使用 身份进行身份验证 - AWS IoT Analytics
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 身份进行身份验证

身份验证是您使用身份凭证登录 AWS 的方法。有关使用 AWS 管理控制台,请参阅 的 IAM控制台和登录页面IAM 用户指南.

您必须 已验证 (签到 AWS)作为 AWS 帐户根用户, IAM 用户,或通过假设 IAM 角色。您还可以使用公司的单一登录身份验证方法,甚至使用 Google 或 Facebook 登录。在这些案例中,您的管理员以前使用 IAM 角色设置了联合身份验证。在您使用来自其他公司的凭证访问 AWS 时,您间接地代入了角色。

要直接登录 AWS 管理控制台,请将密码与根用户电子邮件或您的 IAM 用户名。您可以访问 AWS 以编程方式使用您的根用户或 IAM 用户访问键。 AWS 提供SDK和命令行工具,以使用凭证对请求进行加密签名。如果您不使用 AWS 工具,则必须自行对请求签名。使用签名版本 4(用于对入站 API 请求进行验证的协议)完成此操作。有关验证请求的更多信息,请参阅 签名版本4签名流程AWS General Reference.

无论使用何种身份验证方法,您可能还需要提供其他安全信息。例如,AWS 建议您使用多重身份验证 (MFA) 来提高账户的安全性。要了解更多信息,请参阅 在中使用多因素身份验证(MFA) AWSIAM 用户指南.

AWS 账户根用户

当您首次创建 AWS 账户时,最初使用的是一个对账户中所有 AWS 服务和资源有完全访问权限的单点登录身份。这种身份被称为 AWS 账户 根用户 和通过使用您用于创建帐户的电子邮件地址和密码登录来访问。强烈建议您不使用根用户执行日常任务,即使是管理任务。相反,请遵守 仅使用根用户先创建的最佳实践方法 IAM 用户. 然后请妥善保存根用户凭证,仅用它们执行少数账户和服务管理任务。

IAM 用户和组

IAM 用户是 AWS 账户内对某个人员或应用程序具有特定权限的一个身份。IAM 用户可以拥有长期凭证,例如用户名和密码或一组访问密钥。要了解如何生成访问密钥,请参阅 管理的访问密钥 IAM 用户IAM 用户指南. 当您为 IAM ,确保您的视图并安全保存密钥对。您无法恢复丢失的秘密访问密钥。而是必须生成新的访问密钥对。

IAM 组 是指定一个 IAM 用户集合的身份。您不能使用组的身份登录。您可以使用组来一次性为多个用户指定权限。如果有大量用户,使用组可以更轻松地管理用户权限。例如,您可能有一个名为的组 IAMAdmins 并给予该组权限来管理 IAM 资源。

用户不同于角色。用户唯一地与某个人员或应用程序关联,而角色旨在让需要它的任何人代入。用户具有永久的长期凭证,而角色提供临时凭证。要了解更多信息,请参阅 何时创建 IAM 用户(而非角色)IAM 用户指南.

IAM 角色

IAM 角色 是 AWS 账户中具有特定权限的实体。它类似于 IAM 用户,但未与特定人员关联。您可以通过切换角色,在 AWS 管理控制台中暂时代入 IAM 角色。您可以调用 AWS CLI 或 AWS API 操作或使用自定义 URL 以代入角色。有关使用角色的方法的更多信息,请参阅 使用 IAM 角色IAM 用户指南.

具有临时凭证的 IAM 角色在以下情况下很有用:

  • 临时 IAM 用户权限 -安 IAM 用户可以假设 IAM 角色,以临时获取特定任务的不同权限。

  • 联合用户访问 -而不是创建 IAM 用户,您可以使用现有身份 AWS Directory Service、您的企业用户目录或Web身份提供程序。这些被称为 联合用户。 AWS 在通过 身份提供程序. 有关联合用户的更多信息,请参阅 联合用户和角色IAM 用户指南.

  • 跨账户访问 -您可以使用 IAM 角色,以允许不同帐户中的某人(受信任的委托人)访问您帐户中的资源。角色是授予跨帐户访问权限的主要方式,请参阅 如何 IAM 角色与基于资源的策略不同IAM 用户指南.

  • AWS 服务访问 -服务角色是 IAM 服务在您的帐户中代表执行操作所承担的角色。在设置一些 AWS 服务环境时,您必须为服务定义要代入的角色。此服务角色必须包含服务访问 AWS 需要的资源。服务角色因服务而异,但只要您满足服务记录在案的要求,许多服务都允许您选择权限。服务角色仅在您的帐户中提供访问权限,并且不能用于对其他帐户的服务进行重大访问。您可以在 IAM 中创建、修改和删除服务角色。例如,您可以创建一个角色,此角色允许 Amazon Redshift 代表您访问 Amazon S3 存储桶,然后将该存储桶中的数据加载到 Amazon Redshift 集群中。有关更多信息,请参阅 创建将权限委派给 AWS 服务IAM 用户指南.

  • 应用程序运行于 Amazon EC2 -您可以使用 IAM 角色管理在EC2实例上运行的应用程序的临时凭证,并 AWS CLI 或 AWS API请求。这优先于在 EC2 实例中存储访问密钥。要将 AWS 角色分配给 EC2 实例并使其对该实例的所有应用程序可用,您可以创建一个附加到实例的实例配置文件。实例配置文件包含角色,并使 EC2 实例上运行的程序能够获得临时凭证。有关更多信息,请参阅 使用 IAM 角色授予在上运行的应用程序的权限 Amazon EC2 实例IAM 用户指南.

学习是否使用 IAM 角色,请参阅 何时创建 IAM 角色(而不是用户) IAM 用户指南.