amazon [ CodeCatalyst 使用者指南》中的設定 以 AWS CLI 搭配 CodeCatalyst 使用](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) 。 * CodeCatalyst *

**注意**  
如需搭配 AWS CLI 命令使用 IAM Identity Center 的引導程序，請參閱 [教學課程：使用 IAM Identity Center 在 中執行 Amazon S3 命令 AWS CLI](cli-configure-sso-tutorial.md)。

**主題**
+ [先決條件](#cli-configure-sso-prereqs)
+ [使用 `aws configure sso` 精靈設定您的設定檔](#cli-configure-sso-configure)
+ [使用 `aws configure sso-session` 精靈只設定 `sso-session` 區段](#cli-configure-sso-session)
+ [使用 `config` 檔案手動設定](#cli-configure-sso-manual)
+ [登入 IAM Identity Center 工作階段](#cli-configure-sso-login)
+ [使用您的 IAM Identity Center 設定檔執行命令](#cli-configure-sso-use)
+ [登出您的 IAM Identity Center 工作階段](#cli-configure-sso-logout)
+ [疑難排解](#cli-configure-sso-tshoot)
+ [相關資源](#cli-configure-sso-resources)

## 先決條件
<a name="cli-configure-sso-prereqs"></a>
+ 安裝 AWS CLI。如需詳細資訊，請參閱[安裝或更新至最新版本的 AWS CLI](getting-started-install.md)。
+ 您必須先有辦法存取 IAM Identity Center 中的 SSO 身分驗證。選擇下列其中一種方法來存取您的 AWS 登入資料。

### 我沒有透過 IAM Identity Center 建立存取權
<a name="idc-access"></a>

請遵循 *AWS IAM Identity Center 使用者指南*的[入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)說明。此程序可以啟動 IAM Identity Center、建立管理使用者，並新增適當的最低權限許可集。

**注意**  
建立套用最低權限許可的許可集。建議您使用預先定義的 `PowerUserAccess` 許可集，除非您的雇主已為此目的建立了自訂許可集。

結束入口網站並再次登入，以查看 AWS 帳戶或 `Administrator` 的程式設計存取詳細資訊和選項`PowerUserAccess`。在使用 SDK 時選取 `PowerUserAccess`。

### 我已經 AWS 可以透過我的雇主管理的聯合身分提供者 （例如 Azure AD 或 Okta) 存取
<a name="federated-access"></a>

透過 AWS 身分提供者的入口網站登入 。如果您的雲端管理員已授予您 `PowerUserAccess`（開發人員） 許可，您會看到您有權存取 AWS 帳戶 的 和許可集。您會在許可集名稱旁，看到使用該許可集手動或以程式設計方式存取帳戶的選項。

若您自訂實作，可能會產生不同體驗，例如不同的許可集名稱。若您不確定要使用哪個許可集，請聯絡您的 IT 團隊尋求協助。

### 我已經 AWS 可以透過我的雇主管理的 AWS 存取入口網站存取
<a name="accessportal-access"></a>

透過 AWS 您的 AWS 存取入口網站登入 。如果您的雲端管理員已授予您 `PowerUserAccess`（開發人員） 許可，您會看到您有權存取 AWS 帳戶 的 和許可集。您會在許可集名稱旁，看到使用該許可集手動或以程式設計方式存取帳戶的選項。

### 我已經能夠 AWS 透過由我的雇主管理的聯合身分自訂身分提供者存取
<a name="customfederated-access"></a>

請聯絡您的 IT 團隊尋求協助。

取得 IAM Identity Center 的存取權後，請執行下列動作來收集您的 IAM Identity Center 資訊：

1. 收集您需要執行 `aws configure sso` 的 `SSO Start URL` 和 `SSO Region` 值

   1. 在您的 AWS 存取入口網站中，選取您用於開發的許可集，然後選取**存取金鑰**連結。

   1. 在**取得憑證**對話方塊中，選擇符合您作業系統的索引標籤。

   1. 選擇 **IAM Identity Center 憑證**方法，以取得 `SSO Start URL` 和 `SSO Region` 值。

1. 或者，從 2.22.0 版起，您可以使用發行者 URL，而不是啟動 URL。發行者 URL 位於 AWS IAM Identity Center 主控台中下列其中一個位置：
   + 在**儀表板**頁面上，發行者 URL 位於設定摘要中。
   + 在**設定**頁面上，發行者 URL 位於**身分來源**設定中。

1. 如需要在哪些範圍註冊值的詳細資訊，請參閱《IAM Identity Center 使用者指南》**中的 [OAuth 2.0 存取範圍](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept)。

## 使用 `aws configure sso` 精靈設定您的設定檔
<a name="cli-configure-sso-configure"></a>

**若要為您的 AWS CLI設定 IAM Identity Center 設定檔：**

1. 在您偏好的終端機中執行 `aws configure sso` 命令。

------
#### [ (Recommended) IAM Identity Center ]

