Tutorial: Utilizzo di IAM Identity Center per eseguire i comandi Amazon S3 nel AWS CLI - AWS Command Line Interface
Fase 1: autenticazione tramite il Centro identità IAMFase 2: raccogliere le informazioni del Centro identità IAMFase 3: creazione dei bucket Amazon S3Passaggio 4: installa il AWS CLIFase 5: configurazione del profilo della AWS CLIFase 6: accesso al Centro identità IAMFase 7: esecuzione dei comandi Amazon S3 Fase 8: disconnessione dal Centro identità IAMFase 9: eliminazione delle risorseRisoluzione dei problemiRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial: Utilizzo di IAM Identity Center per eseguire i comandi Amazon S3 nel AWS CLI

Questo argomento descrive come configurare l'autenticazione degli utenti con la AWS CLI versione corrente AWS IAM Identity Center (IAM Identity Center) per recuperare le credenziali per i comandi run AWS Command Line Interface (AWS CLI) per (Amazon Amazon Simple Storage Service S3).

Fase 1: autenticazione tramite il Centro identità IAM

Ottieni l’accesso all’autenticazione SSO con il Centro identità IAM. Scegli uno dei seguenti metodi per accedere alle tue credenziali. AWS

Segui le istruzioni riportate in Nozioni di base nella Guida per l’utente di AWS IAM Identity Center . Questo processo attiva Centro identità IAM, crea un utente amministratore e aggiunge un set di autorizzazioni con privilegi minimi appropriato.

Nota

Crea un set di autorizzazioni per l’applicazione di autorizzazioni con privilegio minimo. Consigliamo di utilizzare il set di autorizzazioni PowerUserAccess predefinito, a meno che il datore di lavoro non ne abbia creato uno personalizzato a questo scopo.

Esci dal portale e accedi nuovamente per visualizzare i Account AWS dettagli di accesso programmatici e le opzioni per Administrator o. PowerUserAccess Seleziona PowerUserAccess quando utilizzi l’SDK.

Accedi AWS tramite il portale del tuo provider di identità. Se il tuo amministratore cloud ti ha concesso le autorizzazioni PowerUserAccess (sviluppatore), vedi quelle a Account AWS cui hai accesso e il tuo set di autorizzazioni. Accanto al nome del set di autorizzazioni, vengono visualizzate le opzioni per accedere agli account manualmente o a livello di programmazione utilizzando il set di autorizzazioni.

Le implementazioni personalizzate possono dare luogo a esperienze diverse, ad esempio nomi di set di autorizzazioni diversi. In caso di dubbi su quale set di autorizzazioni utilizzare, contatta il team IT per assistenza.

Accedi AWS tramite il tuo portale di AWS accesso. Se il tuo amministratore cloud ti ha concesso le autorizzazioni PowerUserAccess (sviluppatore), vedi quelle a Account AWS cui hai accesso e il tuo set di autorizzazioni. Accanto al nome del set di autorizzazioni, vengono visualizzate le opzioni per accedere agli account manualmente o a livello di programmazione utilizzando il set di autorizzazioni.

Contatta il team IT per assistenza.

Fase 2: raccogliere le informazioni del Centro identità IAM

Dopo aver ottenuto l'accesso a AWS, raccogli le informazioni del tuo IAM Identity Center effettuando le seguenti operazioni:

  1. Recupera i valori SSO Start URL e SSO Region necessari per eseguire aws configure sso

    1. Nel tuo portale di AWS accesso, seleziona il set di autorizzazioni che utilizzi per lo sviluppo e seleziona il link Access keys.

    2. Nella finestra di dialogo Ottieni le credenziali seleziona la scheda corrispondente al tuo sistema operativo.

    3. Scegli il metodo Credenziali Centro identità IAM per ottenere i valori SSO Start URL e SSO Region.

  2. In alternativa, a partire dalla versione 2.22.0 puoi utilizzare l’URL del nuovo emittente anziché l’URL di avvio. L'URL dell'emittente si trova nella AWS IAM Identity Center console in una delle seguenti posizioni:

    • Nella pagina Dashboard l’URL dell’emittente si trova nel riepilogo delle impostazioni.

    • Nella pagina Impostazioni l’URL dell’emittente si trova nelle impostazioni in Origine identità.

  3. Per informazioni sul valore degli ambiti da registrare, consulta OAuth 2.0 Access scopes nella Guida per l'utente di IAM Identity Center.

Fase 3: creazione dei bucket Amazon S3

Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

Per questo tutorial, crea alcuni bucket da recuperare successivamente in un elenco.

