Schritt 1: Authentifizierung in IAM Identity Center Schritt 2: Erfassen Ihrer Informationen für IAM Identity Center Schritt 3: Erstellen von Amazon-S3-Buckets Schritt 4: Installieren Sie AWS CLI Schritt 5: Konfigurieren Ihres AWS CLI -Profils Schritt 6: Anmelden bei IAM Identity Center Schritt 7: Ausführen von Amazon-S3-Befehlen Schritt 8: Abmelden von IAM Identity Center Schritt 9: Ressourcen bereinigen Fehlerbehebung Weitere Ressourcen

Tutorial: Verwenden von IAM Identity Center zur Ausführung von Amazon S3 S3-Befehlen in AWS CLI

In diesem Thema wird beschrieben, wie Sie die Befehle AWS CLI zur Authentifizierung von Benutzern mit aktuellen AWS IAM Identity Center (IAM Identity Center) zum Abrufen von Anmeldeinformationen zum Ausführen AWS Command Line Interface (AWS CLI) für Amazon Simple Storage Service (Amazon S3) konfigurieren.

Themen

Schritt 1: Authentifizierung in IAM Identity Center
Schritt 2: Erfassen Ihrer Informationen für IAM Identity Center
Schritt 3: Erstellen von Amazon-S3-Buckets
Schritt 4: Installieren Sie AWS CLI
Schritt 5: Konfigurieren Ihres AWS CLI -Profils
Schritt 6: Anmelden bei IAM Identity Center
Schritt 7: Ausführen von Amazon-S3-Befehlen
Schritt 8: Abmelden von IAM Identity Center
Schritt 9: Ressourcen bereinigen
Fehlerbehebung
Weitere Ressourcen

Schritt 1: Authentifizierung in IAM Identity Center

Besorgen Sie sich Zugriff auf die SSO-Authentifizierung in IAM Identity Center. Wählen Sie eine der folgenden Methoden, um auf Ihre AWS Anmeldeinformationen zuzugreifen.

Folgen Sie den Anweisungen unter Erste Schritte im AWS IAM Identity Center -Benutzerhandbuch. Dieser Prozess aktiviert IAM Identity Center, erstellt einen Administratorbenutzer und fügt einen entsprechenden Berechtigungssatz mit der geringsten Berechtigung hinzu.

Anmerkung

Erstellen Sie einen Berechtigungssatz, der Berechtigungen mit der geringsten Berechtigung anwendet. Wir empfehlen, den vordefinierten PowerUserAccess-Berechtigungssatz zu verwenden, es sei denn, Ihr Arbeitgeber hat zu diesem Zweck einen benutzerdefinierten Berechtigungssatz erstellt.

Verlassen Sie das Portal und melden Sie sich erneut an AWS-Konten, um Ihre programmatischen Zugangsdaten und Optionen für Administrator oder PowerUserAccess zu sehen. Wählen Sie PowerUserAccess aus, wenn Sie mit dem SDK arbeiten.

Melden Sie sich AWS über das Portal Ihres Identitätsanbieters an. Wenn Ihr Cloud-Administrator Ihnen PowerUserAccess (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.

Benutzerdefinierte Implementierungen können zu unterschiedlichen Erfahrungen führen, z. B. zu unterschiedlichen Namen von Berechtigungssätzen. Wenn Sie sich nicht sicher sind, welchen Berechtigungssatz Sie verwenden sollen, wenden Sie sich an Ihr IT-Team.

Melden Sie sich AWS über Ihr AWS Zugangsportal an. Wenn Ihr Cloud-Administrator Ihnen PowerUserAccess (Entwickler-) Berechtigungen erteilt hat, sehen Sie, auf AWS-Konten welche Sie Zugriff haben, und Ihren Berechtigungssatz. Neben dem Namen Ihres Berechtigungssatzes sehen Sie Optionen für den manuellen oder programmgesteuerten Zugriff auf die Konten mithilfe dieses Berechtigungssatzes.

