什么是身份验证?
身份验证是您如何使用您的凭证登录 AWS。
作为委托人,您必须使用实体(根用户、IAM 用户或 IAM 角色)进行身份验证(登录到 AWS),才能将请求发送到 AWS。IAM 用户可以拥有长期凭证,例如用户名和密码或一组访问密钥。当您代入 IAM 角色时,您将收到临时安全凭证。
要作为用户从 AWS 管理控制台中进行身份验证,您必须使用用户名和密码登录。要从 AWS CLI 或 AWS API 进行身份验证,您必须提供访问密钥和私有密钥或临时凭证。AWS 提供开发工具包和 CLI 工具,使用您的凭证以加密方式对您的请求进行签名。如果您不使用 AWS 工具,则必须自行对请求签名。无论使用何种身份验证方法,您可能还需要提供其他安全信息。例如,AWS 建议您使用多重验证 (MFA) 以提高您的账户的安全性。
作为委托人,您可以使用以下实体(用户或角色)登录 AWS:
-
IAM 用户 – IAM 用户是 AWS 账户中具有特定权限的实体。AWS Elemental MediaConvert supports签名版本 4,一种用于对入站 API 请求进行身份验证的协议。有关验证请求的更多信息,请参阅 AWS General Reference 中的签名版本 4 签名流程。
-
IAM 角色 – 具有临时凭证的 IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。它类似于 IAM 用户,但未与特定人员关联。利用 IAM 角色,您可以获得可用于访问 AWS 服务和资源的临时访问密钥。 IAM 角色在以下情况下很有用:
-
联合身份用户访问 – 您也可以不创建 IAM 用户,而是使用来自 AWS Directory Service、您的企业用户目录或 Web 身份提供商的既有用户身份。他们被称为联合身份用户。在通过身份提供商请求访问权限时,AWS 将为联合用户分配角色。有关联合身份用户的更多信息,请参阅 IAM 用户指南 中的联合身份用户和角色。
-
临时用户权限 – IAM 用户可代入角色来暂时获得针对特定任务的不同权限。
-
跨账户访问 – 您可以使用 IAM 角色允许其他账户中的可信任委托人访问您账户中的资源。角色是授予跨账户访问权限的主要方式。但是,通过某些 AWS 服务,您可将策略直接附加到资源(而不是使用角色作为代理)。AWS Elemental MediaConvert does not support这些基于资源的策略。有关选择是使用角色还是基于资源的策略以允许跨账户访问的更多信息,请参阅控制对不同账户中的委托人的访问。
-
AWS AWS 服务访问 – 您可以使用您的账户中的 IAM 角色向 AWS 服务授予对您账户中资源的访问权限。例如,您可以创建一个角色,此角色允许 Amazon Redshift 代表您访问 Amazon S3 存储桶,然后将该存储桶提供的数据加载到 Amazon Redshift 群集中。有关更多信息,请参阅 IAM 用户指南 中的创建向 AWS 服务委派权限的角色。
-
在 Amazon EC2 上运行的应用程序 – 对于在 EC2 实例上运行、并发出 AWS API 请求的应用程序,您可以使用 IAM 角色管理它们的临时凭证。这优先于在 EC2 实例中存储访问密钥。要将 AWS 角色分配给 EC2 实例并使其对该实例的所有应用程序可用,您可以创建一个附加到实例的实例配置文件。实例配置文件包含角色,并使 EC2 实例上运行的程序能够获得临时凭证。有关更多信息,请参阅 IAM 用户指南中的使用 IAM 角色向在 Amazon EC2 实例上运行的应用程序授予权限。
-