Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione dell'autenticazione IAM Identity Center con AWS CLI
Questo argomento fornisce istruzioni su come configurare AWS CLI with AWS IAM Identity Center (IAM Identity Center) per recuperare le credenziali per eseguire i comandi. AWS CLI Esistono principalmente due modi per autenticare gli utenti con IAM Identity Center e ottenere le credenziali per eseguire AWS CLI comandi tramite il file: `config`
+ **(Scelta consigliata)** Configurazione del provider di token SSO.
+ Configurazione legacy non aggiornabile.
Per informazioni sull'utilizzo dell'autenticazione del portatore, che non utilizza l'ID e il ruolo dell'account, consulta [Configurazione per l'utilizzo di AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) nella *Amazon CodeCatalyst User* Guide.
**Nota**
Per una procedura guidata di utilizzo di IAM Identity Center con AWS CLI i comandi, consulta. [Tutorial: Utilizzo di IAM Identity Center per eseguire i comandi Amazon S3 nel AWS CLI](cli-configure-sso-tutorial.md)
**Argomenti**
+ [Prerequisiti](#cli-configure-sso-prereqs)
+ [Configura il tuo profilo con la procedura guidata `aws configure sso`](#cli-configure-sso-configure)
+ [Configura solo la sezione `sso-session` con la procedura guidata `aws configure sso-session`](#cli-configure-sso-session)
+ [Configurazione manuale utilizzando il file `config`](#cli-configure-sso-manual)
+ [Accedere a una sessione di Centro identità IAM](#cli-configure-sso-login)
+ [Eseguire un comando con il profilo Centro identità IAM](#cli-configure-sso-use)
+ [Disconnettersi dalle sessioni in Centro identità IAM](#cli-configure-sso-logout)
+ [Risoluzione dei problemi](#cli-configure-sso-tshoot)
+ [Risorse correlate](#cli-configure-sso-resources)
## Prerequisiti
+ Installa il AWS CLI. Per ulteriori informazioni, consulta [Installazione o aggiornamento alla versione più recente di AWS CLI](getting-started-install.md).
+ Devi prima avere accesso all’autenticazione SSO all’interno di Centro di identità IAM. Scegli uno dei seguenti metodi per accedere alle tue AWS credenziali.
### Non ho stabilito l’accesso tramite Centro identità IAM
Segui le istruzioni riportate in [Nozioni di base](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) nella *Guida per l’utente di AWS IAM Identity Center *. Questo processo attiva Centro identità IAM, crea un utente amministratore e aggiunge un set di autorizzazioni con privilegi minimi appropriato.
**Nota**
Crea un set di autorizzazioni per l’applicazione di autorizzazioni con privilegio minimo. Consigliamo di utilizzare il set di autorizzazioni `PowerUserAccess` predefinito, a meno che il datore di lavoro non ne abbia creato uno personalizzato a questo scopo.
Esci dal portale e accedi nuovamente per visualizzare i Account AWS dettagli di accesso programmatici e le opzioni per `Administrator` o. `PowerUserAccess` Seleziona `PowerUserAccess` quando utilizzi l’SDK.
### Ho già accesso AWS tramite un provider di identità federato gestito dal mio datore di lavoro (come Azure AD o Okta)
Accedi AWS tramite il portale del tuo provider di identità. Se il tuo amministratore cloud ti ha concesso le autorizzazioni `PowerUserAccess` (sviluppatore), vedi quelle a Account AWS cui hai accesso e il tuo set di autorizzazioni. Accanto al nome del set di autorizzazioni, vengono visualizzate le opzioni per accedere agli account manualmente o a livello di programmazione utilizzando il set di autorizzazioni.
Le implementazioni personalizzate possono dare luogo a esperienze diverse, ad esempio nomi di set di autorizzazioni diversi. In caso di dubbi su quale set di autorizzazioni utilizzare, contatta il team IT per assistenza.
### Ho già accesso AWS tramite il portale di AWS accesso gestito dal mio datore di lavoro
Accedi AWS tramite il tuo portale di AWS accesso. Se il tuo amministratore cloud ti ha concesso le autorizzazioni `PowerUserAccess` (sviluppatore), vedi quelle a Account AWS cui hai accesso e il set di autorizzazioni. Accanto al nome del set di autorizzazioni, vengono visualizzate le opzioni per accedere agli account manualmente o a livello di programmazione utilizzando il set di autorizzazioni.
