Wie kann ich die AWS-CLI verwenden. um temporäre Anmeldeinformationen für einen IAM Identity Center-Benutzer zu erhalten?

Lesedauer: 2 Minute

Ich möchte temporäre Anmeldeinformationen für IAM Identity Center-Benutzer erhalten.

Kurzbeschreibung

Wenn du ein benanntes Profil für die Verwendung von IAM Identity Center konfigurierst, wird eine JSON-Datei im Verzeichnis $ cd ~/.aws/sso/cache erstellt. Die JSON-Datei enthält ein JSON Web Token (JWT), das verwendet wird, um die temporären Sicherheitsanmeldeinformationen mit dem API-äquivalenten Befehl get-role-credentials abzurufen. Das Zugriffstoken ist 8 Stunden gültig. Du kannst die Ablaufzeit im Zeitstempel expiresAt in der JSON-Datei sehen. Du musst den Befehl get-role-credentials verwenden, um abgelaufene Token erneut zu authentifizieren.

Behebung

Verwende das AWS Command Line Interface (AWS CLI), um die temporären Anmeldeinformationen für einen IAM Identity Center-Benutzer abzurufen.

**Hinweis:**Wenn du beim Ausführen von Befehlen in AWS CLI Fehlermeldungen erhältst, findest du weitere Informationen unter Beheben von AWS CLI-Fehlern. Stelle außerdem sicher, dass du die neueste Version von AWS CLI verwendst.

Die temporären Anmeldeinformationen holen

Gehe in der AWS CLI wie folgt vor:

Öffne die JSON-Datei und kopiere das Zugriffstoken:

$ cat 535a8450b05870c9045c8a7b95870.json
{"startUrl": "https://my-sso-portal.awsapps.com/start", "region": "us-east-1", "accessToken": "eyJlbmMiOiJBM….", "expiresAt": "2020-06-17T10:02:08UTC"}

Führe den AWS-CLI-Befehl get-role-credentials aus, um die Anmeldeinformationen für den IAM Identity Center-Benutzer abzurufen:

$ aws sso get-role-credentials --account-id 123456789012 --role-name permission-set-name --access-token eyJlbmMiOiJBM…. --region enter_the_same_sso_region_same_in_the_JSON_file

Beispielausgabe:

{    "roleCredentials": {
        "accessKeyId": "ASIA*************",
        "secretAccessKey": "**********************************",
        "sessionToken": "****************************************",
        "expiration": 1592362463000
    }
}

Konfiguriere die Anmeldeinformationen als Umgebungsvariablen.

Problembehandlung bei Fehlermeldungen

„Beim Aufrufen der Operation GetRoleCredentials ist ein Fehler aufgetreten (ForbiddenException): Kein Zugriff. „

Dieser Fehler kann aufgrund eines falschen Rollennamens in der AWS-CLI auftreten. Überprüfe den Rollennamen, um zu bestätigen, dass er korrekt ist.

„Beim Aufrufen der Operation GetRoleCredentials ist ein Fehler aufgetreten (UnauthorizedException): Das Sitzungstoken wurde nicht gefunden oder ist ungültig.“

Dieser Fehler tritt auf, weil das Sitzungstoken oder die AWS-Region falsch ist. Stelle sicher, dass die Region im AWS CLI-Befehl mit der Region in der JSON-Dateiausgabe identisch ist.

Ähnliche Informationen

Wie verwende ich IAM Identity Center-Berechtigungssätze?

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Wie verwende ich meine IAM-Rollenanmeldeinformationen oder wechsle zu einer anderen IAM-Rolle, wenn ich den JDBC-Treiber verwende, um eine Verbindung zu Amazon Athena herzustellen?
AWS OFFICIALAktualisiert vor 3 Monaten
Wie verwende ich die AWS CLI, um den Zugriff auf AWS-Ressourcen mit einem MFA-Token zu authentifizieren?
AWS OFFICIALAktualisiert vor 6 Monaten
Wie kann ich den AWS-STS-Fehler „the security token included in the request is expired“ beheben, wenn ich die AWS CLI verwende, um eine IAM-Rolle zu übernehmen?
AWS OFFICIALAktualisiert vor 6 Monaten
Wie übergebe ich mit CodeBuild temporäre Anmeldeinformationen für AssumeRole an die Docker-Laufzeit?
AWS OFFICIALAktualisiert vor 6 Monaten