背景
每次 AWS 临时凭证过期都要手动重新配置,实在太麻烦了。其实 AWS CLI v2 提供了基于 SSO Session
的自动刷新机制,配置一次就能省心不少。
操作步骤
1. 运行 aws configure sso
aws configure sso
按照提示依次填写:
| 配置项 | 说明 | 示例 |
|---|---|---|
| SSO session name | 会话名称,随便起 | lex-sandbox-sso |
| SSO start URL | 在 IAM Identity Center 控制台获取 | https://d-xxxxxx.awsapps.com/start/# |
| SSO region | SSO 服务所在区域 | us-west-2 |
| SSO registration scopes | 授权范围 | sso:account:access |
关于 registration scopes:对于 CLI 日常使用,填
sso:account:access就够了。它允许 CLI
列出你有权限的账户和角色。完整的 scope 列表可以在 IAM Identity Center 控制台的「应用程序」中查看。
填完后浏览器会自动弹出授权页面,确认即可。随后 CLI 会列出你可用的账户和角色,选择后完成配置。
2. 设为默认 Profile
配置完成后,AWS 会在 ~/.aws/config 中生成一个命名 Profile。如果不想每次都带 --profile 参数,可以直接把它改成
[default]:
[default]
sso_session = lex-sandbox-sso
sso_account_id = xxxxx
sso_role_name = AdministratorAccess
region = us-west-2[sso-session lex-sandbox-sso]
sso_start_url = https://d-xxxxxx.awsapps.com/start/#
sso_region = us-west-2
sso_registration_scopes = sso:account:access
3. 日常使用
配置完成后直接使用即可:
aws sts get-caller-identity
Token 过期后,只需一条命令重新登录,无需重新配置:
aws sso login --sso-session lex-sandbox-sso
核心原理
传统的 SSO 配置(legacy)获取的 token 是一次性的,过期就得重走整个流程。而基于 sso-session 的新方式使用 OAuth 2.0 的
refresh token 机制,可以自动续期,大幅减少手动登录的频率。
小结
sso:account:access是 CLI 场景下最常用的 scope,直接填就行- 把 SSO Profile 设为
[default]可以省去每次敲--profile的麻烦 - 相比传统方式,
sso-session支持 token 自动刷新,体验好很多
Set it up once, never look back.