   建立工作階段名稱、提供您的 IAM Identity Center 啟動 URL 或發行者 URL、託管 IAM Identity Center 目錄 AWS 區域 的 ，以及註冊範圍。

   ```
   $ aws configure sso
   SSO session name (Recommended): my-sso
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]: us-east-1
   SSO registration scopes [None]: sso:account:access
   ```

   對於雙堆疊支援，請使用雙堆疊 SSO 啟動 URL：

   ```
   $ aws configure sso
   SSO session name (Recommended): my-sso
   SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
   SSO region [None]: us-east-1
   SSO registration scopes [None]: sso:account:access
   ```

   根據預設，從 2.22.0 版 AWS CLI 開始的 會使用 Code Exchange (PKCE) 授權的驗證金鑰，並且必須在具有瀏覽器的裝置上使用。 ****若要繼續使用裝置授權，請附加 `--use-device-code` 選項。

   ```
   $ aws configure sso --use-device-code
   ```

------
#### [ Legacy IAM Identity Center ]

   略過工作階段名稱，並提供您的 IAM Identity Center 啟動 URL，以及託管 Identity Center 目錄的 AWS 區域。

   ```
   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://my-sso-portal.awsapps.com/start
   SSO region [None]:us-east-1
   ```

   對於雙堆疊支援：

   ```
   $ aws configure sso
   SSO session name (Recommended):
   SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
   SSO region [None]:us-east-1
   ```

------

1. 會 AWS CLI 嘗試開啟預設瀏覽器，以進行 IAM Identity Center 帳戶的登入程序。此程序可能會提示您允許 AWS CLI 存取您的資料。由於 AWS CLI 建置在適用於 Python 的 SDK 之上，因此許可訊息可能包含`botocore`名稱的變化。
   + **如果 AWS CLI 無法開啟瀏覽器**，系統會根據您使用的授權類型，顯示手動啟動登入程序的指示。

------
#### [ PKCE authorization ]

     根據預設，從 2.22.0 版 AWS CLI 開始的 會使用 Code Exchange (PKCE) 授權的驗證金鑰。顯示的 URL 是唯一的 URL，開頭為：
     + IPv4：https：//*https://oidc.us-east-1.amazonaws.com/authorize*
     + 雙堆疊：https：//*https://oidc.us-east-1.api.aws/authorize*

     PKCE 授權 URL 必須在您登入的同一個裝置上開啟，且必須用於具有瀏覽器的裝置。

     ```
     Attempting to automatically open the SSO authorization page in your 
     default browser.
     If the browser does not open or you wish to use a different device to 
     authorize the request, open the following URL:
     
     https://oidc.us-east-1.amazonaws.com/authorize?<abbreviated>
     ```

------
#### [ Device authorization ]

     2.22.0 版之前的 AWS CLI 使用 OAuth 2.0 裝置授權。您可以使用 `--use-device-code` 選項在較新版本上啟用此方法。

     裝置授權 URL 不需要在您登入的同一個裝置上開啟，且可用於有或無瀏覽器的裝置。端點格式取決於您的組態：
     + IPv4：https：//*https://device.sso.us-west-2.amazonaws.com/*
     + 雙堆疊：https：//*https://device.sso.us-west-2.api.aws/*

     ```
     If the browser does not open or you wish to use a different device to 
     authorize this request, open the following URL:
     https://device.sso.us-west-2.amazonaws.com/
     
     Then enter the code:
     QCFK-N451
     ```

------

1. 從顯示的清單中選擇要使用 AWS 的帳戶。如果您有權僅使用一個帳戶，則 AWS CLI 會自動選取該帳戶並略過提示。

   ```
   There are 2 AWS accounts available to you.
   > DeveloperAccount, developer-account-admin@example.com (123456789011) 
     ProductionAccount, production-account-admin@example.com (123456789022)
   ```

1. 從顯示的清單中選擇要使用的 IAM 角色。如果只有一個角色可用， AWS CLI 會自動選取該角色並略過提示。

   ```
   Using the account ID 123456789011
   There are 2 roles available to you.
   > ReadOnly
     FullAccess
   ```

1. 指定[預設輸出格式](cli-configure-files.md#cli-config-output)、要將命令傳往的[預設 AWS 區域](cli-configure-files.md#cli-config-region)，以及[設定檔名稱](cli-configure-files.md)。如果您指定 `default` 做為設定檔名稱，則此設定檔會成為使用的預設設定檔。在下列範例中，使用者會輸入預設區域、預設輸出格式和設定檔的名稱。

   ```
   Default client Region [None]: us-west-2<ENTER>
   CLI default output format (json if not specified) [None]: json<ENTER>
   Profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>
   ```

1. 最後一則訊息說明完成的設定檔組態。您現在可以使用此設定檔來請求憑證。使用 `aws sso login` 命令來請求和擷取執行命令所需的憑證。如需說明，請參閱[登入 IAM Identity Center 工作階段](#cli-configure-sso-login)。