Wenden Sie sich an Ihr IT-Team, um Hilfe zu erhalten.

Schritt 2: Erfassen Ihrer Informationen für IAM Identity Center

Nachdem Sie Zugriff auf erhalten haben AWS, sammeln Sie Ihre IAM Identity Center-Informationen, indem Sie wie folgt vorgehen:

Sammeln Sie Ihre SSO Region- und SSO Start URL-Werte, die Sie für die Ausführung von aws configure sso benötigen.
1. Wählen Sie in Ihrem AWS Zugriffsportal den Berechtigungssatz aus, den Sie für die Entwicklung verwenden, und klicken Sie auf den Link Zugriffstasten.
2. Wählen Sie im Dialogfeld Anmeldeinformationen abrufen die Registerkarte aus, die Ihrem Betriebssystem entspricht.
3. Wählen Sie die Methode Anmeldeinformationen für IAM Identity Center aus, um die Werte für SSO Start URL und SSO Region abzurufen.
Alternativ können Sie ab Version 2.22.0 die neue Aussteller-URL anstelle der Start-URL verwenden. Die Aussteller-URL befindet sich in der AWS IAM Identity Center Konsole an einem der folgenden Orte:
- Auf der Dashboard-Seite finden Sie die Aussteller-URL in der Einstellungsübersicht.
- Auf der Seite Einstellungen finden Sie die Aussteller-URL in den Einstellungen für die Identitätsquelle.
Informationen dazu, welcher Bereichswert registriert werden muss, finden Sie unter OAuth 2.0 Access Scopes im IAM Identity Center-Benutzerhandbuch.

Schritt 3: Erstellen von Amazon-S3-Buckets

Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

Erstellen Sie für dieses Tutorial einige Buckets, die später in einer Liste abgerufen werden sollen.

Schritt 4: Installieren Sie AWS CLI

Installieren Sie die AWS CLI folgenden Anweisungen für Ihr Betriebssystem. Weitere Informationen finden Sie unter Installation oder Aktualisierung der neuesten Version von AWS CLI..

Nach der Installation können Sie die Installation überprüfen, indem Sie Ihr bevorzugtes Terminal öffnen und den folgenden Befehl ausführen. Dies sollte Ihre installierte Version von anzeigen AWS CLI.


$ aws --version

Schritt 5: Konfigurieren Ihres AWS CLI -Profils

Konfigurieren Sie Ihr Profil mithilfe einer der folgenden Methoden:

Der sso-session Abschnitt der config Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von AWS Anmeldeinformationen verwendet werden können. Die folgenden Einstellungen werden verwendet:

(Erforderlich) sso_start_url
(Erforderlich) sso_region
sso_account_id
sso_role_name
sso_registration_scopes

Sie definieren einen sso-session-Abschnitt und ordnen ihn einem Profil zu. Die Einstellungen sso_region und sso_start_url müssen innerhalb des sso-session-Abschnitts festgelegt werden. Normalerweise müssen sso_account_id und sso_role_name im profile-Abschnitt festgelegt werden, damit das SDK SSO-Anmeldeinformationen anfordern kann.

Im folgenden Beispiel wird das SDK für die Anforderung von SSO-Anmeldeinformationen konfiguriert und es wird eine automatische Token-Aktualisierung unterstützt:


$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

Für die Dual-Stack-Unterstützung können Sie das Dual-Stack-SSO-Start-URL-Format verwenden:


$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

Die Autorisierung mit Proof Key for Code Exchange (PKCE) wird ab Version 2.22.0 der AWS CLI standardmäßig verwendet und muss auf Geräten mit einem Browser genutzt werden. Um die Geräteautorisierung weiterhin zu verwenden, fügen Sie die Option --use-device-code hinzu.


