aws loginとaws sso loginの違い

目次

aws loginとaws sso loginの違い

項目 aws login aws sso login
認証のベース AWSマネジメントコンソールのセッション(認証情報) IAM Identity Center(旧SSO)
事前設定 比較的少ない aws configure ssoでSSOプロファイル設定が必要
ブラウザ 自動で開く 自動で開く
主な用途 コンソール認証情報を使ったCLIログイン IAM Identity Center用CLIログイン
複数アカウントにアクセスできる
ログアウト aws logout aws sso logout

aws login:コンソールセッションを基点にする仕組みです。
aws sso login:IAM Identity Centerを基点にする仕組みです。

 

両方ともIAMアクセスキーの代替となります。
ただし、どちらも基本的に人がブラウザでログインして一時認証情報を取得する方式のため、時間起動の無人バッチ処理には向いていません。

aws loginとは

aws loginはAWSマネジメントコンソールの認証情報を使ってローカル開発用にログインするAWS CLIのコマンドです。

loginコマンドを実行するたびに、CLIは選択したコンソールセッションに対応する一時的な認証情報とリフレッシュトークンを取得し、リフレッシュトークンが有効な間は自動的に一時認証情報を更新します。

実行するとブラウザウィンドウが自動的に開いてサインインを完了させます。

 

aws loginを使うために必要な設定

必要なもの 内容
AWSCLIv2 awsloginはAWSCLI2.32.0以上が必要です。
AWSコンソールにログインできるユーザー root、IAMユーザー、またはIAMフェデレーションユーザーでコンソールログインできる必要があります。
IAM権限 IAMユーザー/ロール/グループにSignInLocalDevelopmentAccess管理ポリシーが必要です。rootの場合は追加権限不要です。
ブラウザ 通常はブラウザ認証が開きます。ブラウザが使えない端末では--remoteを使います。
リージョン設定 未設定の場合、初回実行時にリージョンを聞かれます。

aws sso loginとは

aws sso loginは、IAM Identity Center(旧AWS SSO)でCLIの認証を行うコマンドです。

・実行するとブラウザが開き、IdentityCenterのサインイン画面で認証します
・認証成功後、一時的な認証情報がローカルにキャッシュされます
・事前にaws configure ssoでSSOプロファイルを設定しておく必要があります
・長期のアクセスキーを使わずに済みます

関連の記事

AWS IAMとIAM Identity Centerの違い

△上に戻る