### 產生的組態檔案
<a name="cli-configure-sso-generated"></a>

這些步驟會造成在 `config` 檔案中建立 `sso-session` 區段及具名設定檔，如下所示：

------
#### [ IAM Identity Center ]

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

對於雙堆疊支援：

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

------
#### [ Legacy IAM Identity Center ]

```
[profile my-dev-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```

對於雙堆疊支援：

```
[profile my-dev-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-east-1
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json
```

------

## 使用 `aws configure sso-session` 精靈只設定 `sso-session` 區段
<a name="cli-configure-sso-session"></a>

**注意**  
此組態與舊版 IAM Identity Center 不相容。

`aws configure sso-session` 命令會更新 `~/.aws/config` 檔案中的 `sso-session` 區段。執行 `aws configure sso-session`命令並提供您的 IAM Identity Center 啟動 URL 或發行者 URL，以及託管 AWS IAM Identity Center 目錄的區域。

```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

對於雙堆疊支援，請使用雙堆疊 SSO 啟動 URL：

```
$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

## 使用 `config` 檔案手動設定
<a name="cli-configure-sso-manual"></a>

IAM Identity Center 組態資訊會存放在 `config` 檔案中，且可以使用文字編輯器進行編輯。若要手動將 IAM Identity Center 支援新增至具名設定檔，您必須將索引鍵和值新增至 `config` 檔案。

### IAM Identity Center 使用者組態
<a name="cli-configure-sso-manual-config"></a>

`config` 檔案的 `sso-session`區段用於將用於取得 SSO 存取權杖的組態變數分組，然後可用於取得 AWS 登入資料。使用下列的設定：
+ **(必要)** `sso\$1start\$1url`
+ **(必要)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

您可以定義 `sso-session` 區段，並將其與設定檔建立關聯。`sso_region` 和 `sso_start_url` 設定必須在 `sso-session` 區段中設定。一般而言，`sso_account_id` 和 `sso_role_name` 必須在 `profile` 區段中設定，以讓開發套件請求 SSO 憑證。

下列範例會將開發套件設定為請求 SSO憑認證，並支援自動字符重新整理：

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```

對於雙堆疊支援，請使用雙堆疊 SSO 啟動 URL 格式：

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```

這也讓 `sso-session` 組態能在多個設定檔中重複使用：

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
```

對於雙堆疊支援，請使用雙堆疊 SSO 啟動 URL 格式：

```
[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
```

然而，SSO 字符組態並非所有情況都需要 `sso_account_id` 和 `sso_role_name`。如果您的應用程式只使用支援承載身分驗證 AWS 的服務，則不需要傳統 AWS 登入資料。承載身分驗證是一種 HTTP 身分驗證結構描述，使用稱為承載字符的安全字符。在這種情況下，`sso_account_id` 和 `sso_role_name` 並非必要資訊。請參閱您 AWS 服務的個別指南，以判斷其是否支援承載字符授權。

此外，註冊範圍也可以設定為 `sso-session` 的一部分。範圍是 OAuth 2.0 中的一種機制，用於限制應用程式對使用者帳戶的存取。應用程式可以請求一個或多個範圍，則合法給應用程式的存取字符將僅限於授予的範圍。這些範圍定義為已註冊 OIDC 用戶端和用戶端擷取的存取字符進行授權所需請求的許可。下列範例設定 `sso_registration_scopes` 以提供列出帳戶/角色的存取權限：

```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

對於雙堆疊支援：

```
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

身分驗證字符會以基於工作階段名稱的檔案名稱快取至 `sso/cache` 目錄下的磁碟。

### 舊版 IAM Identity Center 組態檔案
<a name="cli-configure-sso-manual-legacy"></a>

**注意**  
使用舊版不可重新整理的組態，不支援自動字符重新整理。我們建議使用 SSO 字符組態。

若要手動將 IAM Identity Center 支援新增至具名設定檔，您必須將下列索引鍵和值新增至 `config` 檔案中的設定檔定義。
+ `sso\$1start\$1url`
+ `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`

您可以在 `.aws/config` 檔案中包含有效的任何其他索引鍵和值。以下範例是 IAM Identity Center 設定檔：

```
[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```

對於雙堆疊支援：

```
[profile my-sso-profile]
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_region = us-west-2
sso_account_id = 111122223333
sso_role_name = SSOReadOnlyRole
region = us-west-2
output = json
```

若要執行命令，您必須先進行 [登入 IAM Identity Center 工作階段](#cli-configure-sso-login) 來請求和擷取暫時憑證。

如需 `config` 和 `credentials` 檔案的詳細資訊，請參閱 [中的組態和登入資料檔案設定 AWS CLI](cli-configure-files.md)。

## 登入 IAM Identity Center 工作階段
<a name="cli-configure-sso-login"></a>

**注意**  
登入程序可能會提示您允許 AWS CLI 存取您的資料。由於 AWS CLI 建置在適用於 Python 的 SDK 之上，因此許可訊息可能包含`botocore`名稱的變化。

若要擷取和快取 IAM Identity Center 憑證集，請為 AWS CLI 執行下列命令，以開啟預設瀏覽器並驗證您的 IAM Identity Center 登入。

