這是 AWS CDK v2 開發人員指南。較舊的 CDK v1 已於 2022 年 6 月 1 日進入維護,並於 2023 年 6 月 1 日結束支援。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS CDK CLI 的安全登入資料
當您使用 AWS 雲端開發套件 (AWS CDK) 在本機環境中開發應用程式時,主要會使用 AWS CDK 命令列界面 (AWS CDK CLI) 與 互動 AWS。例如,您可以使用 CDK CLI 部署應用程式,或從 AWS 環境中刪除資源。
若要使用 CDK CLI 與 互動 AWS,您必須在本機電腦上設定安全登入資料。這可讓 AWS 知道您是誰,以及您擁有哪些許可。
若要進一步了解安全登入資料,請參閱《*IAM 使用者指南*》中的[AWS 安全登入](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)資料。
## 先決條件
設定安全登入資料是*入門*程序的一部分。在 [AWS CDK 入門](getting-started.md)中完成所有先決條件和先前的步驟。
## 如何設定安全登入資料
設定安全登入資料的方式取決於您或您的組織管理使用者的方式。無論您是使用 AWS Identity and Access Management (IAM) 或 AWS IAM Identity Center,我們建議您使用 AWS Command Line Interface (AWS CLI) 來設定和管理 CDK CLI 的安全登入資料。這包括使用 之類的 AWS CLI 命令`aws configure`,在您的本機電腦上設定安全登入資料。不過,您可以使用替代方法,例如手動更新 `config`和 `credentials` 檔案,或設定環境變數。
如需使用 CLI AWS 設定安全登入資料的指引,以及使用不同方法時的組態和登入資料優先順序資訊,請參閱《 * AWS 命令列界面使用者指南*》中的[身分驗證和存取登入](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html)資料。CDK CLI 遵循與 CLI AWS 相同的組態和登入資料優先順序。`--profile` 命令列選項優先於環境變數。如果您同時設定 `AWS_PROFILE`和 `CDK_DEFAULT_PROFILE`環境變數,則以`AWS_PROFILE`環境變數為優先。
如果您設定多個設定檔,您可以使用 CDK CLI ` --profile `選項搭配任何命令來指定要用於身分驗證之 `credentials`和 `config` 檔案的設定檔。如果您不提供 `--profile`,則會使用 `default`設定檔。
如果您偏好快速設定基本設定,包括安全登入資料,請參閱《 * AWS 命令列界面使用者指南*》中的[設定 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html)。
在本機電腦上設定安全登入資料後,您可以使用 CDK CLI 與 互動 AWS。
## 設定和管理 IAM Identity Center 使用者的安全登入資料
IAM Identity Center 使用者可以向 IAM Identity Center 進行身分驗證,或使用短期憑證手動進行身分驗證。
**使用 IAM Identity Center 驗證以產生短期憑證**
您可以設定 AWS CLI 以向 IAM Identity Center 進行身分驗證。這是為 IAM Identity Center 使用者設定安全登入資料的建議方法。IAM Identity Center 使用者可以使用 AWS CLI `aws configure sso`精靈來設定 IAM Identity Center 設定檔和 `sso-session`,這些設定檔會存放在本機電腦上的 `config` 檔案中。如需說明,請參閱《 * AWS 命令列界面使用者指南*》中的[設定 AWS CLI 以使用 AWS IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html)。
接下來,您可以使用 AWS CLI `aws sso login`命令來請求重新整理的登入資料。您也可以使用此命令來切換設定檔。如需說明,請參閱[《 命令列界面使用者指南》中的使用名為設定檔的 IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/sso-using-profile.html)。 * AWS *
驗證後,您可以使用 CDK CLI AWS 在工作階段期間與 互動。如需範例,請參閱[範例:使用 IAM Identity Center 驗證自動權杖重新整理,以便與 AWS CDK CLI 搭配使用](configure-access-sso-example-cli.md)。
**手動設定短期登入資料**
除了使用 AWS CLI 和透過 IAM Identity Center 驗證之外,IAM Identity Center 使用者可以從 AWS 管理主控台取得短期憑證,並在本機電腦上手動設定 `credentials`和 `config` 檔案。設定完成後,您可以使用 CDK CLI 與 互動, AWS 直到您的登入資料過期為止。如需說明,請參閱《 * AWS 命令列界面使用者指南*》中的[使用短期憑證進行身分驗證](https://docs.aws.amazon.com/cli/latest/userguide/cli-authentication-short-term.html)。
## 設定和管理 IAM 使用者的安全登入資料
IAM 使用者可以搭配 CDK CLI 使用 IAM 角色或 IAM 使用者憑證。
**使用 IAM 角色來設定短期憑證**
IAM 使用者可以擔任 IAM 角色,以取得額外的 (或不同的) 許可。對於 IAM 使用者,建議採用此方法,因為它提供短期登入資料。
首先,必須設定 IAM 角色和使用者擔任角色的許可。這通常是由管理員使用 AWS 管理主控台或 CLI AWS 執行。然後,IAM 使用者可以使用 AWS CLI 擔任角色,並在其本機電腦上設定短期憑證。如需說明,請參閱[《 命令列界面使用者指南》中的在 AWS CLI 中使用 IAM 角色](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)。 * AWS *
**使用 IAM 使用者登入資料**
為了避免安全風險,我們不建議使用 IAM 使用者登入資料,因為它們提供長期存取。如果您必須使用長期登入資料,我們建議您[更新存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)做為 IAM 安全最佳實務。
IAM 使用者可以從 AWS 管理主控台取得存取金鑰。然後,您可以使用 AWS CLI 在本機電腦上設定長期登入資料。如需說明,請參閱《 * AWS 命令列界面使用者指南*》中的[使用 IAM 使用者憑證進行驗證](https://docs.aws.amazon.com/cli/latest/userguide/cli-authentication-user.html)。
## 其他資訊
若要了解您可以登入的不同方式 AWS,取決於您的使用者類型,請參閱 [AWS 登入使用者指南中的什麼是登入?](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html)。 * AWS *
如需使用 AWS SDKs和工具時的參考資訊,包括 AWS CLI,請參閱 [AWS SDKs和工具參考指南](https://docs.aws.amazon.com/sdkref/latest/guide/overview.html)。