Authentifizierung und Zugriff

Sie müssen bei der Entwicklung mit festlegen, wie Ihr Code authentifiziert AWS wird. AWS-Services Sie können den programmgesteuerten Zugriff auf AWS Ressourcen je nach Umgebung und verfügbarem AWS Zugriff auf unterschiedliche Weise konfigurieren.

Authentifizierungsoptionen für Code, der lokal (nicht inAWS) ausgeführt wird

Authentifizierung von IAM Identity Center— Aus Sicherheitsgründen empfehlen wir die Verwendung AWS Organizations zusammen mit IAM Identity Center, um den Zugriff für alle Benutzer zu verwalten. AWS-Konten Sie können Benutzer in Microsoft Active Directory erstellenAWS IAM Identity Center, einen SAML 2.0-Identitätsanbieter (IdP) verwenden oder Ihren IdP individuell mit diesem verbinden. AWS-Konten Informationen darüber, ob Ihre Region IAM Identity Center unterstützt, finden Sie unter AWS IAM Identity CenterEndpunkte und Kontingente in der. Allgemeine Amazon Web Services-Referenz
IAM Roles Anywhere— Sie können IAM Roles Anywhere verwenden, um temporäre Sicherheitsanmeldedaten in IAM für Workloads wie Server, Container und Anwendungen abzurufen, die außerhalb von ausgeführt werden. AWS Um IAM Roles Anywhere verwenden zu können, müssen Ihre Workloads X.509-Zertifikate verwenden.
Übernehmen einer Rolle— Sie können eine IAM-Rolle annehmen, um vorübergehend auf AWS Ressourcen zuzugreifen, auf die Sie sonst möglicherweise keinen Zugriff hätten.
AWS -Zugriffsschlüssel— Andere Optionen, die möglicherweise weniger praktisch sind oder das Sicherheitsrisiko für Ihre AWS Ressourcen erhöhen könnten.

Authentifizierungsoptionen für Code, der in einer AWS Umgebung ausgeführt wird

Verwenden von IAM-Rollen für Amazon EC2 EC2-Instances— Verwenden Sie IAM-Rollen, um Ihre Anwendung sicher auf einer Amazon EC2 EC2-Instance auszuführen.
Sie können auf folgende Weise programmgesteuert mit der AWS Nutzung von IAM Identity Center interagieren:
- Wird verwendet AWS CloudShell, um AWS CLI Befehle von der Konsole aus auszuführen.
- Wird verwendet AWS Cloud9, um AWS mit der Programmierung unter Verwendung einer integrierten Entwicklungsumgebung (IDE) mit AWS Ressourcen zu beginnen.
- Wenn Sie einen cloudbasierten Kollaborationsraum für Softwareentwicklungsteams ausprobieren möchten, sollten Sie Amazon in Betracht ziehen CodeCatalyst.

Authentifizierung über einen webbasierten Identitätsanbieter — mobile oder clientbasierte Webanwendungen

Wenn Sie mobile Anwendungen oder clientbasierte Webanwendungen erstellen, auf die Zugriff erforderlich istAWS, erstellen Sie Ihre App so, dass sie mithilfe eines Web-Identitätsverbunds dynamisch temporäre AWS Sicherheitsanmeldeinformationen anfordert.

Mit Web-Identitätsverbund müssen Sie keinen eigenen Anmeldecode schreiben oder eigene Benutzeridentitäten verwalten. Stattdessen können sich App-Nutzer mit einem bekannten externen Identitätsanbieter (IdP) anmelden, z. B. Login with Amazon, Facebook, Google oder einem anderen OpenID Connect (OIDC) -kompatiblen IdP. Sie können ein Authentifizierungstoken erhalten und dann dieses Token in AWS gegen temporäre Sicherheitsanmeldeinformationen eintauschen, die einer IAM-Rolle mit Berechtigungen zur Verwendung der Ressourcen in Ihrem AWS-Konto zugeordnet sind.

Wie Sie dies für Ihr SDK oder Tool konfigurieren, erfahren Sie unter. Verbunden mit Web-Identität oder OpenID Connect

Erwägen Sie für mobile Anwendungen die Verwendung von Amazon Cognito. Amazon Cognito fungiert als Identitätsbroker und erledigt einen Großteil der Verbundarbeit für Sie. Weitere Informationen finden Sie unter Verwenden von Amazon Cognito für mobile Apps im IAM-Benutzerhandbuch.

Weitere Informationen zur Zugriffsverwaltung

Das IAM-Benutzerhandbuch enthält die folgenden Informationen zur sicheren Steuerung des Zugriffs auf AWS Ressourcen:

IAM-Identitäten (Benutzer, Benutzergruppen und Rollen) — Verstehen Sie die Grundlagen von Identitäten in. AWS
Bewährte Sicherheitspraktiken in IAM — Sicherheitsempfehlungen, die bei der Entwicklung von AWS Anwendungen nach dem Modell der geteilten Verantwortung zu beachten sind.

Das Allgemeine Amazon Web Services-Referenzenthält grundlegende Grundlagen zu den folgenden Themen:

Ihre AWS Anmeldeinformationen verstehen und abrufen — Zugriff auf wichtige Optionen und Verwaltungspraktiken sowohl für den Konsolen- als auch für den programmgesteuerten Zugriff.

AWS Builder ID

Ihre AWS Builder ID Ergänzung zu allen Produkten, die AWS-Konten Sie vielleicht bereits besitzen oder erstellen möchten. Eine AWS-Konto fungiert zwar als Container für AWS Ressourcen, die Sie erstellen, und bietet eine Sicherheitsgrenze für diese Ressourcen, aber Ihre AWS Builder ID repräsentiert Sie als Einzelperson. Sie können sich mit Ihrem anmeldenAWS Builder ID, um auf Entwicklertools und -dienste wie Amazon CodeWhisperer und Amazon zuzugreifen CodeCatalyst.

Melden Sie sich AWS Builder ID im AWS-Anmeldung Benutzerhandbuch an — Erfahren Sie, wie Sie eine erstellen und verwenden, AWS Builder ID und erfahren Sie, was die Builder-ID bietet.
Authentifizierung mit CodeWhisperer und AWS Toolkit — Builder ID im CodeWhisperer Benutzerhandbuch — Erfahren Sie, wie Sie eine CodeWhisperer AWS Builder ID verwenden.
CodeCatalystKonzepte — AWS Builder ID im CodeCatalyst Amazon-Benutzerhandbuch — Erfahren Sie, wie ein CodeCatalyst verwendet wirdAWS Builder ID.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

JVM-Systemeigenschaften

Authentifizierung von IAM Identity Center