```
$ aws sso login --profile my-dev-profile
SSO authorization page has automatically been opened in your default browser. 
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start
```

您的 IAM Identity Center 工作階段登入資料會快取，而 AWS CLI 會使用它們來安全地擷取設定檔中指定之 IAM 角色的 AWS 登入資料。

### 如果 AWS CLI 無法開啟您的瀏覽器
<a name="cli-configure-sso-login-browser"></a>

如果 AWS CLI 無法自動開啟您的瀏覽器，系統會根據您使用的授權類型，顯示手動啟動登入程序的指示。

------
#### [ PKCE authorization ]

根據預設，從 2.22.0 版 AWS CLI 開始的 會使用 Code Exchange (PKCE) 授權的驗證金鑰。顯示的 URL 是唯一的 URL，開頭為：
+ IPv4：https：//*https://oidc.us-east-1.amazonaws.com/authorize*
+ 雙堆疊：https：//*https://oidc.us-east-1.api.aws/authorize*

PKCE 授權 URL 必須在您登入的同一個裝置上開啟，且必須用於具有瀏覽器的裝置。

```
Attempting to automatically open the SSO authorization page in your 
default browser.
If the browser does not open or you wish to use a different device to 
authorize the request, open the following URL:

https://oidc.us-east-1.amazonaws.com/authorize?<abbreviated>
```

------
#### [ Device authorization ]

2.22.0 之前的 AWS CLI 版本使用 OAuth 2.0 裝置授權。您可以使用 `--use-device-code` 選項在較新版本上啟用此方法。

裝置授權 URL 不需要在您登入的同一個裝置上開啟，且可用於有或無瀏覽器的裝置。

```
If the browser does not open or you wish to use a different device to 
authorize this request, open the following URL:
https://device.sso.us-west-2.amazonaws.com/

Then enter the code:
QCFK-N451
```

------

您也可以指定使用 `aws sso login` 指令的 `--sso-session` 參數登入時要使用的 `sso-session` 設定檔。`sso-session` 選項不適用於舊版 IAM Identity Center。

```
$ aws sso login --sso-session my-dev-session
```

自 2.22.0 版起，PKCE 授權為預設值。若要使用裝置授權登入，請新增 `--use-device-code` 選項。

```
$ aws sso login --profile my-dev-profile --use-device-code
```

身分驗證權杖會以基於 `sso_start_url` 的檔案名稱快取至 `~/.aws/sso/cache` 目錄下的磁碟。

## 使用您的 IAM Identity Center 設定檔執行命令
<a name="cli-configure-sso-use"></a>

登入後，您可以使用 登入資料來呼叫具有相關聯具名設定檔的 AWS CLI 命令。下列範例使用設定檔顯示命令：

```
$ aws sts get-caller-identity --profile my-dev-profile
```

只要您已登入 IAM Identity Center，且這些快取的登入資料尚未過期， 就會視需要 AWS CLI 自動續約過期的 AWS 登入資料。但是，如果您的 IAM Identity Center 憑證過期，必須重新登入您的 IAM Identity Center 帳戶，以明確更新它們。

## 登出您的 IAM Identity Center 工作階段
<a name="cli-configure-sso-logout"></a>

完成使用 IAM Identity Center 設定檔後，您可以讓憑證過期，或執行下列命令來刪除快取的憑證。

