結論
Orgnization に所属する Account に対して、AWS CLI で SSO する場合は、SSO start URL
を Identity Center directory の AWS access portal URL
に変更しよう。
IdP が異なるなら、SSO start URL
もまた異なる。
なにがあったのか
Orgnization に所属する Account に対して、AWS CLI で SSO を試みた。手順は以下のとおりである。
https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html
失敗した。画面に以下のエラーメッセージが表示された。はじめはパスワードを間違えたのかと思ったが、AWS CLI 経由ではなく画面からはログインできていたのでそういうわけでもなさそう。
Something doesn't compute We couldn't verify your sign-in credentials. Please try again.
どうすればいいか
SSO start URL
を Identity Center directory の AWS access portal URL
に書き換えると成功した。
そういえば 画面からログインする場合は AWS access portal URL
を使用していることに気づいた。
失敗する:
$ aws configure sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
成功する:
$ aws configure sso
SSO start URL [None]: [`AWS access portal URL`]