本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置和使用 AWS 访问门户
AWS 访问门户通过 IAM 身份中心将您的员工 AWS 账户 与云应用程序连接起来。管理员配置门户并管理用户访问权限,而最终用户只需登录一次即可无缝访问其所有授权资源。
AWS 访问门户提供对以下内容的单点登录访问权限:
+ AWS 账户 在你的组织中。
+ AWS 托管应用程序,例如 Amazon Quick 和 Kiro。
+ 云应用程序,例如 Office 365、Concur、Salesforce 等。
当用户登录门户时,他们会发现他们无需额外登录即可访问的 AWS 账户 和应用程序。
## AWS 访问门户网站入门
**对于管理员:**
您需要对您的[组织实例](organization-instances-identity-center.md)或 IAM Identity Center [账户实例](account-instances-identity-center.md)具有管理权限,才能配置 AWS 访问门户并管理用户访问权限。
1. (可选)自定义 AWS 访问门户 URL。
1. 为用户分配对 AWS 账户 和应用程序的访问权限。分配的 AWS 资源显示在门户中。
**对于最终用户:**
您的管理员必须已完成 AWS 访问门户的设置并向您提供了门户 URL 和登录凭证。
1. 从管理员处获取您的门户 URL(通常为 `https://your-company.awsapps.com/start`)。
1. 使用管理员提供的凭证登录。
1. 在您的门户中访问您的资源。
# 配置 AWS 访问门户
作为管理员,您可以自定义 AWS 访问门户以满足组织的需求,并确保用户可以轻松访问其授权资源。
## 您可以配置的内容
**AWS 访问门户激活**:设置访问门户的初始用户 AWS 访问权限,包括用户凭据激活和首次登录流程。
**自定义 AWS 访问门户 URL(可选)**:将组织的 AWS 访问门户 URL 从默认格式 (`d-xxxxxxxxxx.awsapps.com/start`) 个性化为更易于识别的子域 (`your-company.awsapps.com/start`)。
**开始前的准备工作**
确保您对 IAM Identity Center 具有管理访问权限,验证 IAM Identity Center 是否设置为[组织实例](organization-instances-identity-center.md)或[账户实例](account-instances-identity-center.md),并规划您的自定义子域名(这是一次性配置,以后无法更改)。
配置完成后,用户可以使用自定义 URL AWS 访问门户,并按照您为组织建立的激活流程进行操作。
**Topics**
+ [
## 您可以配置的内容
](#what-you-can-configure)
+ [
# 为首次使用 IAM 身份中心的用户激活 AWS 访问门户
](howtoactivateaccount.md)
+ [
# 自定义 AWS 访问门户 URL
](howtochangeURL.md)
+ [
# 确认用户可以登录 AWS 访问门户
](howtosigninprocedure.md)
# 为首次使用 IAM 身份中心的用户激活 AWS 访问门户
如果这是您第一次尝试登录 AWS 访问门户,请查看您的电子邮件以获取有关如何激活用户凭据的说明。
**要激活您的用户凭证**
1. 根据您从公司收到的电子邮件,选择以下方法之一来激活您的用户凭证,以便您可以开始使用 AWS 访问门户。
1. 如果收到主题为**邀请加入 AWS IAM Identity Center** 的电子邮件,请打开邮件并选择**接受邀请**。在**新用户注册**页面上,输入并确认密码,然后选择**设置新密码**。您每次登录门户时都将使用该密码。
1. 如果您收到一封来自公司 IT 支持或 IT 管理员的电子邮件,请按照他们提供的说明来激活您的用户凭证。
1. 通过提供新密码激活用户凭证后, AWS 访问门户会自动为您登录。如果没有发生这种情况,您可以按照 [登录 AWS 访问门户](howtosignin.md) 中提供的说明手动登录 AWS 访问门户。
# 自定义 AWS 访问门户 URL
默认情况下,您可以使用遵循以下格式的 URL AWS 访问访问门户:`d-xxxxxxxxxx.awsapps.com/start`。您可以按如下方式自定义 URL:`your_subdomain.awsapps.com/start`。
**重要**
如果您更改了 AWS 访问门户 URL,则以后将无法对其进行编辑。
**自定义您的网址**
1. 打开 AWS IAM Identity Center 控制台,网址为[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)。
1. 在 IAM Identity Center 控制台中,选择导航窗格中的**控制面板**,然后找到**设置摘要**部分。
