Wie kann ich die AWS-CLI verwenden. um temporäre Anmeldeinformationen für einen IAM Identity Center-Benutzer zu erhalten?

Lesedauer: 2 Minute
0

Ich möchte temporäre Anmeldeinformationen für IAM Identity Center-Benutzer erhalten.

Kurzbeschreibung

Wenn du ein benanntes Profil für die Verwendung von IAM Identity Center konfigurierst, wird eine JSON-Datei im Verzeichnis $ cd ~/.aws/sso/cache erstellt. Die JSON-Datei enthält ein JSON Web Token (JWT), das verwendet wird, um die temporären Sicherheitsanmeldeinformationen mit dem API-äquivalenten Befehl get-role-credentials abzurufen. Das Zugriffstoken ist 8 Stunden gültig. Du kannst die Ablaufzeit im Zeitstempel expiresAt in der JSON-Datei sehen. Du musst den Befehl get-role-credentials verwenden, um abgelaufene Token erneut zu authentifizieren.

Behebung

Verwende das AWS Command Line Interface (AWS CLI), um die temporären Anmeldeinformationen für einen IAM Identity Center-Benutzer abzurufen.

**Hinweis:**Wenn du beim Ausführen von Befehlen in AWS CLI Fehlermeldungen erhältst, findest du weitere Informationen unter Beheben von AWS CLI-Fehlern. Stelle außerdem sicher, dass du die neueste Version von AWS CLI verwendst.

Die temporären Anmeldeinformationen holen

Gehe in der AWS CLI wie folgt vor:

  1. Öffne die JSON-Datei und kopiere das Zugriffstoken:

    $ cat 535a8450b05870c9045c8a7b95870.json
    {"startUrl": "https://my-sso-portal.awsapps.com/start", "region": "us-east-1", "accessToken": "eyJlbmMiOiJBM….", "expiresAt": "2020-06-17T10:02:08UTC"}
  2. Führe den AWS-CLI-Befehl get-role-credentials aus, um die Anmeldeinformationen für den IAM Identity Center-Benutzer abzurufen:

    $ aws sso get-role-credentials --account-id 123456789012 --role-name permission-set-name --access-token eyJlbmMiOiJBM…. --region enter_the_same_sso_region_same_in_the_JSON_file

    Beispielausgabe:

    {    "roleCredentials": {
            "accessKeyId": "ASIA*************",
            "secretAccessKey": "**********************************",
            "sessionToken": "****************************************",
            "expiration": 1592362463000
        }
    }
  3. Konfiguriere die Anmeldeinformationen als Umgebungsvariablen.

Problembehandlung bei Fehlermeldungen

„Beim Aufrufen der Operation GetRoleCredentials ist ein Fehler aufgetreten (ForbiddenException): Kein Zugriff. „

Dieser Fehler kann aufgrund eines falschen Rollennamens in der AWS-CLI auftreten. Überprüfe den Rollennamen, um zu bestätigen, dass er korrekt ist.

„Beim Aufrufen der Operation GetRoleCredentials ist ein Fehler aufgetreten (UnauthorizedException): Das Sitzungstoken wurde nicht gefunden oder ist ungültig.“

Dieser Fehler tritt auf, weil das Sitzungstoken oder die AWS-Region falsch ist. Stelle sicher, dass die Region im AWS CLI-Befehl mit der Region in der JSON-Dateiausgabe identisch ist.

Ähnliche Informationen

Wie verwende ich IAM Identity Center-Berechtigungssätze?

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr