Autenticazione e accesso tramite strumenti AWS SDKs e

Quando sviluppate un'applicazione AWS SDK o utilizzate AWS strumenti da utilizzare Servizi AWS, dovete stabilire con che modo il codice o lo strumento si autentica. AWS Puoi configurare l'accesso programmatico alle AWS risorse in diversi modi, a seconda dell'ambiente in cui viene eseguito il codice e dell' AWS accesso a tua disposizione.

Opzioni di autenticazione per il codice eseguito localmente (non in AWS)

• Utilizzo di IAM Identity Center per autenticare AWS SDK e strumenti— Come best practice di sicurezza, ti consigliamo di utilizzare AWS Organizations IAM Identity Center per gestire l'accesso su tutti i tuoi dispositivi Account AWS. Puoi creare utenti in AWS IAM Identity Center, utilizzare Microsoft Active Directory, utilizzare un provider di identità (IdP) SAML 2.0 o federare individualmente il tuo IdP in. Account AWS Per verificare se la tua regione supporta IAM Identity Center, consulta gli AWS IAM Identity Center endpoint e le quote nel. Riferimenti generali di Amazon Web Services

• Utilizzo di IAM Roles Anywhere per l'autenticazione AWS SDKs e gli strumenti— Puoi utilizzare IAM Roles Anywhere per ottenere credenziali di sicurezza temporanee in IAM per carichi di lavoro come server, contenitori e applicazioni eseguiti all'esterno di. AWS Per utilizzare IAM Roles Anywhere, i carichi di lavoro devono utilizzare certificati X.509.

• Assumere un ruolo con AWS credenziali di autenticazione e strumenti AWS SDKs — Puoi assumere un ruolo IAM per accedere temporaneamente a AWS risorse a cui altrimenti non avresti accesso.

• Utilizzo delle chiavi di AWS accesso per l'autenticazione AWS SDKs e degli strumenti— Altre opzioni che potrebbero essere meno convenienti o che potrebbero aumentare il rischio di sicurezza per le AWS risorse.

Opzioni di autenticazione per il codice in esecuzione all'interno di un AWS ambiente

Se il codice continua a funzionare AWS, le credenziali possono essere rese automaticamente disponibili all'applicazione. Ad esempio, se l'applicazione è ospitata su Amazon Elastic Compute Cloud e a tale risorsa è associato un ruolo IAM, le credenziali vengono automaticamente rese disponibili all'applicazione. Allo stesso modo, se utilizzi contenitori Amazon ECS o Amazon EKS, le credenziali impostate per il ruolo IAM possono essere ottenute automaticamente dal codice in esecuzione all'interno del contenitore tramite la catena di provider di credenziali dell'SDK.

• Utilizzo dei ruoli IAM per autenticare le applicazioni distribuite su Amazon EC2— Usa i ruoli IAM per eseguire in modo sicuro la tua applicazione su un' EC2 istanza Amazon.

• Puoi interagire a livello di codice con AWS l'utilizzo di IAM Identity Center nei seguenti modi:

  • AWS CloudShellDa utilizzare per eseguire AWS CLI comandi dalla console.

  • Per provare uno spazio di collaborazione basato sul cloud per i team di sviluppo software, prendi in considerazione l'utilizzo di Amazon. CodeCatalyst

Autenticazione tramite un provider di identità basato sul Web: applicazioni Web mobili o basate su client

Se stai creando applicazioni mobili o applicazioni web basate su client che richiedono l'accesso a AWS, crea la tua app in modo che richieda le credenziali di AWS sicurezza temporanee in modo dinamico utilizzando la federazione delle identità web.

Con la federazione delle identità Web, non è necessario creare il codice di accesso personalizzato o gestire le identità utente personalizzate. Gli utenti dell'app possono invece accedere utilizzando un provider di identità (IdP) esterno noto, come Login with Amazon, Facebook, Google o qualsiasi altro IdP compatibile con OpenID Connect (OIDC). Possono ricevere un token di autenticazione e quindi scambiarlo con credenziali di sicurezza temporanee in AWS quella mappa con un ruolo IAM con le autorizzazioni per utilizzare le risorse dell'utente. Account AWS

Per informazioni su come configurarlo per il tuo SDK o il tuo strumento, consulta. Assumere un ruolo con web identity o OpenID Connect per l'autenticazione e AWS SDKs gli strumenti

Per le applicazioni mobili, prendi in considerazione l'utilizzo di Amazon Cognito. Amazon Cognito funge da broker di identità e svolge gran parte del lavoro federativo per te. Per ulteriori informazioni, consulta Using Amazon Cognito per app mobili nella IAM User Guide.

Ulteriori informazioni sulla gestione degli accessi

La Guida per l'utente IAM contiene le seguenti informazioni sul controllo sicuro dell'accesso alle AWS risorse:

• Identità IAM (utenti, gruppi di utenti e ruoli): scopri le basi delle identità in. AWS

• Best practice di sicurezza in IAM: raccomandazioni di sicurezza da seguire quando si sviluppano AWS applicazioni secondo il modello di responsabilità condivisa.

Riferimenti generali di Amazon Web ServicesHa le basi fondamentali su quanto segue:

• Comprensione e acquisizione AWS delle credenziali: accedi alle opzioni chiave e alle pratiche di gestione sia per l'accesso da console che per quello programmatico.

Plugin TIP (Trusted Identity Propagation) di IAM Identity Center a cui accedere Servizi AWS

• Utilizzo del plugin TIP per accedere Servizi AWS— Se stai creando un'applicazione per Amazon Q Business o un altro servizio che supporta la propagazione di identità affidabili e utilizzi il AWS SDK per Java o il AWS SDK per JavaScript, puoi utilizzare il plug-in TIP per un'esperienza di autorizzazione semplificata.

ID Builder AWS

I ID Builder AWS complementi Account AWS che potresti già possedere o che desideri creare. Sebbene un Account AWS funga da contenitore per AWS le risorse che crei e fornisca un limite di sicurezza per tali risorse, il tuo ti ID Builder AWS rappresenta come individuo. Puoi accedere con il tuo ID Builder AWS per accedere a strumenti e servizi per sviluppatori come Amazon Q e Amazon CodeCatalyst.

• Accedi tramite la ID Builder AWS Guida per l'Accedi ad AWS utente: scopri come creare e utilizzare un ID Builder ID Builder AWS e scopri cosa offre.

• CodeCatalystconcetti - ID Builder AWS nella Amazon CodeCatalyst User Guide - Scopri come CodeCatalyst usa un ID Builder AWS.