Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Penyedia kredensi Pusat Identitas IAM
**catatan**
Untuk bantuan dalam memahami tata letak halaman pengaturan, atau dalam menafsirkan tabel **Support by AWS SDKs and tools** berikut, lihat[Memahami halaman pengaturan panduan ini](settings-reference.md#settingsPages).
Mekanisme otentikasi ini digunakan AWS IAM Identity Center untuk mendapatkan akses masuk tunggal (SSO) untuk Layanan AWS kode Anda.
**catatan**
Dalam dokumentasi AWS SDK API, penyedia kredensi Pusat Identitas IAM disebut penyedia kredensi SSO.
Setelah mengaktifkan Pusat Identitas IAM, Anda menentukan profil untuk pengaturannya di AWS `config` file bersama Anda. Profil ini digunakan untuk terhubung ke portal akses Pusat Identitas IAM. Ketika pengguna berhasil mengautentikasi dengan IAM Identity Center, portal mengembalikan kredensi jangka pendek untuk peran IAM yang terkait dengan pengguna tersebut. Untuk mempelajari cara SDK mendapatkan kredensi sementara dari konfigurasi dan menggunakannya untuk Layanan AWS permintaan, lihat. [Bagaimana otentikasi IAM Identity Center diselesaikan untuk AWS SDKs dan alat](understanding-sso.md)
Ada dua cara untuk mengkonfigurasi IAM Identity Center melalui `config` file:
+ **(Disarankan) Konfigurasi penyedia token SSO** — Durasi sesi yang diperpanjang. Termasuk dukungan untuk durasi sesi kustom.
+ **Konfigurasi lama yang tidak dapat disegarkan** - Menggunakan sesi delapan jam yang tetap.
Di kedua konfigurasi, Anda harus masuk lagi saat sesi Anda kedaluwarsa.
Dua panduan berikut berisi informasi tambahan tentang IAM Identity Center:
+ [AWS IAM Identity Center Panduan Pengguna](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [AWS IAM Identity Center Portal API Referensi](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/Welcome.html)
Untuk menyelam lebih dalam tentang cara SDKs dan alat menggunakan dan menyegarkan kredensional menggunakan konfigurasi ini, lihat. [Bagaimana otentikasi IAM Identity Center diselesaikan untuk AWS SDKs dan alat](understanding-sso.md)
## Prasyarat
Anda harus mengaktifkan Pusat Identitas IAM terlebih dahulu. *Untuk detail tentang mengaktifkan autentikasi Pusat Identitas IAM, lihat [Mengaktifkan AWS IAM Identity Center di Panduan Pengguna](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html).AWS IAM Identity Center *
**catatan**
Atau, untuk prasyarat lengkap **dan** konfigurasi `config` file bersama yang diperlukan yang dirinci di halaman ini, lihat petunjuk yang dipandu untuk pengaturan. [Menggunakan IAM Identity Center untuk mengautentikasi AWS SDK dan alat](access-sso.md)
## Konfigurasi penyedia token SSO
Saat Anda menggunakan konfigurasi penyedia token SSO, AWS SDK atau alat Anda secara otomatis menyegarkan sesi hingga periode sesi yang diperpanjang. Untuk informasi selengkapnya tentang durasi sesi dan durasi maksimum, lihat [Mengonfigurasi durasi sesi portal AWS akses dan aplikasi terintegrasi Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-user-session.html) dalam *Panduan AWS IAM Identity Center Pengguna*.
`sso-session`Bagian `config` file digunakan untuk mengelompokkan variabel konfigurasi untuk memperoleh token akses SSO, yang kemudian dapat digunakan untuk memperoleh AWS kredensional. Untuk detail lebih lanjut tentang bagian ini dalam `config` file, lihat[Format file konfigurasi](file-format.md#file-format-config).
Contoh `config` file bersama berikut mengonfigurasi SDK atau alat menggunakan `dev` profil untuk meminta kredenal Pusat Identitas IAM.
```
[profile {{dev}}]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole}}
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
sso_registration_scopes = {{sso:account:access}}
```
Contoh sebelumnya menunjukkan bahwa Anda menentukan `sso-session` bagian dan mengaitkannya ke profil. Biasanya, `sso_account_id` dan `sso_role_name` harus diatur di `profile` bagian sehingga SDK dapat meminta AWS kredensional. `sso_region`,`sso_start_url`, dan `sso_registration_scopes` harus diatur dalam `sso-session` bagian.