### Ho già accesso AWS tramite un provider di identità personalizzato federato gestito dal mio datore di lavoro
Contatta il team IT per assistenza.
Dopo aver ottenuto l’accesso a Centro identità IAM, raccogli le informazioni su Centro identità IAM effettuando le operazioni seguenti:
1. Recupera i valori `SSO Start URL` e `SSO Region` necessari per eseguire `aws configure sso`
1. Nel portale di AWS accesso, seleziona il set di autorizzazioni che utilizzi per lo sviluppo e seleziona il link **Access keys**.
1. Nella finestra di dialogo **Ottieni le credenziali** seleziona la scheda corrispondente al tuo sistema operativo.
1. Scegli il metodo **Credenziali Centro identità IAM** per ottenere i valori `SSO Start URL` e `SSO Region`.
1. In alternativa, a partire dalla versione 2.22.0 puoi utilizzare l’URL dell’emittente anziché l’URL di avvio. L'URL dell'emittente si trova nella AWS IAM Identity Center console in una delle seguenti posizioni:
+ Nella pagina **Dashboard** l’URL dell’emittente si trova nel riepilogo delle impostazioni.
+ Nella pagina **Impostazioni** l’URL dell’emittente si trova nelle impostazioni in **Origine identità**.
1. Per informazioni sul valore degli ambiti da registrare, consulta [OAuth 2.0 Access scopes](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) nella Guida per l'utente di *IAM Identity Center*.
## Configura il tuo profilo con la procedura guidata `aws configure sso`
**Per configurare un profilo Centro identità IAM per AWS CLI:**
1. Nel terminale che preferisci esegui il comando `aws configure sso`.
------
#### [ (Recommended) IAM Identity Center ]
Crea un nome di sessione, fornisci l'URL di avvio di IAM Identity Center o l'URL dell'emittente, Regione AWS che ospita la directory IAM Identity Center e l'ambito di registrazione.
```
$ aws configure sso
SSO session name (Recommended): {{my-sso}}
SSO start URL [None]: {{https://my-sso-portal.awsapps.com/start}}
SSO region [None]: {{us-east-1}}
SSO registration scopes [None]: {{sso:account:access}}
```
Per il supporto dual-stack, utilizza l'URL di avvio SSO dual-stack:
```
$ aws configure sso
SSO session name (Recommended): {{my-sso}}
SSO start URL [None]: {{https://ssoins-1234567890abcdef.portal.us-east-1.app.aws}}
SSO region [None]: {{us-east-1}}
SSO registration scopes [None]: {{sso:account:access}}
```
L'autorizzazione Proof Key for Code Exchange (PKCE) viene utilizzata per impostazione predefinita AWS CLI a partire dalla versione **2.22.0** e deve essere utilizzata su dispositivi dotati di browser. Per continuare a utilizzare l’autorizzazione del dispositivo, aggiungi l’opzione `--use-device-code`.
```
$ aws configure sso {{--use-device-code}}
```
------
#### [ Legacy IAM Identity Center ]
Crea un nome di sessione e fornisci l’URL di avvio di Centro identità IAM e la Regione AWS che ospita la directory per Centro identità.
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: {{https://my-sso-portal.awsapps.com/start}}
SSO region [None]:{{us-east-1}}
```
Per il supporto dual-stack:
```
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: {{https://ssoins-1234567890abcdef.portal.us-east-1.app.aws}}
SSO region [None]:{{us-east-1}}
```
------
1. I AWS CLI tentativi di aprire il browser predefinito per la procedura di accesso del tuo account IAM Identity Center. Questo processo potrebbe richiederti di consentire l' AWS CLI accesso ai tuoi dati. Poiché AWS CLI è basato sull'SDK per Python, i messaggi di autorizzazione possono contenere variazioni del `botocore` nome.
+ **Se AWS CLI non è possibile aprire il browser**, vengono visualizzate le istruzioni per avviare manualmente la procedura di accesso in base al tipo di autorizzazione utilizzato.
