本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
身份验证和访问
在使用 Amazon Web Services进行开发时,您必须确定您的代码是如何使用 Amazon 进行身份验证的。您可以通过不同的方式配置对 Amazon 资源的编程访问权限,具体取决于环境和可用的 Amazon 访问权限。
本地(不在 Amazon 中)运行的代码的身份验证选项
-
IAM Identity Center 身份验证 – 作为安全最佳实践,我们建议将 Amazon Organizations 和 IAM Identity Center 结合使用以管理跨您的所有 Amazon Web Services 账户 的访问权限。您可以在 Amazon IAM Identity Center 中创建用户、使用 Microsoft Active Directory、使用 SAML 2.0 身份提供者(IdP)或者将您的 IdP 单独联合到 Amazon Web Services 账户。要查看您的地区是否支持 IAM Identity Center,请参阅 Amazon Web Services 一般参考 中的 Amazon IAM Identity Center 终端点和配额。
-
IAM Roles Anywhere – 您可以使用 IAM Roles Anywhere 在 IAM 中获取临时安全凭证,以用于在 Amazon 之外运行的服务器、容器和应用程序等工作负载。要使用 IAM Roles Anywhere,您的工作负载必须使用 X.509 证书。
-
代入角色 – 您可以代入 IAM 角色来临时访问可能无法以其它方式访问的 Amazon 资源。
-
Amazon 访问密钥 – 其他可能不太方便或可能增加您的 Amazon 资源安全风险的选项。
在 Amazon 环境中运行的代码的身份验证选项
-
使用适用于 Amazon EC2 实例的 IAM 角色 – 使用 IAM 角色在 Amazon EC2 实例上安全地运行您的应用程序。
-
您可以通过以下方式,使用 IAM Identity Center 与 Amazon 进行编程交互:
-
使用 Amazon CloudShell 从控制台运行 Amazon CLI 命令。
-
使用 Amazon Cloud9 通过集成式开发环境(IDE)和 Amazon 资源在 Amazon 上开始编程。
-
要尝试面向软件开发团队的云端协作空间,请考虑使用 Amazon CodeCatalyst。
-
通过基于 Web 的身份提供者进行身份验证 - 移动或基于客户端的 Web 应用程序
如果您正在创建需要访问 Amazon 的移动应用程序或基于客户端的 Web 应用程序,请构建您的应用程序,使其能够使用 Web 身份联合验证动态请求临时 Amazon 安全凭证。
利用 Web 联合身份验证,您不需要创建自定义登录代码或管理自己的用户身份。相反,应用程序用户可以使用知名的外部身份提供者(IdP)(例如,Login with Amazon、Facebook、Google 或任何其他 OpenID Connect (OIDC) 兼容的 IdP)登录。他们可以接收身份验证令牌,然后用该令牌交换 Amazon 中的临时安全凭证,这些凭证映射到有权使用您 Amazon Web Services 账户 中的资源的 IAM 角色。
要了解如何为您的 SDK 或工具进行配置,请参阅 使用 Web 身份或 OpenID Connect 联合身份验证。
有关应用程序的信息,我们建议使用 Amazon Cognito。Amazon Cognito 充当身份凭证代理程序并为您完成许多联合身份验证工作。有关更多信息,请参阅 IAM 用户指南中的将 Amazon Cognito 用于移动应用程序。
有关访问管理的更多信息
IAM 用户指南包含以下有关安全控制对 Amazon 资源的访问的信息:
-
IAM 身份(用户、用户组和角色) – 了解 Amazon 中身份的基础知识。
-
IAM 中的安全最佳实践 – 根据责任共担模式
开发 Amazon 应用程序时应遵循的安全建议。
Amazon Web Services 一般参考 具有以下基础知识:
-
了解并获取您的 Amazon凭证 – 控制台和以编程方式访问的访问密钥选项和管理实践。
Amazon 构建者 ID
您的 Amazon 构建者 ID 是对您已有或想要创建的任何 Amazon Web Services 账户 的补充。虽然 Amazon Web Services 账户 可用作您创建的 Amazon 资源的容器,并能为这些资源提供安全边界,但您的 Amazon 构建者 ID 将代表您是一个个体。您可以使用您的 Amazon 构建者 ID 登录,以访问开发人员工具和服务,如 Amazon CodeWhisperer 和 Amazon CodeCatalyst。
-
使用 Amazon 构建者 ID 登录(在Amazon 登录 用户指南中)– 了解如何创建和使用 Amazon 构建者 ID,并了解 Builder ID 提供的内容。
-
使用 CodeWhisperer 和 Amazon Toolkit - Builder ID 进行身份验证(在 CodeWhisperer 用户指南中)– 了解 CodeWhisperer 如何使用 Amazon 构建者 ID。
-
CodeCatalyst 概念 - Amazon 构建者 ID(在 Amazon CodeCatalyst 用户指南中)– 了解 CodeCatalyst 如何使用 Amazon 构建者 ID。