`sso_account_id`dan `sso_role_name` tidak diperlukan untuk semua skenario konfigurasi token SSO. Jika aplikasi Anda hanya menggunakan otentikasi pembawa dukungan Layanan AWS itu, maka AWS kredensi tradisional tidak diperlukan. Otentikasi pembawa adalah skema otentikasi HTTP yang menggunakan token keamanan yang disebut token pembawa. Dalam skenario ini, `sso_account_id` dan `sso_role_name` tidak diperlukan. Lihat Layanan AWS panduan individual untuk menentukan apakah layanan mendukung otorisasi token pembawa.
Lingkup pendaftaran dikonfigurasi sebagai bagian dari file`sso-session`. Lingkup adalah mekanisme OAuth 2.0 untuk membatasi akses aplikasi ke akun pengguna. Contoh sebelumnya ditetapkan `sso_registration_scopes` untuk menyediakan akses yang diperlukan untuk daftar akun dan peran.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kembali `sso-session` konfigurasi yang sama di beberapa profil.
```
[profile {{dev}}]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole}}
[profile prod]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole2}}
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
sso_registration_scopes = {{sso:account:access}}
```
Token otentikasi di-cache ke disk di bawah `~/.aws/sso/cache` direktori dengan nama file berdasarkan nama sesi.
## Konfigurasi lama yang tidak dapat disegarkan
Penyegaran token otomatis tidak didukung menggunakan konfigurasi lama yang tidak dapat disegarkan. Kami merekomendasikan menggunakan [Konfigurasi penyedia token SSO](#sso-token-config) sebagai gantinya.
Untuk menggunakan konfigurasi lama yang tidak dapat disegarkan, Anda harus menentukan pengaturan berikut di dalam profil Anda:
+ `sso_start_url`
+ `sso_region`
+ `sso_account_id`
+ `sso_role_name`
Anda menentukan portal pengguna untuk profil dengan `sso_start_url` dan `sso_region` pengaturan. Anda menentukan izin dengan `sso_role_name` pengaturan `sso_account_id` dan.
Contoh berikut menetapkan empat nilai yang diperlukan dalam `config` file.
```
[profile {{my-sso-profile}}]
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
sso_region = {{us-west-2}}
sso_account_id = {{111122223333}}
sso_role_name = {{SSOReadOnlyRole}}
```
Token otentikasi di-cache ke disk di bawah `~/.aws/sso/cache` direktori dengan nama file berdasarkan file. `sso_start_url`
## Pengaturan penyedia kredensi Pusat Identitas IAM
Konfigurasikan fungsi ini dengan menggunakan yang berikut:
**`sso_start_url`- Pengaturan AWS `config` file bersama**
URL yang mengarah ke URL penerbit Pusat Identitas IAM organisasi Anda atau URL portal akses. Untuk informasi selengkapnya, lihat [Menggunakan portal AWS akses](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-the-portal.html) di *Panduan AWS IAM Identity Center Pengguna*.
Untuk menemukan nilai ini, buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), lihat **Dasbor**, temukan **URL portal AWS akses**.
+ Atau, dimulai dengan versi **2.22.0** dari AWS CLI, Anda dapat menggunakan nilai untuk URL **AWS Penerbit**.
**`sso_region`- Pengaturan AWS `config` file bersama**
Yang AWS Region berisi host portal Pusat Identitas IAM Anda; yaitu, Wilayah yang Anda pilih sebelum mengaktifkan Pusat Identitas IAM. Ini independen dari AWS Wilayah default Anda, dan bisa berbeda.
Untuk daftar lengkap Region AWS dan kodenya, lihat [Titik Akhir Regional](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints) di. *Referensi Umum Amazon Web Services* Untuk menemukan nilai ini, buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), lihat **Dasbor**, dan temukan **Wilayah**.
**`sso_account_id`- Pengaturan AWS `config` file bersama**
ID numerik Akun AWS yang ditambahkan melalui AWS Organizations layanan untuk digunakan untuk otentikasi.
Untuk melihat daftar akun yang tersedia, buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon) dan buka **Akun AWS**halaman. Anda juga dapat melihat daftar akun yang tersedia menggunakan metode [ListAccounts](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_ListAccounts.html)API di *Referensi API AWS IAM Identity Center Portal*. Misalnya, Anda dapat memanggil AWS CLI metode [daftar-akun](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/list-accounts.html).
**`sso_role_name`- Pengaturan AWS `config` file bersama**
Nama set izin disediakan sebagai peran IAM yang mendefinisikan izin yang dihasilkan pengguna. Peran harus ada dalam yang Akun AWS ditentukan oleh`sso_account_id`. Gunakan nama peran, bukan peran Amazon Resource Name (ARN).