------
#### [ PKCE authorization ]
L'autorizzazione Proof Key for Code Exchange (PKCE) viene utilizzata per impostazione predefinita AWS CLI a partire dalla versione 2.22.0. L'URL visualizzato è un URL univoco che inizia con:
+ IPv4: {{https://oidc.us-east-1.amazonaws.com/authorize}}
+ Doppio stack: {{https://oidc.us-east-1.api.aws/authorize}}
L'autorizzazione PKCE URLs deve essere aperta sullo stesso dispositivo con cui si effettua l'accesso e deve essere utilizzata per un dispositivo dotato di browser.
```
Attempting to automatically open the SSO authorization page in your
default browser.
If the browser does not open or you wish to use a different device to
authorize the request, open the following URL:
{{https://oidc.us-east-1.amazonaws.com/authorize?}}
```
------
#### [ Device authorization ]
L'autorizzazione del dispositivo OAuth 2.0 viene utilizzata AWS CLI per le versioni precedenti alla 2.22.0. Puoi abilitare questo metodo sulle versioni più recenti utilizzando l’opzione `--use-device-code`.
L'autorizzazione del dispositivo URLs non deve essere aperta sullo stesso dispositivo a cui stai effettuando l'accesso e può essere utilizzata per un dispositivo con o senza browser. Il formato dell'endpoint dipende dalla tua configurazione:
+ IPv4: {{https://device.sso.us-west-2.amazonaws.com/}}
+ Doppio stack: {{https://device.sso.us-west-2.api.aws/}}
```
If the browser does not open or you wish to use a different device to
authorize this request, open the following URL:
{{https://device.sso.us-west-2.amazonaws.com/}}
Then enter the code:
{{QCFK-N451}}
```
------
1. Seleziona l' AWS account da utilizzare dall'elenco visualizzato. Se sei autorizzato a utilizzare un solo account, lo seleziona AWS CLI automaticamente e salta la richiesta.
```
There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com ({{123456789011}})
ProductionAccount, production-account-admin@example.com ({{123456789022}})
```
1. Seleziona il ruolo IAM da utilizzare nell’elenco visualizzato. Se è disponibile un solo ruolo, lo seleziona AWS CLI automaticamente e salta la richiesta.
```
Using the account ID {{123456789011}}
There are 2 roles available to you.
> ReadOnly
FullAccess
```
1. Specifica il [formato di output predefinito](cli-configure-files.md#cli-config-output), la [Regione AWS predefinita](cli-configure-files.md#cli-config-region) a cui inviare i comandi e un [nome per il profilo](cli-configure-files.md). Se specifichi `default` come nome del profilo, questo diventa il profilo predefinito utilizzato. Nell’esempio seguente l’utente immette la Regione predefinita, il formato di output predefinito e il nome del profilo.
```
Default client Region [None]: {{us-west-2}}
CLI default output format (json if not specified) [None]: {{json}}
Profile name [123456789011_ReadOnly]: {{my-dev-profile}}
```
1. Un messaggio finale descrive la configurazione del profilo completata. Puoi ora utilizzare questo profilo per richiedere le credenziali. Utilizza il comando `aws sso login` per richiedere e recuperare le credenziali necessarie per eseguire i comandi. Per istruzioni, consulta [Accedere a una sessione di Centro identità IAM](#cli-configure-sso-login).
### File di configurazione generato
Questa procedura permette di creare la sezione `sso-session` e il profilo denominato nel file `config`, che avrà l’aspetto seguente:
------
#### [ IAM Identity Center ]
```
[profile {{my-dev-profile}}]
sso_session = {{my-sso}}
sso_account_id = {{123456789011}}
sso_role_name = {{readOnly}}
region = {{us-west-2}}
output = {{json}}
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
sso_registration_scopes = {{sso:account:access}}
```
Per il supporto dual-stack:
```
[profile {{my-dev-profile}}]
sso_session = {{my-sso}}
sso_account_id = {{123456789011}}
sso_role_name = {{readOnly}}
region = {{us-west-2}}
output = {{json}}
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://ssoins-1234567890abcdef.portal.us-east-1.app.aws}}
sso_registration_scopes = {{sso:account:access}}
```
------
#### [ Legacy IAM Identity Center ]
```
[profile {{my-dev-profile}}]
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
sso_region = {{us-east-1}}
sso_account_id = {{123456789011}}
sso_role_name = {{readOnly}}
region = {{us-west-2}}
output = {{json}}
```
Per il supporto dual-stack:
```
[profile {{my-dev-profile}}]
sso_start_url = {{https://ssoins-1234567890abcdef.portal.us-east-1.app.aws}}
sso_region = {{us-east-1}}
sso_account_id = {{123456789011}}
sso_role_name = {{readOnly}}
region = {{us-west-2}}
output = {{json}}
```
------
## Configura solo la sezione `sso-session` con la procedura guidata `aws configure sso-session`
**Nota**
Questa configurazione non è compatibile con la configurazione legacy di Centro identità IAM.
