aws loginとaws configure ssoが紛らわしい話
この記事はAWS Community Builders Advent Calendar 2025の7日目の記事です。
tl;dr
これまで使っていたiam userでのaws cliの認証はaccess key, secret keyを廃止して、aws login、iam identity centerで管理しているuserのaws cliの認証はaws configure ssoをこれまで通り使うのが良さそう。
iam identity centerでのuser管理、aws cli認証に詳しくない方は拙著、以下をご覧悦ください。
aws login
aws loginとは、今年の11月にリリースされた機能である。
aws login コマンドは、複数アカウント・ロールを profile ベースで切り替える前提で設計されている。
aws login --profile work
aws login --profile private
みたいに profile ごとに aws login しておいて、実行時は
aws sts get-caller-identity --profile work
という形で 必ず --profile を明示する運用。
今後の公式推しルートになりそうなので、新しく設定するときには、aws loginを使っていくのが良さそう。
aws configure ssoとの使い分け
iam identity centerで管理しているaws ouの、bedrockのclaudeにclaude codeから繋いでいる状態だった。
claude codeのbedrock疎通がセッション切れでうまくいかなくなって
aws configure sso --profile sandbox-pacy
で設定しているprofileに、
aws login --profile sandbox-pacy
から認証してみた。
ブラウザが表示されて一見うまくいったように見えるが、claude codeからbedrockに疎通できなかった。
試しに
aws configure sso --profile sandbox-pacy
から認証してみると、再度bedrockに疎通できるようになった。
aws sts get-caller-identity
あたりを打ってもうまくいっているように見えていたので巧妙な罠だった。
これまで使っていたiam userでのaws cliの認証はaccess key, secret keyを廃止して、aws login、iam identity centerで管理しているuserのaws cliの認証はaws configure ssoをこれまで通り使うのが良さそう。
おしまい。
Discussion