```
$ aws sso logout
Successfully signed out of all SSO profiles.
```

## 疑難排解
<a name="cli-configure-sso-tshoot"></a>

如果您使用 遇到問題 AWS CLI，請參閱 [故障診斷 的錯誤 AWS CLI](cli-chap-troubleshooting.md) 以取得疑難排解步驟。

## 相關資源
<a name="cli-configure-sso-resources"></a>

其他資源如下所示。
+ [AWS CLI 的 AWS IAM Identity Center 概念](cli-configure-sso-concepts.md)
+ [教學課程：使用 IAM Identity Center 在 中執行 Amazon S3 命令 AWS CLI](cli-configure-sso-tutorial.md)
+ [安裝或更新至最新版本的 AWS CLI](getting-started-install.md)
+ [中的組態和登入資料檔案設定 AWS CLI](cli-configure-files.md)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html)
+ 《Amazon[ CodeCatalyst 使用者指南》中的設定 以 AWS CLI 搭配](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) CodeCatalyst 使用 * CodeCatalyst *
+ 《IAM Identity Center 使用者指南》**中的 [OAuth 2.0 存取範圍](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept)
+ 《IAM Identity Center 使用者指南》**中的[入門教學課程](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)

# AWS CLI 的 AWS IAM Identity Center 概念
<a name="cli-configure-sso-concepts"></a>

本主題說明 AWS IAM Identity Center (IAM Identity Center) 的主要概念。IAM Identity Center 是一種雲端型 IAM 服務，透過與現有身分提供者 (IdP) 整合，簡化跨多個 AWS 帳戶、應用程式、SDK 和工具的使用者存取管理。它透過集中式使用者入口網站啟用安全的單一登入、許可管理和稽核，簡化組織的身分和存取控管。

**Topics**
+ [什麼是 IAM Identity Center](#cli-configure-sso-concepts-what)
+ [條款](#cli-configure-sso-terms)
+ [IAM Identity Center 的運作方式](#cli-configure-sso-concepts-process)
+ [其他資源](#cli-configure-sso-concepts-resources)

## 什麼是 IAM Identity Center
<a name="cli-configure-sso-concepts-what"></a>

IAM Identity Center 是一種雲端型身分和存取管理 (IAM) 服務，可讓您集中管理對多個 AWS 帳戶 和商業應用程式的存取。

它提供使用者入口網站，在此授權使用者可以使用其現有的公司憑證，來存取他們獲授予許可的 AWS 帳戶 和應用程式。這可讓組織強制執行一致的安全政策，並簡化使用者存取管理。

無論您使用哪種 IdP，IAM Identity Center 都會將這些區別擷取出來。例如，您可以按照部落格文章 [IAM Identity Center 的下一個演變](https://aws.amazon.com/blogs/aws/the-next-evolution-in-aws-single-sign-on/)中所述的方法連線 Microsoft Azure AD。

**注意**  
如需使用不需帳戶 ID 和角色之承載驗證的相關資訊，請參閱 *Amazon CodeCatalyst 使用者指南*中的[設定以將 AWS CLI 搭配 CodeCatalyst 使用](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html)。

## 條款
<a name="cli-configure-sso-terms"></a>

使用 IAM Identity Center 時的常用術語如下：

**身分提供者 (IdP)**  
身分管理系統，例如 IAM Identity Center、Microsoft Azure AD、Okta 或您自己的公司目錄服務。

**AWS IAM Identity Center**  
IAM Identity Center 是 AWS 擁有的 IdP 服務。SDK 以前稱為 AWS 單一登入，其與工具會保留 `sso` API 命名空間以確保回溯相容性。如需詳細資訊，請參閱《AWS IAM Identity Center 使用者指南》**中的 [IAM Identity Center 重新命名](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed)。

**AWS 存取入口網站 URL、SSO 啟動 URL、啟動 URL**  
您組織的唯一 IAM Identity Center URL，以存取授權的 AWS 帳戶、服務和資源。

**發行者 URL**  
您組織的唯一 IAM Identity Center 發行者 URL，以程式設計方式存取授權的 AWS 帳戶、服務和資源。從 AWS CLI 的 2.22.0 版開始，發行者 URL 可以與啟動 URL 交替使用。

**聯合**  
在 IAM Identity Center 與身分提供者之間建立信任的程序，以啟用單一登入 (SSO)。

**AWS 帳戶**  
您透過 AWS IAM Identity Center 為使用者提供其存取權的 AWS 帳戶。

**許可集、AWS 憑證、憑證、sigv4 憑證**  
可指派給使用者或群組以授予 AWS 服務 存取權的預先定義許可集合。

**註冊範圍、存取範圍、範圍**  
範圍是 OAuth 2.0 中的一種機制，用於限制應用程式對使用者帳戶的存取。應用程式可以請求一個或多個範圍，則核發給應用程式的存取權杖僅限於授予的範圍。如需範圍的相關資訊，請參閱《IAM Identity Center 使用者指南》**中的[存取範圍](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept)。

**權杖、重新整理權杖、存取權杖**  
權杖是在身分驗證時核發給您的臨時安全憑證。這些權杖包含有關您的身分和已授予您之許可的資訊。  