1. 选择 AWS 访问门户 URL 下方的**自定义**按钮。
**注意**
如果未显示**自定义**按钮,则表示 AWS 访问门户已被自定义。自定义 AWS 访问门户 URL 是一次性操作,无法撤消。
1. 输入所需的子域名并选择**保存**。
现在,您可以使用自定义 URL 通过 AWS 访问门户登录 AWS 控制台。
# 确认用户可以登录 AWS 访问门户
以下步骤可让 IAM 身份中心管理员确认 IAM Identity Center 用户可以登录 AWS 访问门户并访问 AWS 账户。
**登录 AWS 访问门户**
1. 请执行以下任一操作,登录 AWS 管理控制台。
+ ** AWS (root 用户)新**手 — 选择 R **oot 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
+ **已在使用 AWS (IAM 证书)**— 使用您的 IAM 证书登录并选择管理员角色。
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 在导航窗格中,选择**控制面板**。
1. 在 “**控制面板**” 页面的 **“设置摘要”** 下,选择 AWS 访问门户 URL。
1. 使用以下方式之一登录:
+ 如果您使用 Active Directory 或外部身份提供者(IdP)作为身份源,请使用 Active Directory 或 IdP 用户的凭证登录。
+ 如果您使用默认的 Identity Center 目录作为身份源,请使用您在创建用户时指定的用户名和为该用户指定的新密码登录。
1. 在 “**帐户**” 选项卡中,找到您的 AWS 账户 并将其展开。
1. 将显示可供您使用的角色。例如,如果您同时分配了**AdministratorAccess**权限集和**账单**权限集,则这些角色将显示在 AWS 访问门户中。选择要用于会话的 IAM 角色名称。
1. 如果您被重定向到 AWS 管理控制台,则成功完成了对管理控制台的访问权限的设置 AWS 账户。
**注意**
如果您没有看到任何列出的 **AWS 账户**,则很可能是尚未为该用户分配该账户的权限集。有关为用户分配权限集的说明,请参阅 [为用户或群组分配访问权限 AWS 账户](assignusers.md)。
既然您已确认可以使用 IAM Identity Center 凭证登录,请切换到用于登录的浏览器, AWS 管理控制台 然后使用根用户或 IAM 用户证书注销。
**重要**
我们强烈建议您在登录 AWS 访问门户时使用 IAM Identity Center 管理用户的证书来执行管理任务,而不是使用 IAM 用户或根用户证书。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。要允许其他用户访问您的帐户和应用程序以及管理 IAM Identity Center,请仅通过 IAM Identity Center 创建和分配权限集。
# 使用 AWS 访问门户
您可以通过选择门户中的 AWS 账户 或应用程序选项卡来启动多个应用程序。 AWS 访问门户中存在应用程序图标意味着贵公司的管理员已授予您访问这些 AWS 账户 或应用程序的权限。这也意味着您可以从访问门户 AWS 访问所有这些账户或应用程序,而无需其他登录提示。
## 如何使用 AWS 访问门户
要使用 AWS 访问门户,请执行以下操作:
1. **从管理员处获取您的门户 URL**(通常类似于 `https://your-company.awsapps.com/start`)。
1. 使用管理员提供的凭证**登录**。
1. 在门户中**选择您想要访问的账户和应用程序**。
您的管理员根据您的角色与权限控制您在门户中看到的内容。在这些情况下,请联系您的管理员请求额外访问权限:
+ 您看不到需要访问的 AWS 账户 或应用程序。
+ 您拥有的对给定账户或应用程序的访问权限不是您所期望的。
**Topics**
+ [
## 如何使用 AWS 访问门户
](#how-to-use-access-portal)
+ [
# 登录 AWS 访问门户
](howtosignin.md)
+ [
# 重置您的 AWS 访问门户用户密码
](resetpassword-accessportal.md)
+ [
# 获取 AWS CLI 或的 IAM Identity Center 用户证书 AWS SDKs
](howtogetcredentials.md)
+ [
# 创建指向 AWS 管理控制台 目的地的快捷链接
](createshortcutlink.md)
+ [
# 注册设备进行 MFA
](user-device-registration.md)
+ [
# 查看和结束活跃会话
](end-user-how-to-end-active-sessions-accessportal.md)
# 登录 AWS 访问门户
AWS 访问门户为 IAM Identity Center 用户提供通过门户网站对其分配的所有应用程序 AWS 账户 和应用程序的单点登录访问权限。以下内容概述了如何登录 AWS 访问门户、登录提示以及如何注销 AWS 访问门户。
