Ich möchte temporäre Anmeldeinformationen für IAM Identity Center-Benutzer erhalten.
Kurzbeschreibung
Wenn Sie ein benanntes Profil für die Verwendung von IAM Identity Center konfigurieren, wird eine JSON-Datei im Verzeichnis $ cd ~/.aws/sso/cache erstellt. Die JSON-Datei enthält ein JSON Web Token (JWT), das verwendet wird, um die temporären Sicherheitsanmeldeinformationen mit dem API-äquivalenten Befehl get-role-credentials abzurufen. Das Zugriffstoken ist 8 Stunden gültig. Sie können die Ablaufzeit im Zeitstempel expiresAt in der JSON-Datei sehen. Sie müssen den Befehl get-role-credentials verwenden, um abgelaufene Token erneut zu authentifizieren.
Behebung
Verwenden Sie das AWS Command Line Interface (AWS CLI), um die temporären Anmeldeinformationen für einen IAM Identity Center-Benutzer abzurufen.
**Hinweis:**Wenn Sie beim Ausführen von Befehlen in AWS CLI Fehlermeldungen erhalten, finden Sie weitere Informationen unter Beheben von AWS CLI-Fehlern. Stellen Sie außerdem sicher, dass Sie die neueste Version von AWS CLI verwenden.
Die temporären Anmeldeinformationen holen
Gehen Sie in der AWS CLI wie folgt vor:
-
Öffnen Sie die JSON-Datei und kopieren Sie das Zugriffstoken:
$ cat 535a8450b05870c9045c8a7b95870.json
{"startUrl": "https://my-sso-portal.awsapps.com/start", "region": "us-east-1", "accessToken": "eyJlbmMiOiJBM….", "expiresAt": "2020-06-17T10:02:08UTC"}
-
Führen Sie den AWS-CLI-Befehl get-role-credentials aus, um die Anmeldeinformationen für den IAM Identity Center-Benutzer abzurufen:
$ aws sso get-role-credentials --account-id 123456789012 --role-name permission-set-name --access-token eyJlbmMiOiJBM…. --region enter_the_same_sso_region_same_in_the_JSON_file
Beispielausgabe:
{ "roleCredentials": {
"accessKeyId": "ASIA*************",
"secretAccessKey": "**********************************",
"sessionToken": "****************************************",
"expiration": 1592362463000
}
}
-
Konfigurieren Sie die Anmeldeinformationen als Umgebungsvariablen.
Problembehandlung bei Fehlermeldungen
„Beim Aufrufen der Operation GetRoleCredentials ist ein Fehler aufgetreten (ForbiddenException): Kein Zugriff. „
Dieser Fehler kann aufgrund eines falschen Rollennamens in der AWS-CLI auftreten. Überprüfen Sie den Rollennamen, um zu bestätigen, dass er korrekt ist.
„Beim Aufrufen der Operation GetRoleCredentials ist ein Fehler aufgetreten (UnauthorizedException): Das Sitzungstoken wurde nicht gefunden oder ist ungültig.“
Dieser Fehler tritt auf, weil das Sitzungstoken oder die AWS-Region falsch ist. Stellen Sie sicher, dass die Region im AWS CLI-Befehl mit der Region in der JSON-Dateiausgabe identisch ist.
Ähnliche Informationen
Wie verwende ich IAM Identity Center-Berechtigungssätze?