身份验证和访问 - Amazon 软件开发工具包和工具
Amazon 构建者 ID
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

身份验证和访问

在使用 Amazon Web Services进行开发时,您必须确定您的代码是如何使用 Amazon 进行身份验证的。您可以通过不同的方式配置对 Amazon 资源的编程访问权限,具体取决于环境和可用的 Amazon 访问权限。

本地(不在 Amazon 中)运行的代码的身份验证选项

  • IAM Identity Center 身份验证 – 作为安全最佳实践,我们建议将 Amazon Organizations 和 IAM Identity Center 结合使用以管理跨您的所有 Amazon Web Services 账户 的访问权限。您可以在 Amazon IAM Identity Center 中创建用户、使用 Microsoft Active Directory、使用 SAML 2.0 身份提供者(IdP)或者将您的 IdP 单独联合到 Amazon Web Services 账户。要查看您的地区是否支持 IAM Identity Center,请参阅 Amazon Web Services 一般参考 中的 Amazon IAM Identity Center 终端点和配额

  • IAM Roles Anywhere – 您可以使用 IAM Roles Anywhere 在 IAM 中获取临时安全凭证,以用于在 Amazon 之外运行的服务器、容器和应用程序等工作负载。要使用 IAM Roles Anywhere,您的工作负载必须使用 X.509 证书。

  • 代入角色 – 您可以代入 IAM 角色来临时访问可能无法以其它方式访问的 Amazon 资源。

  • Amazon 访问密钥 – 其他可能不太方便或可能增加您的 Amazon 资源安全风险的选项。

在 Amazon 环境中运行的代码的身份验证选项

  • 使用适用于 Amazon EC2 实例的 IAM 角色 – 使用 IAM 角色在 Amazon EC2 实例上安全地运行您的应用程序。

  • 您可以通过以下方式,使用 IAM Identity Center 与 Amazon 进行编程交互:

    • 使用 Amazon CloudShell 从控制台运行 Amazon CLI 命令。

    • 使用 Amazon Cloud9 通过集成式开发环境(IDE)和 Amazon 资源在 Amazon 上开始编程。

    • 要尝试面向软件开发团队的云端协作空间,请考虑使用 Amazon CodeCatalyst

通过基于 Web 的身份提供者进行身份验证 - 移动或基于客户端的 Web 应用程序

如果您正在创建需要访问 Amazon 的移动应用程序或基于客户端的 Web 应用程序,请构建您的应用程序,使其能够使用 Web 身份联合验证动态请求临时 Amazon 安全凭证。

利用 Web 联合身份验证,您不需要创建自定义登录代码或管理自己的用户身份。相反,应用程序用户可以使用知名的外部身份提供者(IdP)(例如,Login with Amazon、Facebook、Google 或任何其他 OpenID Connect (OIDC) 兼容的 IdP)登录。他们可以接收身份验证令牌,然后用该令牌交换 Amazon 中的临时安全凭证,这些凭证映射到有权使用您 Amazon Web Services 账户 中的资源的 IAM 角色。

要了解如何为您的 SDK 或工具进行配置,请参阅 使用 Web 身份或 OpenID Connect 联合身份验证

有关应用程序的信息,我们建议使用 Amazon Cognito。Amazon Cognito 充当身份凭证代理程序并为您完成许多联合身份验证工作。有关更多信息,请参阅 IAM 用户指南中的将 Amazon Cognito 用于移动应用程序

有关访问管理的更多信息

IAM 用户指南包含以下有关安全控制对 Amazon 资源的访问的信息:

Amazon Web Services 一般参考 具有以下基础知识:

Amazon 构建者 ID

您的 Amazon 构建者 ID 是对您已有或想要创建的任何 Amazon Web Services 账户 的补充。虽然 Amazon Web Services 账户 可用作您创建的 Amazon 资源的容器,并能为这些资源提供安全边界,但您的 Amazon 构建者 ID 将代表您是一个个体。您可以使用您的 Amazon 构建者 ID 登录,以访问开发人员工具和服务,如 Amazon CodeWhisperer 和 Amazon CodeCatalyst。