**先决条件**
需要启用 IAM 身份中心才能使用 AWS 访问门户。有关更多信息,请参阅 [启用 IAM Identity Center](enable-identity-center.md)。
**注意**
登录后, AWS 访问门户会话的默认持续时间为 8 小时。请注意,管理员可以[更改此会话的持续时间](configure-user-session.md)。
## 登录 AWS 访问门户
**登录 AWS 访问门户**
1. 在浏览器窗口中,粘贴提供给您的登录 URL,然后选择 **Enter**。URL 类似于 `d-xxxxxxxxxx.awsapps.com/start` 或 `your_subdomain.awsapps.com/start`。建议您现在创建此门户链接的书签,以便今后可以快速访问。
1. 使用您的标准公司登录凭证登录。
**注意**
如果管理员向您发送了包含一次性密码 (OTP) 的电子邮件,而且这是您首次登录,请输入该密码。登录后,您必须创建新密码以备用于后续登录。
如果系统提示输入**验证码**,请检查您的电子邮件,然后复制验证码并将其粘贴到登录页面中。
**注意**
验证码通常通过电子邮件发送,但送达方式可能有所不同。有关详细信息,请咨询您的管理员。
1. 登录后,您可以访问门户中显示的任何 AWS 账户 和应用程序。
## 受信任设备
当您从登录页面选择选项**这是受信任的设备**时,IAM Identity Center 会将以后从该设备进行的所有登录视为已授权。这意味着,只要您使用的是可信设备,IAM Identity Center 就不会提供输入 MFA 代码的选项。但是,也有一些例外情况,包括使用新浏览器登录或您的设备获得未知 IP 地址时。
## AWS 访问门户的登录提示
以下是一些可帮助您管理 AWS 访问门户体验的提示。
+ 有时,您可能需要注销并重新登录 AWS 访问门户。这对于访问管理员最近分配给您的新应用程序可能必要。但这不是必需的,因为所有新应用程序每小时都会刷新。
+ 登录 AWS 访问门户时,您可以通过选择应用程序的图标来打开该门户中列出的任何应用程序。使用完应用程序后,您可以关闭应用程序或退出 AWS 访问门户。关闭应用程序只是从应用程序注销。您从 AWS 访问门户打开的任何其他应用程序都将保持打开和运行状态。
+ 您必须先退出 AWS 访问门户,然后才能以其他用户身份登录。从门户注销会从浏览器会话中完全删除您的凭证。
+ 登录 AWS 访问门户后,即可切换到角色。切换角色会暂时保留您原来的用户权限,并为您提供分配给该角色的权限。 有关更多信息,请参阅[切换到角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html?icmpid=docs_iam_console)。
## 退出 AWS 访问门户
从门户注销时,您的凭证将从浏览器会话中完全删除。有关更多信息,请参阅*AWS 登录*指南中的[退出 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/aws-access-portal-signing-out-iam-identity-center-user.html)。
**要退出 AWS 访问门户**
+ 在 AWS 访问门户中,从导航栏中选择**注销**。
**注意**
如果您想以其他用户身份登录,则必须先退出 AWS 访问门户。
# 重置您的 AWS 访问门户用户密码
AWS 访问门户为 [IAM Identity Center](what-is.md) 用户提供通过门户网站对其所有分配的 AWS 账户和云应用程序的单点登录访问权限。 AWS 访问门户不同于 [AWS 管理控制台](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/learn-whats-new.html),后者是一组用于管理 AWS 资源的服务控制台。
使用此过程重置 AWS 访问门户的 IAM Identity Center 用户密码。在*AWS 登录 用户指南*中了解有关[用户类型](https://docs.aws.amazon.com//signin/latest/userguide/user-types-list.html)的更多信息。
**注意事项**
AWS 访问门户的重置密码功能仅适用于使用 Identity Center 目录或[AWS Managed Microsoft AD](gs-ad.md)作为其身份源的身份中心实例的用户。如果用户已连接到外部身份提供者或 [AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html),则必须通过外部身份提供者或连接的 Active Directory 完成用户密码重置。
+ 如果身份源是 **IAM Identity Center 目录**,请参阅[在 IAM Identity Center 中管理身份时的密码要求](password-requirements.md)。
+ 如果身份源是 **AWS Managed Microsoft AD**,请参阅[在 AWS Managed Microsoft AD中重置密码时密码要求](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_password_policies.html#how_password_policies_applied)。
**重置 AWS 访问门户的密码**
1. 打开 Web 浏览器,进入 AWS 访问门户的登录页面。
如果您没有 AWS 访问门户 URL,请查看您的电子邮件。您应该已经收到加入 AWS IAM Identity Center 的电子邮件邀请,其中包括 AWS 访问门户的特定登录 URL。或者,您的管理员可能直接向您提供了一次性密码和 AWS 访问门户 URL。如果您找不到此信息,请让您的管理员将其发送给您。
有关登录 AWS 访问门户的更多信息,请参阅[《*AWS 登录 用户指南》*中的登录 AWS 访问门户](https://docs.aws.amazon.com//signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
1. 输入您的**用户名**,然后选择**下一步**。
1. 在**密码**下,选择**忘记密码**。
验证您的**用户名**并输入所提供图像的字符,以确认您不是机器人。然后选择**下一步**。如果无法输入字符,您可能需要禁用广告拦截软件。
1. 将显示一条消息,确认已发送重置密码电子邮件。选择**继续**。
1. 您将收到一封来自 `no-reply@signin.aws` 的电子邮件,主题为**请求重置密码**。在您的电子邮件中,选择**重置密码**。
1. 在**重置密码**页面上,验证您的**用户名**,为 AWS 访问门户指定新密码,然后选择**设置新密码**。
1. 您将收到一封来自 `no-reply@signin.aws` 的电子邮件,主题行**密码已更新**。
**注意**
管理员可以通过向您发送一封包含重置密码说明的电子邮件来重置您的密码,或者生成一次性密码并与您共享。如果您是管理员,请参阅 [重置最终用户的 IAM Identity Center 用户密码](reset-password-for-user.md)。
# 获取 AWS CLI 或的 IAM Identity Center 用户证书 AWS SDKs
您可以使用 AWS Command Line Interface 或带有 IAM Identity Center 用户证书的 AWS 软件开发套件 (SDKs),以编程方式访问 AWS 服务。本主题介绍如何在 IAM Identity Center 中获取用户的临时凭证。
AWS 访问门户为 IAM Identity Center 用户提供了对其应用程序 AWS 账户 和云应用程序的单点登录访问权限。作为 IAM Identity Center 用户登录 AWS 访问门户后,您可以获得临时证书。然后,您可以使用 AWS CLI 或中的证书(也称为 IAM Identity Center 用户证书) AWS SDKs 来访问中的资源 AWS 账户。
如果您使用 AWS CLI 以编程方式访问 AWS 服务,则可以使用本主题中的过程启动对的 AWS CLI访问。有关信息 AWS CLI,请参阅《[AWS Command Line Interface 用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/gcli-chap-welcome.html)。
如果您使用以编程方式访问 AWS 服务,则按照本主题中的步骤还可以直接为建立身份验证。 AWS SDKs AWS SDKs有关信息 AWS SDKs,请参阅[AWS SDKs 和工具参考指南](https://docs.aws.amazon.com/sdkref/latest/guide/overview.html)。
**注意**
IAM Identity Center 中的用户与 [IAM 用户](https://docs.aws.amazon.com/cli/latest/userguide/id_users.html)不同。IAM 用户将获得 AWS 资源的长期证书。IAM Identity Center 中的用户被授予临时凭证。我们建议您使用临时证书作为访问您的证书的最佳安全实践, AWS 账户 因为这些证书是在您每次登录时生成的。
## 先决条件
要获取 IAM Identity Center 用户的临时凭证,您需要以下内容:
+ **IAM Identity Center 用户**——您将以该用户身份登录 AWS 访问门户。您或您的管理员可能会创建此用户。有关如何启用 IAM Identity Center 和创建 IAM Identity Center 用户的信息,请参阅 [开始使用 IAM Identity Center](getting-started.md)。
+ **用户访问权限 AWS 账户— 要**向 IAM Identity Center 用户授予检索其临时证书的权限,您或管理员必须将 IAM Identity Center 用户分配给[权限集](permissionsetsconcept.md)。权限集存储在 IAM Identity Center 中,定义 IAM Identity Center 用户对 AWS 账户的访问级别。如果您的管理员为您创建了 IAM Identity Center 用户,请要求他们为您添加此访问权限。有关更多信息,请参阅 [为用户或群组分配访问权限 AWS 账户](assignusers.md)。
+ **AWS CLI 已安装**-要使用临时证书,必须安装 AWS CLI。有关说明,请参阅 *AWS CLI 用户指南*中的[安装或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
## 注意事项
在完成为 IAM Identity Center 用户获取临时凭证的步骤之前,请记住以下注意事项:
+ **IAM Identity Center 创建 IAM 角色**——当您将 IAM Identity Center 中的用户分配给权限集时,IAM Identity Center 从权限集中创建相应的 IAM 角色。权限集创建的 IAM 角色与通过以下 AWS Identity and Access Management 方式创建的 IAM 角色不同:
+ IAM Identity Center 拥有并保护由权限集创建的角色。只有 IAM Identity Center 可以修改这些角色。
+ 只有 IAM Identity Center 中的用户才能承担与其分配的权限集相对应的角色。您无法将权限集访问权限分配给 IAM 用户、IAM 联合用户或服务帐户。
+ 您无法修改这些角色的角色信任策略以允许访问 IAM Identity Center 外部的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal)。
有关如何获取您在 IAM 中创建的角色的[临时凭证的信息,请参阅 *AWS Identity and Access Management 用户指南*中的使用临时安全凭证 AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli)。
+ **您可以为权限集设置会话持续时间** — 登录 AWS 访问门户后,分配给您的 IAM Identity Center 用户的权限集将显示为可用角色。IAM Identity Center 为此角色创建一个单独的会话。此会话可能为 1 到 12 小时,具体取决于为权限集配置的会话持续时间。默认会话持续时间为一小时。有关更多信息,请参阅 [将会话持续时间设置为 AWS 账户](howtosessionduration.md)。
## 获取和刷新临时凭证
您可以自动或手动获取和刷新 IAM Identity Center 用户的临时凭证。
**Topics**
+ [
### 自动刷新凭证(推荐)
](#how-to-get-temp-credentials-automatic)
+ [
### 手动凭证刷新
](#how-to-get-temp-credentials-manual)
### 自动刷新凭证(推荐)
自动刷新凭证使用 Open ID Connect(OIDC)设备代码授权标准。该方法是使用 AWS CLI中的 `aws configure sso` 命令直接发起访问。您可以使用此命令自动访问与您为任何 AWS 账户分配的任何权限集关联的任何角色。
要访问为您的 IAM Identity Center 用户创建的角色,`aws configure sso`请运行命令,然后 AWS CLI 从浏览器窗口对其进行授权。只要您的 AWS 访问门户会话处于活动状态, AWS CLI 就会自动检索临时证书并自动刷新证书。
有关详细信息,请参阅 *AWS Command Line Interface 用户指南*中的 `aws configure sso wizard` [配置您的配置文件](https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html#sso-configure-profile-token-auto-sso)。
**获取可自动刷新的临时凭证**
1. 使用管理员提供的特定登录 URL 登录 AWS 访问门户。如果您创建了 IAM Identity Center 用户,则会 AWS 发送一封包含您的登录 URL 的电子邮件邀请。有关更多信息,请参阅[《登录*用户指南》中的AWS 登录 AWS *访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
1. 在 “**帐户**” 选项卡中,找到要 AWS 账户 从中检索凭据的。当您选择帐户时,会显示与该帐户关联的帐户名称、帐户 ID 和电子邮件地址。