Il comando `aws configure sso-session` aggiorna le sezioni `sso-session` nel file `~/.aws/config`. Esegui il `aws configure sso-session` comando e fornisci l'URL di avvio o l'URL dell'emittente del tuo IAM Identity Center e la AWS regione che ospita la directory IAM Identity Center.
```
$ aws configure sso-session
SSO session name: {{my-sso}}
SSO start URL [None]: {{https://my-sso-portal.awsapps.com/start}}
SSO region [None]: {{us-east-1}}
SSO registration scopes [None]: {{sso:account:access}}
```
Per il supporto dual-stack, utilizza l'URL di avvio SSO dual-stack:
```
$ aws configure sso-session
SSO session name: {{my-sso}}
SSO start URL [None]: {{https://ssoins-1234567890abcdef.portal.us-east-1.app.aws}}
SSO region [None]: {{us-east-1}}
SSO registration scopes [None]: {{sso:account:access}}
```
## Configurazione manuale utilizzando il file `config`
Le informazioni di configurazione di Centro identità IAM sono archiviate nel file `config` e possono essere modificate utilizzando un editor di testo. Per aggiungere manualmente il supporto di Centro identità IAM a un profilo denominato, devi aggiungere chiavi e valori al file `config`.
### File di configurazione per Centro identità IAM
La `sso-session` sezione del `config` file viene utilizzata per raggruppare le variabili di configurazione per l'acquisizione di token di accesso SSO, che possono quindi essere utilizzati per acquisire credenziali. AWS Vengono utilizzate le impostazioni seguenti:
+ **(Obbligatorio)** `sso\_start\_url`
+ **(Obbligatorio)** `sso\_region`
+ `sso\_account\_id`
+ `sso\_role\_name`
+ `sso\_registration\_scopes`
È necessario definire una sezione `sso-session` e associarla a un profilo. Le impostazioni `sso_region` e `sso_start_url` devono essere configurate all’interno della sezione `sso-session`. In genere, le impostazioni `sso_account_id` e `sso_role_name` devono essere configurate nella sezione `profile` in modo che l’SDK possa richiedere le credenziali SSO.
L’esempio seguente configura l’SDK in modo da richiedere le credenziali SSO e supporta l’aggiornamento automatico dei token:
```
[profile {{dev}}]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole}}
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
```
Per il supporto dual-stack, usa il formato URL di avvio SSO dual-stack:
```
[profile {{dev}}]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole}}
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://ssoins-1234567890abcdef.portal.us-east-1.app.aws}}
```
In questo modo, è possibile riutilizzare le configurazioni `sso-session` su più profili:
```
[profile {{dev}}]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole}}
[profile {{prod}}]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole2}}
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
```
Per il supporto dual-stack, usa il formato URL di avvio SSO dual-stack:
```
[profile {{dev}}]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole}}
[profile {{prod}}]
sso_session = {{my-sso}}
sso_account_id = {{111122223333}}
sso_role_name = {{SampleRole2}}
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://ssoins-1234567890abcdef.portal.us-east-1.app.aws}}
```
Tuttavia, le impostazioni `sso_account_id` e `sso_role_name` non sono necessarie per tutti gli scenari di configurazione dei token SSO. Se l'applicazione utilizza solo AWS servizi che supportano l'autenticazione al portatore, non sono necessarie le credenziali tradizionali. AWS Questo tipo di autenticazione è uno schema di autenticazione HTTP che utilizza token di sicurezza noti come token di connessione. In questo scenario le impostazioni `sso_account_id` e `sso_role_name` non sono obbligatorie. Consultate la guida individuale del vostro AWS servizio per determinare se supporta l'autorizzazione con token al portatore.
Inoltre, gli ambiti di registrazione possono essere configurati all’interno di un parametro `sso-session`. Scope è un meccanismo della OAuth versione 2.0 per limitare l'accesso di un'applicazione all'account di un utente. Un’applicazione può richiedere uno o più ambiti e il token di accesso emesso all’applicazione sarà limitato agli ambiti consentiti. Questi ambiti definiscono le autorizzazioni richieste per l’autorizzazione per il client OIDC registrato e i token di accesso recuperati dal client. L’esempio seguente imposta `sso_registration_scopes` in modo da fornire l’accesso necessario per elencare account/ruoli:
```
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
sso_registration_scopes = {{sso:account:access}}
```
Per il supporto dual-stack:
```
[sso-session {{my-sso}}]
sso_region = {{us-east-1}}
sso_start_url = {{https://ssoins-1234567890abcdef.portal.us-east-1.app.aws}}
sso_registration_scopes = {{sso:account:access}}
```
Il token di autenticazione viene memorizzato nella cache su disco all’interno della directory `sso/cache` con un nome di file basato sul nome della sessione.
### File di configurazione per la configurazione legacy di Centro identità IAM
**Nota**
L’aggiornamento automatico dei token non è supportato utilizzando la configurazione legacy non aggiornabile. Consigliamo di utilizzare la configurazione dei token SSO.
Per aggiungere manualmente il supporto di Centro identità IAM a un profilo denominato, devi aggiungere le chiavi e i valori seguenti alla definizione del profilo nel file `config`.
+ `sso\_start\_url`
+ `sso\_region`
+ `sso\_account\_id`
+ `sso\_role\_name`
Puoi includere anche altri valori e chiavi che sono validi nel file `.aws/config`. L’esempio seguente è un profilo Centro identità IAM:
```
[profile {{my-sso-profile}}]
sso_start_url = {{https://my-sso-portal.awsapps.com/start}}
sso_region = {{us-west-2}}
sso_account_id = {{111122223333}}
sso_role_name = {{SSOReadOnlyRole}}
region = {{us-west-2}}
output = {{json}}
```
Per il supporto dual-stack:
```
[profile {{my-sso-profile}}]
sso_start_url = {{https://ssoins-1234567890abcdef.portal.us-east-1.app.aws}}
sso_region = {{us-west-2}}
sso_account_id = {{111122223333}}
sso_role_name = {{SSOReadOnlyRole}}
region = {{us-west-2}}
output = {{json}}
```
Prima di tutto, devi utilizzare [Accedere a una sessione di Centro identità IAM](#cli-configure-sso-login) per richiedere e recuperare le credenziali temporanee.
Per ulteriori informazioni sui file `config` e `credentials`, consulta [Impostazioni dei file di configurazione e credenziali in AWS CLI](cli-configure-files.md).
## Accedere a una sessione di Centro identità IAM
**Nota**
La procedura di accesso potrebbe richiedere all'utente di consentire l' AWS CLI accesso ai dati. Poiché AWS CLI è basato sull'SDK per Python, i messaggi di autorizzazione possono contenere variazioni del `botocore` nome.
Per recuperare e memorizzare nella cache un set di credenziali per Centro identità IAM, esegui il comando seguente per AWS CLI per aprire il browser predefinito e verificare l’accesso a Centro identità IAM.
```
$ aws sso login --profile {{my-dev-profile}}
SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start
```
Le credenziali di sessione di IAM Identity Center vengono memorizzate nella cache e vengono AWS CLI utilizzate per recuperare in modo sicuro AWS le credenziali per il ruolo IAM specificato nel profilo.
### Se non riescono ad aprire il browser AWS CLI
Se AWS CLI non è possibile aprire automaticamente il browser, vengono visualizzate le istruzioni per avviare manualmente la procedura di accesso in base al tipo di autorizzazione utilizzato.
------
#### [ PKCE authorization ]
L'autorizzazione Proof Key for Code Exchange (PKCE) viene utilizzata per impostazione predefinita AWS CLI a partire dalla versione 2.22.0. L'URL visualizzato è un URL univoco che inizia con:
+ IPv4: {{https://oidc.us-east-1.amazonaws.com/authorize}}
+ Doppio stack: {{https://oidc.us-east-1.api.aws/authorize}}
L'autorizzazione PKCE URLs deve essere aperta sullo stesso dispositivo con cui si effettua l'accesso e deve essere utilizzata per un dispositivo dotato di browser.
```
Attempting to automatically open the SSO authorization page in your
default browser.
If the browser does not open or you wish to use a different device to
authorize the request, open the following URL:
{{https://oidc.us-east-1.amazonaws.com/authorize?}}
```
------
#### [ Device authorization ]
L'autorizzazione del dispositivo OAuth 2.0 viene utilizzata AWS CLI per le versioni precedenti alla 2.22.0. Puoi abilitare questo metodo sulle versioni più recenti utilizzando l’opzione `--use-device-code`.
L'autorizzazione del dispositivo URLs non deve essere aperta sullo stesso dispositivo a cui stai effettuando l'accesso e può essere utilizzata per un dispositivo con o senza browser.
```
If the browser does not open or you wish to use a different device to
authorize this request, open the following URL:
{{https://device.sso.us-west-2.amazonaws.com/}}
Then enter the code:
{{QCFK-N451}}
```
------
Puoi anche specificare quale profilo `sso-session` utilizzare per l’accesso tramite il parametro `--sso-session` del comando `aws sso login`. L’opzione `sso-session` non è disponibile per la configurazione legacy di Centro identità IAM.
```
$ aws sso login --sso-session {{my-dev-session}}
```
A partire dalla versione 2.22.0, l’autorizzazione PKCE è l’impostazione predefinita. Per utilizzare l’autorizzazione del dispositivo per l’accesso, aggiungi l’opzione `--use-device-code`.
```
$ aws sso login --profile {{my-dev-profile}} --use-device-code
```
Il token di autenticazione viene memorizzato nella cache su disco all’interno della directory `~/.aws/sso/cache` con un nome di file basato su `sso_start_url`.
## Eseguire un comando con il profilo Centro identità IAM
Una volta effettuato l'accesso, puoi utilizzare le tue credenziali per richiamare AWS CLI comandi con il profilo denominato associato. L’esempio seguente mostra un comando che utilizza un profilo:
```
$ aws sts get-caller-identity --profile {{my-dev-profile}}
```
Se hai effettuato l'accesso a IAM Identity Center e le credenziali memorizzate nella cache non sono scadute, le credenziali scadute vengono rinnovate AWS CLI automaticamente quando necessario. AWS Tuttavia, se le credenziali per Centro identità IAM scadono, devi rinnovarle in modo esplicito accedendo di nuovo all’account Centro identità IAM.
## Disconnettersi dalle sessioni in Centro identità IAM
Dopo aver terminato di utilizzare il profilo Centro identità IAM, puoi lasciare scadere le credenziali o eseguire il comando seguente per eliminare le credenziali memorizzate nella cache.
```
$ aws sso logout
Successfully signed out of all SSO profiles.
```
## Risoluzione dei problemi
Se riscontri problemi durante l'utilizzo di, consulta la procedura per la risoluzione dei problemi. AWS CLI[Risoluzione degli errori relativi a AWS CLI](cli-chap-troubleshooting.md)
## Risorse correlate
Di seguito sono elencate alcune risorse aggiuntive.
+ [Concetti diAWS IAM Identity Center per la AWS CLI](cli-configure-sso-concepts.md)
+ [Tutorial: Utilizzo di IAM Identity Center per eseguire i comandi Amazon S3 nel AWS CLI](cli-configure-sso-tutorial.md)
+ [Installazione o aggiornamento alla versione più recente di AWS CLI](getting-started-install.md)
+ [Impostazioni dei file di configurazione e credenziali in AWS CLI](cli-configure-files.md)
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html](https://docs.aws.amazon.com/cli/latest/reference/configure/sso-session.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/login.html](https://docs.aws.amazon.com/cli/latest/reference/sso/login.html) in *AWS CLI version 2 Reference*
+ [https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html](https://docs.aws.amazon.com/cli/latest/reference/sso/logout.html) in *AWS CLI version 2 Reference*
+ [Configurazione per l'utilizzo di AWS CLI with CodeCatalyst](https://docs.aws.amazon.com/codecatalyst/latest/userguide/set-up-cli.html) nella *Amazon CodeCatalyst User Guide*
+ [OAuth 2.0 Ambiti di accesso](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#oidc-concept) nella Guida per l'*utente di IAM Identity Center*
+ [Tutorial introduttivi](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) nella *Guida per l’utente del Centro identità IAM*