當您透過 IAM Identity Center 入口網站存取 AWS 資源或應用程式時，會向 AWS 呈現您的權杖以進行身分驗證和授權。這可讓 AWS 驗證您的身分，並確保您擁有執行所請求動作的必要許可。  
系統會根據工作階段名稱將身分驗證權杖快取至以 JSON 檔案名稱為名之 `~/.aws/sso/cache` 目錄下的磁碟。

**Session (工作階段)**  
IAM Identity Center 工作階段是指驗證使用者身分並授權使用者存取 AWS 資源或應用程式的一段時間。當使用者登入 IAM Identity Center 入口網站時，會建立工作階段，且使用者的權杖在指定的持續時間內有效。如需設定工作階段持續時間的詳細資訊，請參閱《AWS IAM Identity Center 使用者指南》**中的[設定工作階段持續時間](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html)。  
在工作階段期間，您可以在不同的 AWS 帳戶和應用程式之間瀏覽，無需重新驗證身分，只要其工作階段保持作用中狀態即可。當工作階段過期時，請再次登入以續約您的存取權。  
IAM Identity Center 工作階段有助於提供無縫使用者體驗，同時透過限制使用者存取憑證的有效性來強制執行安全最佳實務。

**使用 PKCE、PKCE、代碼交換證明金鑰授予的授權碼**  
自 2.22.0 版起，代碼交換證明金鑰 (PKCE) 是具有瀏覽器之裝置的 OAuth 2.0 身分驗證授予流程。PKCE 是一種簡單且安全的方式，可讓您透過 Web 瀏覽器來驗證身分和取得從桌面和行動裝置存取您 AWS 資源的同意。這是預設的授權行為。如需 PKCE 的詳細資訊，請參閱《AWS IAM Identity Center 使用者指南》**中的[使用 PKCE 授予授權碼](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#auth-code-grant-pkce)。

**裝置授權授予**  
具有或不具有 Web 瀏覽器之裝置的 OAuth 2.0 身分驗證授予流程。如需設定工作階段持續時間的詳細資訊，請參閱《AWS IAM Identity Center 使用者指南》**中的[裝置授權授予](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#device-auth-grant)。

## IAM Identity Center 的運作方式
<a name="cli-configure-sso-concepts-process"></a>

IAM Identity Center 會與您組織的身分提供者整合，例如 IAM Identity Center、Microsoft Azure AD 或 Okta。使用者對此身分提供者進行身分驗證，然後 IAM Identity Center 將這些身分映射到您 AWS 環境中的適當許可和存取權。

下列 IAM Identity Center 工作流程假設您已將 AWS CLI 設定為使用 IAM Identity Center：

1. 在您偏好的終端機中執行 `aws sso login` 命令。

1. 登入您的 AWS 存取入口網站 以啟動新的工作階段。
   + 當您啟動新的工作階段時，會收到重新整理權杖和已快取的存取權杖。
   + 如果您已經有作用中的工作階段，則現有的工作階段會重複使用，並在現有的工作階段過期時過期。

1. IAM Identity Center 會根據您在 `config` 檔案中設定的設定檔，取得適當的許可集，並授予相關 AWS 帳戶 和應用程式的存取權。

1. AWS CLI、SDK 和工具會使用您擔任的 IAM 角色來呼叫 AWS 服務，例如建立 Amazon S3 儲存貯體，直到該工作階段過期為止。

1. 每小時會檢查 IAM Identity Center 的存取權杖一次，並自動使用重新整理權杖重新整理。
   + 如果存取權杖已過期，SDK 或工具會使用重新整理權杖來取得新的存取權杖。然後會比較這些權杖的工作階段持續時間，如果重新整理權杖未過期，則 IAM Identity Center 會提供新的存取權杖。
   + 如果重新整理權杖已過期，則不會提供新的存取權杖，且您的工作階段已結束。

1. 工作階段會在重新整理權杖過期後結束，或在您使用 `aws sso logout` 命令手動登出時結束。快取的憑證會移除。若要繼續使用 IAM Identity Center 來存取服務，您必須使用 `aws sso login` 命令啟動新的工作階段。

## 其他資源
<a name="cli-configure-sso-concepts-resources"></a>

其他資源如下所示。
+ [使用 設定 IAM Identity Center 身分驗證 AWS CLI](cli-configure-sso.md)
+ [教學課程：使用 IAM Identity Center 在 中執行 Amazon S3 命令 AWS CLI](cli-configure-sso-tutorial.md)
+ [安裝或更新至最新版本的 AWS CLI](getting-started-install.md)
+ [中的組態和登入資料檔案設定 AWS CLI](cli-configure-files.md)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html)
+ 《Amazon CodeCatalyst 使用者指南》**中的[設定以將 AWS CLI 搭配 CodeCatalyst 使用](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html)
+ 《AWS IAM Identity Center 使用者指南》**中的 [IAM Identity Center 重新命名](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html#renamed)
+ *IAM Identity Center 使用者指南*中的 [OAuth 2.0 存取範圍](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept)
+ 《AWS IAM Identity Center 使用者指南》**中的[設定工作階段持續時間](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html)
+ 《IAM Identity Center 使用者指南》**中的[入門教學課程](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)

# 教學課程：使用 IAM Identity Center 在 中執行 Amazon S3 命令 AWS CLI
<a name="cli-configure-sso-tutorial"></a>