**注意**
如果您没有看到列出的任何 **AWS 账户**,则可能尚未为该账户分配权限集。在这种情况下,请联系您的管理员并要求他们为您添加此访问权限。有关更多信息,请参阅 [为用户或群组分配访问权限 AWS 账户](assignusers.md)。
1. 在帐户名称下方,分配给您的 IAM Identity Center 用户的权限集显示为可用角色。例如,如果您的 IAM Identity Center 用户被分配到该账户的**PowerUserAccess**权限集,则该角色在 AWS 访问门户中显示为**PowerUserAccess**。
1. 根据角色名称旁边的选项,选择**访问密钥**图标或选择**命令行或编程访问**。
1. 在 “**获取凭据**” 对话框中,选择 **macOS 和 Linux**、**Windows** 或 **PowerShell**,具体取决于您安装的操作系统。 AWS CLI
1. 在 **AWS IAM Identity Center 凭证(推荐)下**,将显示您的 `SSO Start URL` 和 `SSO Region`。将启用 IAM Identity Center 的配置文件和 `sso-session` 配置为 AWS CLI需要这些值。要完成此配置,请按照 *AWS Command Line Interface 用户指南*中的使用 [`aws configure sso wizard` 配置您的配置文件](https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html#sso-configure-profile-token-auto-sso)中的说明进行操作。
根据 AWS CLI 需要继续使用, AWS 账户 直到证书过期。
### 手动凭证刷新
您可以使用手动凭据刷新方法来获取与特定 AWS 账户中的特定权限集关联的角色的临时凭证。为此,您可以复制并粘贴临时凭证所需的命令。使用此方法,您必须手动刷新临时凭证。
在临时证书到期之前,您可以运行 AWS CLI 命令。
**获取您手动刷新的凭证**
1. 使用管理员提供的特定登录 URL 登录 AWS 访问门户。如果您创建了 IAM Identity Center 用户,则会 AWS 发送一封包含您的登录 URL 的电子邮件邀请。有关更多信息,请参阅[《登录*用户指南》中的AWS 登录 AWS *访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
1. 在**账户**选项卡中,找到您要 AWS 账户 从中检索访问凭证的,然后将其展开以显示 IAM 角色名称(例如**管理员**)。根据 IAM 角色名称旁边的选项,选择**访问密钥**图标或选择**命令行或编程访问**。
**注意**
如果您没有看到列出的任何 **AWS 账户**,则可能尚未为该账户分配权限集。在这种情况下,请联系您的管理员并要求他们为您添加此访问权限。有关更多信息,请参阅 [为用户或群组分配访问权限 AWS 账户](assignusers.md)。
1. 在 “**获取凭据**” 对话框中,选择 **macOS 和 Linux **PowerShell****、**Windows** 或,具体取决于您安装的操作系统。 AWS CLI
1. 选择以下任一选项:
+ **选项 1:设置 AWS 环境变量**
选择此选项可覆盖所有凭证设置,包括 `credentials` 文件和 `config` 文件中的任何设置。有关更多信息,请参阅 *AWS CLI 用户指南*中的[环境变量配置 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html)。
要使用此选项,请将命令复制到剪贴板,将命令粘贴到 AWS CLI 终端窗口,然后**按 Enter** 键设置所需的环境变量。
+ **选项 2:在您的 AWS 凭证文件中添加个人资料**
选择此选项可使用不同的凭证集运行命令。
要使用此选项,请将命令复制到剪贴板,然后将命令粘贴到共享 AWS `credentials`文件中以设置新的命名配置文件。有关更多信息,请参阅《工具参考指南》[和《*工具参考指南》中的共享配置AWS SDKs 和*凭据文件](https://docs.aws.amazon.com/sdkref/latest/guide/file-format.html)。要使用此凭证,请在 AWS CLI 命令中指定该`--profile`选项。这会影响使用相同凭证文件的所有环境。
+ **选项 3:在 AWS 服务客户端中使用个人值**
选择此选项可从 AWS 服务客户端访问 AWS 资源。有关更多信息,请参阅[用于在 AWS上进行构建的工具](https://aws.amazon.com/tools/)。
要使用此选项,请将值复制到剪贴板,将这些值粘贴到代码中,然后将其分配给适合您的 SDK 的相应变量。有关更多信息,请参阅特定 SDK API 的文档。
# 创建指向 AWS 管理控制台 目的地的快捷链接
在 AWS 访问门户中创建的快捷方式链接将 IAM Identity Center 用户带到具有特定权限集和特定权限集的特定目的地 AWS 账户。 AWS 管理控制台
快捷方式链接可以为自己和协作者节省时间。您无需通过多个页面(包括 AWS 访问门户)导航到所需的目标 URL AWS 管理控制台 (例如,Amazon S3 存储桶实例页面),而是可以使用快捷链接自动到达同一个目的地。
## 快捷方式链接目标选项
快捷方式链接有三个目标选项,此处按优先级列出:
+ (可选)快捷方式链接中 AWS 管理控制台 指定的任何目标 URL。例如,Amazon S3 存储桶实例页面。
+ (可选)管理员为相关权限集配置的中继状态 URL。有关设置中继状态的更多信息,请参阅[设置中继状态以便快速访问 AWS 管理控制台](howtopermrelaystate.md)。
+ AWS 管理控制台 家。未指定目标时的默认目标。
**注意**
只有当您通过 IAM Identity Center 进行身份验证并且为 AWS 账户和目标 URL 分配了必要的权限集时,才能成功自动导航到目的地。
AWS 访问门户包含一个 “**创建快捷方式**” 按钮,可帮助您创建可共享的快捷方式链接。如果打算指定目标 URL(上一个列表中的第一个选项),则可以将该 URL 复制到剪贴板进行共享。
## 在 AWS 访问门户中创建快捷方式链接
1. 登录 AWS 访问门户后,选择 “**帐户**” 选项卡,然后选择 “**创建快捷方式**” 按钮。
1. 在对话框中:
1. AWS 账户 使用账户 ID 或账户名选择。键入时,下拉菜单会显示您可以访问的匹配帐户 IDs 和名称。您只能选择自己有权访问的账户。
1. (可选)从下拉列表中选择 IAM 角色。这些是分配给选定账户的权限集。如果您省略选择角色,则在使用快捷方式链接时,系统会提示用户为所选账户选择一个分配给他们的角色。
**注意**
您无法通过快捷方式链接授予新的访问权限。快捷方式链接仅适用于已分配给用户的权限集。如果用户没有为账户和目标 URL 分配的必要权限集,则会被拒绝访问。
1. (可选)输入 AWS 访问门户的目标 URL。如果您省略输入 URL,则在使用快捷方式链接时,将根据前面提到的快捷方式链接目标选项自动确定目标。
1. 根据输入内容,快捷方式链接会在对话框底部生成。选择**复制 URL** 按钮。现在,您可以使用复制的快捷方式链接创建书签,也可以与具有相同权限集或其他足够权限集以访问同一个账户的协作者共享书签。
## 使用 URL 编码构造安全的 AWS 管理控制台 快捷方式链接
URL 的所有参数值,包括账户 ID、权限集名称和目标 URL,都必须经过 URL 编码。
快捷链接使用以下路径扩展了 AWS 访问门户 URL:
`/#/console?account_id=[account_ID]&role_name=[permission_set_name]&destination=[destination_URL]`
经典 AWS 分区中的完整 URL 遵循以下模式:
**IPv4 端点:**
`https://[your_subdomain].awsapps.com/start/#/console?account_id=[account_ID]&role_name=[permission_set_name]&destination=[destination_URL]`
**双栈端点**
`https://[identity_center_instance_id].portal.[region].app.aws/#/console?account_id=[account_ID]&role_name=[permission_set_name]&destination=[destination_URL]`
以下是一个快捷方式链接示例,使用 `S3FullAccess` 权限集让用户登录 `123456789012` 账户,并将他们引导至 S3 控制台主页:
+ **IPv4 端点:**`https://example.awsapps.com/start/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.aws.amazon.com%2Fs3%2Fhome`
+ **双栈端点:**`https://ssoins-1234567890abcdef.portal.us-east-1.app.aws/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.aws.amazon.com%2Fs3%2Fhome`
+ **(AWS GovCloud (US) Region) IPv4 端点:**`https://start.us-gov-west-1.us-gov-home.awsapps.com/directory/example/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.amazonaws-us-gov.com%2Fs3%2Fhome`
+ **(AWS GovCloud (US) Region) 双栈端点:**`https://ssoins-1234567890abcdef.portal.us-gov-west-1.app.aws/#/console?account_id=123456789012&role_name=S3FullAccess&destination=https%3A%2F%2Fconsole.amazonaws-us-gov.com%2Fs3%2Fhome`
# 注册设备进行 MFA
对于 Identity Center 目录中的用户,请在 AWS 访问门户中使用以下过程来注册新设备以进行多重身份验证(MFA)。
**重要**
目前,[外部身份提供者](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)不支持 IAM Identity Center 中的 MFA。
## 开始前的准备工作
我们建议您先将适当的身份验证器应用程序下载到您的设备上,然后再开始执行此过程中的步骤。有关可以在 MFA 设备上使用的应用程序的列表,请参阅 [虚拟身份验证器应用程序](mfa-types.md#mfa-types-apps)。
## 注册您的设备
**注册您的设备,以便在 MFA 上使用**
1. 登录您的 AWS 访问门户。有关更多信息,请参阅 [登录 AWS 访问门户](howtosignin.md)。
1. 在页面右上角附近,选择 **MFA 设备**。
1. 在**多重身份验证 (MFA) 设备**页面上,选择**注册设备**。
**注意**
如果**注册 MFA 设备**选项显示为灰色,请联系您的管理员以获取注册设备的帮助。
1. 在**注册 MFA 设备**页面上,选择以下 MFA 设备类型之一,然后按照说明进行操作:
+ **身份验证器应用程序**
1. 在**设置身份验证器应用程序**页面上,您可能会注意到新 MFA 设备的配置信息,包括 QR 代码图形。该图表示可在不支持 QR 码的设备上手动输入的密钥。
1. 使用物理 MFA 设备,执行以下操作:
1. 打开兼容的 MFA 身份验证器应用程序。有关可以在 MFA 设备上使用的经过测试的应用程序的列表,请参阅 [虚拟身份验证器应用程序](mfa-types.md#mfa-types-apps)。如果 MFA 应用支持多个帐户(多个 MFA 设备),请选择创建新帐户(新的 MFA 设备)的选项。
1. 确定 MFA 应用程序是否支持 QR 码,然后在**设置身份验证器应用程序**页面上执行以下操作之一:
1. 选择**显示 QR 代码**,然后使用该应用程序扫描 QR 代码。例如,您可选择摄像头图标或选择类似于 **Scan code**(扫描代码)的选项,然后使用装置的摄像头扫描此代码。
1. 选择**显示密钥**,然后将该密钥输入到您的 MFA 应用程序中。
**重要**
当您为 IAM Identity Center 配置 MFA 设备时,我们建议您将 QR 码或密钥的副本保存*在安全的位置*。如果您丢失手机或必须重新安装 MFA 身份验证器应用程序,这会有所帮助。如果出现上述任一情况,您可以快速重新配置应用程序,使其使用相同的 MFA 配置。
1. 在**设置身份验证器应用程序**页面的**身份验证器代码**下,输入当前显示在物理 MFA 设备上的一次性密码。
**重要**
生成代码之后立即提交您的请求。如果您生成代码,然后等待太长时间才提交请求,则 MFA 设备已成功与您的用户关联,但 MFA 设备不同步。这是因为基于时间的一次性密码(TOTP)很快会过期。如果发生这种情况,您可以再次同步设备。
1. 选择**分配 MFA**。MFA 设备现在可以开始生成一次性密码,现在可以与之配合使用了。 AWS
+ **安全密钥**或**内置身份验证器**
1. 在**注册用户的安全密钥**页面上,按照浏览器或平台提供的说明进行操作。
**注意**
体验会因浏览器或平台而异。成功注册设备后,您可以将友好的显示名称与新注册的设备关联起来。要更改名称,请选择**重命名**,输入新名称,然后选择**保存**。
# 查看和结束活跃会话
您可以使用 AWS 访问门户查看活动会话列表,并在需要时结束一个或多个会话。
**使用 AWS 访问门户结束活动会话**
1. 登录您的 AWS 访问门户。有关更多信息,请参阅 [登录 AWS 访问门户](howtosignin.md)。
1. 在页面右上角附近,选择**安全**。
1. 在**安全**页面上,**活跃会话**旁边的括号中的数字表示您有多少个活跃会话。选择要结束的每个会话旁边的复选框,然后选择**结束会话**。
**提示**
对于用户后台会话,您可以通过使用该会话的作业的 Amazon 资源名称(ARN)来搜索会话。在**会话类型**列表中,选择**用户后台会话**,然后在搜索框中输入作业 ARN。
您只能结束已加载的活跃会话。如果您有许多会话,请选择**加载更多活跃会话**,以显示其他会话。
1. 选择要结束的每个会话旁边的复选框,然后选择**结束会话**。
1. 此时会出现一个对话框,确认您正在结束活跃会话。查看信息,如果要继续,请键入 `confirm`,然后选择**结束会话**。
1. 您将返回到活跃会话列表。此时会出现绿色通知消息,表示所选会话已成功结束。