Set izin memiliki kebijakan IAM dan kebijakan izin khusus yang dilampirkan padanya dan menentukan tingkat akses yang dimiliki pengguna ke yang ditetapkan. Akun AWS
Untuk melihat daftar set izin yang tersedia per Akun AWS, buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon) dan buka **Akun AWS**halaman. Pilih nama set izin yang benar yang tercantum dalam Akun AWS tabel. Anda juga dapat melihat daftar set izin yang tersedia menggunakan metode [ListAccountRoles](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_ListAccountRoles.html)API di *Referensi API AWS IAM Identity Center Portal*. Misalnya, Anda dapat memanggil AWS CLI metode [list-account-roles](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/list-account-roles.html).
**`sso_registration_scopes`- Pengaturan AWS `config` file bersama**
Daftar string cakupan valid yang dibatasi koma yang akan diotorisasi untuk. `sso-session` Aplikasi dapat meminta satu atau lebih cakupan, dan token akses yang dikeluarkan untuk aplikasi terbatas pada cakupan yang diberikan. Cakupan minimum `sso:account:access` harus diberikan untuk mendapatkan token penyegaran kembali dari layanan IAM Identity Center. Untuk daftar opsi cakupan akses yang tersedia, lihat [Cakupan akses](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) di *Panduan AWS IAM Identity Center Pengguna*.
Cakupan ini menentukan izin yang diminta untuk diotorisasi untuk klien OIDC terdaftar dan token akses yang diambil oleh klien. Cakupan mengotorisasi akses ke titik akhir resmi token pembawa IAM Identity Center.
Pengaturan ini tidak berlaku untuk konfigurasi lama yang tidak dapat disegarkan. Token yang dikeluarkan menggunakan konfigurasi lama terbatas pada ruang lingkup secara `sso:account:access` implisit.
## Support oleh AWS SDKs dan alat
Berikut ini SDKs mendukung fitur dan pengaturan yang dijelaskan dalam topik ini. Setiap pengecualian sebagian dicatat. Setiap pengaturan properti sistem JVM didukung oleh AWS SDK untuk Java dan satu-satunya. AWS SDK untuk Kotlin
| SDK | Didukung | Catatan atau informasi lebih lanjut |
| --- | --- | --- |
| [AWS CLI v2](https://docs.aws.amazon.com/cli/latest/userguide/) | Ya | |
| [SDK for C\+\+](https://docs.aws.amazon.com/sdk-for-cpp/latest/developer-guide/) | Ya | |
| [SDK for Go V2 (1.x)](https://docs.aws.amazon.com/sdk-for-go/v2/developer-guide/) | Ya | |
| [SDK for Go 1.x (V1)](https://docs.aws.amazon.com/sdk-for-go/latest/developer-guide/) | Ya | Untuk menggunakan pengaturan config file bersama, Anda harus mengaktifkan pemuatan dari file konfigurasi; lihat [Sesi](https://docs.aws.amazon.com/sdk-for-go/api/aws/session/). |
| [SDK for Java 2.x](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/) | Ya | Nilai konfigurasi juga didukung dalam credentials file. |
| [SDK for Java 1.x](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/) | Tidak | |
| [SDK untuk 3.x JavaScript ](https://docs.aws.amazon.com/sdk-for-javascript/latest/developer-guide/) | Ya | |
| [SDK untuk 2.x JavaScript ](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/) | Ya | |
| [SDK para Kotlin](https://docs.aws.amazon.com/sdk-for-kotlin/latest/developer-guide/) | Ya | |
| [SDK for .NET 4.x](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/) | Ya | |
| [SDK for .NET 3.x](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/) | Ya | |
| [SDK for PHP 3.x](https://docs.aws.amazon.com/sdk-for-php/latest/developer-guide/) | Ya | |
| [SDK untuk Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html) | Ya | |
| [SDK for Ruby 3.x](https://docs.aws.amazon.com/sdk-for-ruby/latest/developer-guide/) | Ya | |
| [SDK untuk Rust](https://docs.aws.amazon.com/sdk-for-rust/latest/dg/) | Parsial | Konfigurasi lama yang tidak dapat disegarkan saja. |
| [SDK para Swift](https://docs.aws.amazon.com/sdk-for-swift/latest/developer-guide/) | Ya | |
| [Alat untuk PowerShell V5](https://docs.aws.amazon.com/powershell/latest/userguide/) | Ya | |
| [Alat untuk PowerShell V4](https://docs.aws.amazon.com/powershell/v4/userguide/) | Ya | |