身份验证 - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

身份验证

访问 Amazon Backup 或正在备份的 Amazon 服务需要 Amazon 能够用来验证您的请求的证书。您可以 Amazon 作为以下任何类型的身份进行访问:

  • Amazon Web Services 账户 root 用户 — 注册时 Amazon,您需要提供与您的 Amazon 帐户关联的电子邮件地址和密码。这就是您的 Amazon Web Services 账户 根用户。其凭证可让您完全访问您的所有 Amazon 资源。

    重要

    出于安全原因,建议您仅使用根用户来创建管理员。管理员是对您拥有完全权限的IAM用户 Amazon Web Services 账户。然后,您可以使用此管理员用户创建其他权限有限的IAM用户和角色。有关更多信息,请参阅《用户指南》中的IAM最佳实践和创建您的第一个IAM管理员IAM用户和群组

  • IAM用户IAM用户是您内部 Amazon Web Services 账户 具有特定自定义权限(例如,创建用于存储备份的备份存储库的权限)的身份。您可以使用IAM用户名和密码登录安全 Amazon 网页 Amazon Web Services Management Console,例如Amazon 讨论论坛Amazon Web Services Support 中心

    除了用户名和密码之外,您还可以为每个用户生成访问密钥。当你以编程方式访问 Amazon 服务时,你可以使用这些密钥,无论是通过几个密钥中的一个SDKs还是使用 Amazon Command Line Interface (Amazon CLI)。SDK和 Amazon CLI 工具使用访问密钥对您的请求进行加密签名。如果您不使用 Amazon 工具,则必须自行对请求签名。有关验证请求的更多信息,请参阅《Amazon Web Services 一般参考》 中的签名版本 4 签名流程

  • IAM角色-IAM角色是您可以在账户中创建的具有特定权限的另一个IAM身份。它与IAM用户类似,但与特定人员无关。IAM角色使您能够获得可用于访问 Amazon 服务和资源的临时访问密钥。IAM具有临时证书的角色在以下情况下很有用:

    • 联合用户访问权限-您可以使用企业IAM用户目录或 Web 身份提供商中 Amazon Directory Service预先存在的用户身份,而不是创建用户。这些用户称为联合用户。在通过身份提供者请求访问权限时, Amazon 将为联合用户分配角色。有关联合用户的更多信息,请参阅《用户指南》中的联合IAM用户和角色

    • 跨账户管理-您可以使用账户中的IAM角色授予其他 Amazon Web Services 账户 权限来管理您的账户的资源。有关示例,请参阅《IAM用户指南》中的教程:跨 Amazon Web Services 账户 IAM角色委派访问权限

    • Amazon 服务访问权限 — 您可以使用账户中的IAM角色向 Amazon 服务授予访问您账户资源的权限。有关更多信息,请参阅《IAM用户指南》中的创建角色以向 Amazon 服务委派权限

    • 在亚马逊弹性计算云 (AmazonEC2) 上运行的应用程序 — 您可以使用IAM角色管理在亚马逊EC2实例上运行并发出 Amazon API请求的应用程序的临时证书。这比在EC2实例中存储访问密钥更可取。要为EC2实例分配 Amazon 角色并使其可供其所有应用程序使用,您需要创建一个附加到该实例的实例配置文件。实例配置文件包含该角色,并允许在EC2实例上运行的程序获得临时证书。有关更多信息,请参阅IAM用户指南中的使用IAM角色向在 Amazon EC2 实例上运行的应用程序授予权限