Otentikasi dan akses

Anda harus menetapkan bagaimana kode Anda mengautentikasi dengan AWS ketika Anda mengembangkan denganLayanan AWS. Anda dapat mengonfigurasi akses terprogram ke AWS sumber daya dengan cara yang berbeda, tergantung pada lingkungan dan AWS akses yang tersedia untuk Anda.

Opsi otentikasi untuk kode yang berjalan secara lokal (tidak masuk) AWS

• Autentikasi Pusat Identitas IAM— Sebagai praktik keamanan terbaik, kami sarankan menggunakan AWS Organizations dengan IAM Identity Center untuk mengelola akses di semua AndaAkun AWS. Anda dapat membuat pengguna diAWS IAM Identity Center, menggunakan Microsoft Active Directory, menggunakan penyedia identitas SAMP 2.0 (iDP), atau secara individual menggabungkan IDP Anda ke. Akun AWS Untuk memeriksa apakah Wilayah Anda mendukung Pusat Identitas IAM, lihat AWS IAM Identity Centertitik akhir dan kuota di. Referensi Umum Amazon Web

• Peran IAM Di Mana Saja— Anda dapat menggunakan IAM Roles Anywhere untuk mendapatkan kredensil keamanan sementara di IAM untuk beban kerja seperti server, kontainer, dan aplikasi yang berjalan di luar. AWS Untuk menggunakan Peran IAM Di Mana Saja, beban kerja Anda harus menggunakan sertifikat X.509.

• Asumsikan peran— Anda dapat mengambil peran IAM untuk mengakses AWS sumber daya sementara yang mungkin tidak dapat Anda akses sebaliknya.

• AWS kunci akses— Pilihan lain yang mungkin kurang nyaman atau mungkin meningkatkan risiko keamanan untuk AWS sumber daya Anda.

Opsi otentikasi untuk kode yang berjalan dalam lingkungan AWS

• Menggunakan peran IAM untuk instans Amazon EC2— Gunakan peran IAM untuk menjalankan aplikasi Anda dengan aman di instans Amazon EC2.

• Anda dapat berinteraksi secara terprogram dengan AWS menggunakan IAM Identity Center dengan cara berikut:

  • Gunakan AWS CloudShelluntuk menjalankan AWS CLI perintah dari konsol.

  • Gunakan AWS Cloud9untuk memulai pemrograman AWS menggunakan lingkungan pengembangan terintegrasi (IDE) dengan AWS sumber daya.

  • Untuk mencoba ruang kolaborasi berbasis cloud untuk tim pengembangan perangkat lunak, pertimbangkan untuk menggunakan Amazon. CodeCatalyst

Otentikasi melalui penyedia identitas berbasis web - Aplikasi web seluler atau berbasis klien

Jika Anda membuat aplikasi seluler atau aplikasi web berbasis klien yang memerlukan aksesAWS, buat aplikasi Anda sehingga meminta kredensil AWS keamanan sementara secara dinamis dengan menggunakan federasi identitas web.

Dengan federasi identitas web, Anda tidak perlu membuat kode masuk khusus atau mengelola identitas pengguna Anda sendiri. Sebagai gantinya, pengguna aplikasi dapat masuk menggunakan penyedia identitas eksternal (IDP) yang terkenal, seperti Login with Amazon, Facebook, Google, atau iDP yang kompatibel dengan OpenID Connect (OIDC) lainnya. Mereka dapat menerima token otentikasi, dan kemudian menukar token itu dengan kredensil keamanan sementara di peta AWS itu ke peran IAM dengan izin untuk menggunakan sumber daya di Anda. Akun AWS

Untuk mempelajari cara mengonfigurasi ini untuk SDK atau alat Anda, lihatBersekutu dengan identitas web atau OpenID Connect.

Untuk aplikasi seluler, pertimbangkan untuk menggunakan Amazon Cognito. Amazon Cognito bertindak sebagai pialang identitas dan melakukan banyak pekerjaan federasi untuk Anda. Untuk informasi selengkapnya, lihat Menggunakan Amazon Cognito untuk aplikasi seluler di Panduan Pengguna IAM.

Informasi lebih lanjut tentang manajemen akses

Panduan Pengguna IAM memiliki informasi berikut tentang mengontrol akses ke AWS sumber daya secara aman:

• Identitas IAM (pengguna, grup pengguna, dan peran) - Memahami dasar-dasar identitas di. AWS

• Praktik terbaik keamanan di IAM — Rekomendasi keamanan untuk diikuti ketika mengembangkan AWS aplikasi sesuai dengan model tanggung jawab bersama.

Ini Referensi Umum Amazon Webmemiliki dasar-dasar dasar sebagai berikut:

• Memahami dan mendapatkan AWS kredensil Anda — Akses opsi kunci dan praktik manajemen untuk akses konsol dan program.

ID AWS Builder

Anda ID AWS Builder melengkapi apa pun yang mungkin sudah Akun AWS Anda miliki atau ingin buat. Sementara Akun AWS bertindak sebagai wadah untuk AWS sumber daya yang Anda buat dan menyediakan batas keamanan untuk sumber daya tersebut, Anda ID AWS Builder mewakili Anda sebagai individu. Anda dapat masuk dengan Anda ID AWS Builder untuk mengakses alat dan layanan pengembang seperti Amazon CodeWhisperer dan Amazon CodeCatalyst.

• ID AWS BuilderMasuk dengan Panduan AWS Sign-In Pengguna — Pelajari cara membuat dan menggunakan ID AWS Builder dan mempelajari apa yang disediakan Builder ID.

• Mengautentikasi dengan CodeWhisperer dan AWS Toolkit - Builder ID di Panduan CodeWhisperer Pengguna - Pelajari cara CodeWhisperer menggunakan fileID AWS Builder.

• CodeCatalystkonsep - ID AWS Builder di Panduan CodeCatalyst Pengguna Amazon - Pelajari cara CodeCatalyst menggunakan fileID AWS Builder.