Passaggio 4: installa il AWS CLI

Installa AWS CLI le seguenti istruzioni per il tuo sistema operativo. Per ulteriori informazioni, consulta Installazione o aggiornamento dell’ultima versione di AWS CLI.

Una volta installato, puoi verificare l’installazione aprendo il tuo terminale preferito ed eseguendo il seguente comando. Dovrebbe essere visualizzata la versione installata di AWS CLI. 

$ aws --version

Fase 5: configurazione del profilo della AWS CLI

Configurare il profilo utilizzando uno dei seguenti metodi

La sso-session sezione del config file viene utilizzata per raggruppare le variabili di configurazione per l'acquisizione di token di accesso SSO, che possono quindi essere utilizzati per acquisire le credenziali. AWS Vengono utilizzate le impostazioni seguenti:

È necessario definire una sezione sso-session e associarla a un profilo. Le impostazioni sso_region e sso_start_url devono essere configurate all’interno della sezione sso-session. In genere, le impostazioni sso_account_id e sso_role_name devono essere configurate nella sezione profile in modo che l’SDK possa richiedere le credenziali SSO.

L’esempio seguente configura l’SDK in modo da richiedere le credenziali SSO e supporta l’aggiornamento automatico dei token: 

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

Per il supporto dual-stack, puoi utilizzare il formato URL di avvio SSO dual-stack:

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

Per impostazione predefinita, viene utilizzata l’autorizzazione Proof Key for Code Exchange (PKCE) per AWS CLI a partire dalla versione 2.22.0 e questa deve essere utilizzata su dispositivi dotati di browser. Per continuare a utilizzare l’autorizzazione del dispositivo, aggiungi l’opzione --use-device-code.

$ aws configure sso --use-device-code

La sso-session sezione del config file viene utilizzata per raggruppare le variabili di configurazione per l'acquisizione di token di accesso SSO, che possono quindi essere utilizzati per acquisire le credenziali. AWS Vengono utilizzate le impostazioni seguenti:

È necessario definire una sezione sso-session e associarla a un profilo. sso_region e sso_start_url devono essere impostati all’interno della sezione sso-session. In genere, le impostazioni sso_account_id e sso_role_name devono essere configurate nella sezione profile in modo che l’SDK possa richiedere le credenziali SSO.

L’esempio seguente configura l’SDK in modo da richiedere le credenziali SSO e supporta l’aggiornamento automatico dei token: 

[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Per il supporto dual-stack, usa il formato URL di avvio SSO dual-stack:

[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://ssoins-1234567890abcdef.portal.us-east-1.app.aws
sso_registration_scopes = sso:account:access

Il token di autenticazione viene memorizzato nella cache su disco all’interno della directory ~/.aws/sso/cache con un nome di file basato sul nome della sessione.

Fase 6: accesso al Centro identità IAM

Nota

La procedura di accesso potrebbe richiedere all'utente di consentire l'accesso ai dati. AWS CLI Poiché AWS CLI è basato sull'SDK per Python, i messaggi di autorizzazione possono contenere variazioni del botocore nome.

Per recuperare e memorizzare nella cache le credenziali per il Centro identità IAM, esegui il comando seguente per AWS CLI per aprire il browser predefinito e verificare l’accesso al Centro identità IAM.

$ aws sso login --profile my-dev-profile

A partire dalla versione 2.22.0, l’autorizzazione PKCE è l’impostazione predefinita. Per utilizzare l’autorizzazione del dispositivo per l’accesso, aggiungi l’opzione --use-device-code.

$ aws sso login --profile my-dev-profile --use-device-code

Fase 7: esecuzione dei comandi Amazon S3

Per elencare i bucket che hai creato in precedenza, utilizza il comando aws s3 ls. L’esempio seguente elenca tutti i tuoi bucket Amazon S3.

$ aws s3 ls
2018-12-11 17:08:50 my-bucket
2018-12-14 14:55:44 my-bucket2

Fase 8: disconnessione dal Centro identità IAM

Dopo aver terminato di utilizzare il profilo Centro identità IAM, esegui il comando seguente per eliminare le credenziali memorizzate nella cache.

$ aws sso logout
Successfully signed out of all SSO profiles.

Fase 9: eliminazione delle risorse

Al termine di questo tutorial, esegui la pulizia di tutte le risorse che hai creato durante questo tutorial che non ti servono più, inclusi i bucket Amazon S3.

Risoluzione dei problemi

Se riscontri problemi con l'utilizzo di AWS CLI, consulta le procedure comuni Risoluzione degli errori per AWS CLI per la risoluzione dei problemi.

Risorse aggiuntive

Di seguito sono elencate alcune risorse aggiuntive.