$ aws configure sso --use-device-code

Der sso-session Abschnitt der config Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von Anmeldeinformationen verwendet werden können. AWS Die folgenden Einstellungen werden verwendet:

(Erforderlich) sso_start_url
(Erforderlich) sso_region
sso_account_id
sso_role_name
sso_registration_scopes

Sie definieren einen sso-session-Abschnitt und ordnen ihn einem Profil zu. sso_region und sso_start_url müssen innerhalb des sso-session-Abschnitts festgelegt werden. Normalerweise müssen sso_account_id und sso_role_name im profile-Abschnitt festgelegt werden, damit das SDK SSO-Anmeldeinformationen anfordern kann.

Im folgenden Beispiel wird das SDK für die Anforderung von SSO-Anmeldeinformationen konfiguriert und es wird eine automatische Token-Aktualisierung unterstützt:


[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Verwenden Sie für Dual-Stack-Unterstützung das Dual-Stack-SSO-Start-URL-Format:


[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access

Das Authentifizierungs-Token wird auf der Festplatte unter dem Verzeichnis ~/.aws/sso/cache mit einem Dateinamen zwischengespeichert, der auf dem Sitzungsnamen basiert.

Anmerkung

Während des Anmeldevorgangs werden Sie möglicherweise aufgefordert, den AWS CLI Zugriff auf Ihre Daten zu gewähren. Da AWS CLI das auf dem SDK für Python aufbaut, können Berechtigungsnachrichten Variationen des botocore Namens enthalten.

Um Ihre Anmeldeinformationen für IAM Identity Center abzurufen und zwischenzuspeichern, führen Sie den folgenden Befehl für die AWS CLI aus, um Ihren Standardbrowser zu öffnen und Ihre Anmeldung bei IAM Identity Center zu überprüfen.


$ aws sso login --profile my-dev-profile

Ab der Version 2.22.0 ist die PKCE-Autorisierung die Standardeinstellung. Um die Geräteautorisierung für die Anmeldung zu verwenden, fügen Sie die Option --use-device-code hinzu.


$ aws sso login --profile my-dev-profile --use-device-code

Schritt 7: Ausführen von Amazon-S3-Befehlen

Verwenden Sie den Befehl aws s3 ls, um die Buckets aufzulisten, die Sie zuvor erstellt haben. Das folgende Beispiel listet alle Ihre Amazon-S3-Buckets auf.


$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2

Schritt 8: Abmelden von IAM Identity Center

Wenn Sie Ihr Profil für IAM Identity Center nicht mehr verwenden, führen Sie den folgenden Befehl aus, um Ihre zwischengespeicherten Anmeldeinformationen zu löschen.


$ aws sso logout
Successfully signed out of all SSO profiles.

Schritt 9: Ressourcen bereinigen

Wenn Sie mit diesem Tutorial fertig sind, bereinigen Sie alle Ressourcen, die Sie in diesem Tutorial erstellt haben und nicht mehr benötigen, einschließlich Amazon-S3-Buckets.

Fehlerbehebung

Wenn Sie bei der Verwendung von auf Probleme stoßen AWS CLI, finden Sie unter Häufig Behebung von Fehlern für den AWS CLI gestellte Schritte zur Problembehebung.

Weitere Ressourcen

Die folgenden zusätzlichen Ressourcen stehen zur Verfügung.

AWS IAM Identity Center-Konzepte für die AWS CLI
Konfiguration der IAM Identity Center-Authentifizierung mit dem AWS CLI
Installation oder Aktualisierung der neuesten Version von AWS CLI.
Einstellungen der Konfigurations- und Anmeldeinformationsdatei in der AWS CLI
aws configure sso in der Referenz zu AWS CLI Version 2
aws configure sso-session in der Referenz zu AWS CLI Version 2
aws sso login in der Referenz zu AWS CLI Version 2
aws sso logout in der Referenz zu AWS CLI Version 2
Einrichtung für die Verwendung von AWS CLI with CodeCatalyst im CodeCatalyst Amazon-Benutzerhandbuch
OAuth 2.0 Zugriffsbereiche im IAM Identity Center-Benutzerhandbuch
Tutorials für die ersten Schritte im Benutzerhandbuch zu IAM Identity Center

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Konzepte für IAM Identity Center

Kurzfristige Anmeldeinformationen