本主題說明如何設定 AWS CLI 以使用目前的 AWS IAM Identity Center (IAM Identity Center) 驗證使用者，以擷取 Amazon Simple Storage Service (Amazon S3) 的登入資料以執行 AWS Command Line Interface (AWS CLI) 命令。

**Topics**
+ [步驟 1：在 IAM Identity Center 中驗證身分](#cli-configure-sso-tutorial-authentication)
+ [步驟 2：收集您的 IAM Identity Center 資訊](#cli-configure-sso-tutorial-gather)
+ [步驟 1：建立 Amazon S3 儲存貯體](#cli-configure-sso-tutorial-buckets)
+ [步驟 4：安裝 AWS CLI](#cli-configure-sso-tutorial-install)
+ [步驟 5：設定您的 AWS CLI 設定檔](#cli-configure-sso-tutorial-configure)
+ [步驟 6：登入 IAM Identity Center](#cli-configure-sso-tutorial-login.title)
+ [步驟 7：執行 Amazon S3 命令](#cli-configure-sso-tutorial-commands)
+ [步驟 8：登出 IAM Identity Center](#cli-configure-sso-tutorial-logout)
+ [步驟 9：清除資源](#cli-configure-sso-tutorial-cleanup)
+ [疑難排解](#cli-configure-sso-tutorial-tshoot)
+ [其他資源](#cli-configure-sso-tutorial-resources.title)

## 步驟 1：在 IAM Identity Center 中驗證身分
<a name="cli-configure-sso-tutorial-authentication"></a>

取得 IAM Identity Center 內 SSO 身分驗證的存取權。選擇下列其中一種方法來存取您的 AWS 登入資料。

### 我沒有透過 IAM Identity Center 建立存取權
<a name="idc-access"></a>

請遵循 *AWS IAM Identity Center 使用者指南*的[入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)說明。此程序可以啟動 IAM Identity Center、建立管理使用者，並新增適當的最低權限許可集。

**注意**  
建立套用最低權限許可的許可集。建議您使用預先定義的 `PowerUserAccess` 許可集，除非您的雇主已為此目的建立了自訂許可集。

結束入口網站並再次登入，以查看 AWS 帳戶或 `Administrator` 的程式設計存取詳細資訊和選項`PowerUserAccess`。在使用 SDK 時選取 `PowerUserAccess`。

### 我已經 AWS 可以透過我的雇主管理的聯合身分提供者 （例如 Azure AD 或 Okta) 存取
<a name="federated-access"></a>

透過 AWS 身分提供者的入口網站登入 。如果您的雲端管理員已授予您 `PowerUserAccess`（開發人員） 許可，您會看到您有權存取 AWS 帳戶 的 和許可集。您會在許可集名稱旁，看到使用該許可集手動或以程式設計方式存取帳戶的選項。

若您自訂實作，可能會產生不同體驗，例如不同的許可集名稱。若您不確定要使用哪個許可集，請聯絡您的 IT 團隊尋求協助。

### 我已經 AWS 可以透過我的雇主管理的 AWS 存取入口網站存取
<a name="accessportal-access"></a>

透過 AWS 您的 AWS 存取入口網站登入 。如果您的雲端管理員已授予您 `PowerUserAccess`（開發人員） 許可，您會看到您有權存取 AWS 帳戶 的 和許可集。您會在許可集名稱旁，看到使用該許可集手動或以程式設計方式存取帳戶的選項。

### 我已經能夠 AWS 透過由我的雇主管理的聯合身分自訂身分提供者存取
<a name="customfederated-access"></a>

請聯絡您的 IT 團隊尋求協助。

## 步驟 2：收集您的 IAM Identity Center 資訊
<a name="cli-configure-sso-tutorial-gather"></a>

取得 的存取權後 AWS，請執行下列動作來收集您的 IAM Identity Center 資訊：

1. 收集您需要執行 `aws configure sso` 的 `SSO Start URL` 和 `SSO Region` 值

   1. 在您的 AWS 存取入口網站中，選取您用於開發的許可集，然後選取**存取金鑰**連結。

   1. 在**取得憑證**對話方塊中，選擇符合您作業系統的索引標籤。

   1. 選擇 **IAM Identity Center 憑證**方法，以取得 `SSO Start URL` 和 `SSO Region` 值。

1. 或者，從 2.22.0 版起，您可以使用新發行者 URL，而不是啟動 URL。發行者 URL 位於 AWS IAM Identity Center 主控台中下列其中一個位置：
   + 在**儀表板**頁面上，發行者 URL 位於設定摘要中。
   + 在**設定**頁面上，發行者 URL 位於**身分來源**設定中。

1. 如需要在哪些範圍註冊值的詳細資訊，請參閱《IAM Identity Center 使用者指南》**中的 [OAuth 2.0 存取範圍](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept)。

## 步驟 1：建立 Amazon S3 儲存貯體
<a name="cli-configure-sso-tutorial-buckets"></a>

登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)：// 開啟 Amazon S3 主控台。

在本教學課程中，建立數個儲存貯體以供稍後在清單中擷取。

## 步驟 4：安裝 AWS CLI
<a name="cli-configure-sso-tutorial-install"></a>

為您的作業系統安裝 AWS CLI 下列指示。如需詳細資訊，請參閱[安裝或更新至最新版本的 AWS CLI](getting-started-install.md)。

安裝完成後，您可以開啟偏好的終端並執行下列命令來驗證安裝。這應該會顯示您已安裝的 版本 AWS CLI。

