本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是身份验证?
身份验证是您如何使用您的凭证登录 Amazon。
作为委托人,您必须身份验证(登录到Amazon) 使用实体(根用户、IAM 用户或 IAM 角色)将请求发送到Amazon. IAM 用户可能具有长期凭证,例如用户名和密码或一组访问密钥。当您代入 IAM 角色时,您将收到临时安全凭证。
要作为用户从 Amazon Web Services Management Console中进行身份验证,您必须使用用户名和密码登录。要从 Amazon CLI 或 Amazon API 进行身份验证,您必须提供访问密钥和私有密钥或临时凭证。Amazon 提供开发工具包和 CLI 工具,使用您的凭证以加密方式对您的请求进行签名。如果您不使用 Amazon 工具,则必须自行对请求签名。无论使用何种身份验证方法,您可能还需要提供其它安全信息。例如,Amazon 建议您使用多重身份验证 (MFA) 来提高账户的安全性。
作为委托人,您可以使用以下实体(用户或角色)登录 Amazon:
-
IAM 用户— 一个IAM 用户是你的内部的实体Amazon具有特定权限的账户。 MediaConvert 支持签名版本 4,用于对入站 API 请求进行身份验证的协议。有关验证请求的更多信息,请参阅Signature Version 4 签名流程中的Amazon一般参考.
-
IAM 角色 – IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 Amazon 身份,具有确定其在 Amazon 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。具有临时凭证的 IAM 角色在以下情况下很有用:
-
联合身份用户访问 – 您可以不创建 IAM 用户,而是使用来自 Amazon Directory Service、您的企业用户目录或 Web 身份提供商的现有身份。这些用户被称为联合用户。在通过身份提供商请求访问权限时,Amazon 将为联合身份用户分配角色。有关联合身份用户的更多信息,请参阅《IAM 用户指南》中的联合身份用户和角色。
-
临时用户权限— IAM 用户可担任角色来暂时获得针对特定任务的不同权限。
-
跨账户访问权限— 您可以使用 IAM 角色以允许不同账户中的可信委托人访问您的账户中的资源。角色是授予跨账户访问权限的主要方式。但是,有一些Amazon服务,您可以将策略直接附加到资源(而不是使用角色作为代理)。 MediaConvert 不支持这些基于资源的策略。有关选择是使用角色还是基于资源的策略以允许跨账户访问的更多信息,请参阅控制对其他账户中委托人的访问权限。
-
Amazon服务访问 – 服务角色是一个 IAM 角色,服务担任该角色以代表您在您的账户中执行操作。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》中的创建向 Amazon Web Service 委派权限的角色。
-
在 Amazon EC2 上运行的应用程序 – 您可以使用 IAM 角色管理在 EC2 实例上运行并发出 Amazon CLI 或 Amazon API 请求的应用程序的临时凭证。这优先于在 EC2 实例中存储访问密钥。要将 Amazon 角色分配给 EC2 实例并使其对该实例的所有应用程序可用,您可以创建一个附加到实例的实例配置文件。实例配置文件包含角色,并使 EC2 实例上运行的程序能够获得临时凭证。有关更多信息,请参阅《IAM 用户指南》中的使用 IAM 角色为 Amazon EC2 实例上运行的应用程序授予权限。
-