```
$ aws --version
```

## 步驟 5：設定您的 AWS CLI 設定檔
<a name="cli-configure-sso-tutorial-configure"></a>

使用下列其中一種方法來設定您的設定檔

### 使用 `aws configure sso` 精靈設定您的設定檔
<a name="li-configure-sso-tutorial-configure-wizard"></a>

`config` 檔案的 `sso-session`區段用於將用於取得 SSO 存取權杖的組態變數分組，然後可用於取得 AWS 登入資料。使用下列的設定：
+ **(必要)** `sso\$1start\$1url`
+ **(必要)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

您可以定義 `sso-session` 區段，並將其與設定檔建立關聯。`sso_region` 和 `sso_start_url` 設定必須在 `sso-session` 區段中設定。一般而言，`sso_account_id` 和 `sso_role_name` 必須在 `profile` 區段中設定，以讓開發套件請求 SSO 憑證。

下列範例會將開發套件設定為請求 SSO憑認證，並支援自動字符重新整理：

```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

對於雙堆疊支援，您可以使用雙堆疊 SSO 啟動 URL 格式：

```
$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
```

代碼交換證明金鑰 (PKCE) 授權自 2.22.0 版起為 AWS CLI 的預設值，且必須在具有瀏覽器的裝置上使用。若要繼續使用裝置授權，請附加 `--use-device-code` 選項。

```
$ aws configure sso --use-device-code
```

### 使用 `config` 檔案手動設定
<a name="cli-configure-sso-tutorial-configure-manual"></a>

`config` 檔案的 `sso-session`區段用於將用於取得 SSO 存取權杖的組態變數分組，然後可用於取得 AWS 登入資料。使用下列的設定：
+ **(必要)** `sso\$1start\$1url`
+ **(必要)** `sso\$1region`
+ `sso\$1account\$1id`
+ `sso\$1role\$1name`
+ `sso\$1registration\$1scopes`

定義 `sso-session` 區段並將其與設定檔相關聯。`sso_region` 和 `sso_start_url` 必須在 `sso-session` 區段內設定。一般而言，`sso_account_id` 和 `sso_role_name` 必須在 `profile` 區段中設定，以讓開發套件請求 SSO 憑證。

下列範例會將開發套件設定為請求 SSO憑認證，並支援自動字符重新整理：

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
```

對於雙堆疊支援，請使用雙堆疊 SSO 啟動 URL 格式：

```
[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access
```

身分驗證字符會以基於工作階段名稱的檔案名稱快取至 `~/.aws/sso/cache` 目錄下的磁碟。

## 步驟 6：登入 IAM Identity Center
<a name="cli-configure-sso-tutorial-login.title"></a>

**注意**  
登入程序可能會提示您允許 AWS CLI 存取您的資料。由於 AWS CLI 建置在適用於 Python 的 SDK 之上，因此許可訊息可能包含`botocore`名稱的變化。

若要擷取和快取 IAM Identity Center 憑證，請為 AWS CLI 執行下列命令，以開啟預設瀏覽器並驗證您的 IAM Identity Center 登入。

```
$ aws sso login --profile my-dev-profile
```

自 2.22.0 版起，PKCE 授權為預設值。若要使用裝置授權登入，請新增 `--use-device-code` 選項。

```
$ aws sso login --profile my-dev-profile --use-device-code
```

## 步驟 7：執行 Amazon S3 命令
<a name="cli-configure-sso-tutorial-commands"></a>

若要列出您先前建立的儲存貯體，請使用 [https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html](https://docs.aws.amazon.com/cli/latest/reference/s3/ls.html) 命令。以下範例列出您的所有 Amazon S3 儲存貯體。

```
$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2
```

## 步驟 8：登出 IAM Identity Center
<a name="cli-configure-sso-tutorial-logout"></a>

完成使用 IAM Identity Center 設定檔後，請執行下列命令來刪除快取的憑證。

```
$ aws sso logout
Successfully signed out of all SSO profiles.
```

## 步驟 9：清除資源
<a name="cli-configure-sso-tutorial-cleanup"></a>

完成本教學課程後，請清除任何您在本教學課程中建立但不再需要的資源，包括 Amazon S3 儲存貯體。

## 疑難排解
<a name="cli-configure-sso-tutorial-tshoot"></a>

如果您使用 遇到問題 AWS CLI，請參閱 [故障診斷 的錯誤 AWS CLI](cli-chap-troubleshooting.md) 以取得常見的故障診斷步驟。

## 其他資源
<a name="cli-configure-sso-tutorial-resources.title"></a>

其他資源如下所示。
+ [AWS CLI 的 AWS IAM Identity Center 概念](cli-configure-sso-concepts.md)
+ [使用 設定 IAM Identity Center 身分驗證 AWS CLI](cli-configure-sso.md)
+ [安裝或更新至最新版本的 AWS CLI](getting-started-install.md)
+ [中的組態和登入資料檔案設定 AWS CLI](cli-configure-files.md)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html)
+ 《AWS CLI 第 2 版參考》**中的 [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html)
+ 《Amazon[ CodeCatalyst 使用者指南》中的設定 以 AWS CLI 搭配](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) CodeCatalyst 使用 * CodeCatalyst *
+ 《IAM Identity Center 使用者指南》**中的 [OAuth 2.0 存取範圍](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept)
+ 《IAM Identity Center 使用者指南》**中的[入門教學課程](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)