Autenticação e acesso, uso AWS SDKs e ferramentas

Ao desenvolver um aplicativo AWS SDK ou usar AWS ferramentas para usar Serviços da AWS, você deve estabelecer como seu código ou ferramenta é autenticado. AWS Você pode configurar o acesso programático aos AWS recursos de maneiras diferentes, dependendo do ambiente em que o código é executado e do AWS acesso disponível para você.

As opções abaixo fazem parte da cadeia de fornecedores de credenciais. Isso significa que, ao configurar seus credentials arquivos compartilhados AWS config e compartilhados adequadamente, seu AWS SDK ou ferramenta descobrirá e usará automaticamente esse método de autenticação.

Escolha um método para autenticar o código do seu aplicativo

Escolha um método para autenticar as chamadas feitas AWS pelo seu aplicativo.

Você está executando código DENTRO de um AWS service (Serviço da AWS) (como Amazon EC2, Lambda, Amazon ECS, Amazon EKS,)? CodeBuild

Se seu código for executado AWS, as credenciais poderão ser disponibilizadas automaticamente para seu aplicativo. Por exemplo, se seu aplicativo estiver hospedado no Amazon Elastic Compute Cloud e houver uma função do IAM associada a esse recurso, as credenciais serão disponibilizadas automaticamente para seu aplicativo. Da mesma forma, se você usa contêineres do Amazon ECS ou do Amazon EKS, as credenciais definidas para a função do IAM podem ser obtidas automaticamente pelo código executado dentro do contêiner por meio da cadeia de fornecedores de credenciais do SDK.

Seu código está em uma instância do Amazon Elastic Compute Cloud?

Usando funções do IAM para autenticar aplicativos implantados na Amazon EC2— Use funções do IAM para executar seu aplicativo com segurança em uma instância da Amazon EC2.

Seu código está em uma AWS Lambda função?

O Lambda cria uma função de execução com permissões mínimas quando você cria uma função Lambda. O AWS SDK ou a ferramenta então usa automaticamente a função do IAM anexada ao Lambda em tempo de execução, por meio do ambiente de execução do Lambda.

Seu código está no Amazon Elastic Container Service (na Amazon EC2 ou AWS Fargate no Amazon ECS)?

Use a função do IAM para tarefas. Você deve criar uma função de tarefa e especificar essa função em sua definição de tarefa do Amazon ECS. O AWS SDK ou a ferramenta então usa automaticamente a função do IAM atribuída à tarefa em tempo de execução, por meio dos metadados do Amazon ECS.

Seu código está no Amazon Elastic Kubernetes Service?

Recomendamos que você use o Amazon EKS Pod Identities.

Observação: se você acha que as funções do IAM para contas de serviço (IRSA) podem atender melhor às suas necessidades exclusivas, consulte Comparando o EKS Pod Identity e o IRSA no Guia do usuário do Amazon EKS.

Seu código está sendo executado em AWS CodeBuild

Consulte Uso de políticas baseadas em identidade para. CodeBuild

Seu código está em outro AWS service (Serviço da AWS)?

Veja o guia dedicado para você AWS service (Serviço da AWS). Quando você executa o código no AWS, a cadeia de fornecedores de credenciais do SDK pode obter e atualizar automaticamente as credenciais para você.

Você está criando aplicativos móveis ou aplicativos web baseados em clientes?

Se você estiver criando aplicativos móveis ou aplicativos web baseados em clientes que exigem acesso AWS, crie seu aplicativo para que ele solicite credenciais de AWS segurança temporárias dinamicamente usando a federação de identidade da web.

Com a federação de identidades da web, você não precisa criar código de login personalizado nem gerenciar suas próprias identidades de usuários. Em vez disso, os usuários do aplicativo podem fazer login usando um provedor de identidades (IdP) externo conhecido, como Login with Amazon, Facebook, Google ou qualquer outro IdP compatível com OpenID Connect (OIDC). Eles podem receber um token de autenticação e, em seguida, trocar esse token por credenciais de segurança temporárias AWS nesse mapa para uma função do IAM com permissões para usar os recursos em seu Conta da AWS.

Para saber mais sobre como configurar isto para o seu SDK ou ferramenta, consulte Assumir uma função com identidade da web ou OpenID Connect AWS SDKs para autenticação e ferramentas.

Para aplicações móveis, recomendamos o uso do Amazon Cognito. O Amazon Cognito atua como um agente de identidades e realiza a maioria do trabalho de federação para você. Para obter mais informações, consulte Usar Amazon Cognito para aplicações móveis no Guia do usuário do IAM.

Você está desenvolvendo e executando o código LOCALMENTE?

Nós recomendamosUsando o IAM Identity Center para autenticar o AWS SDK e as ferramentas.

Como prática recomendada de segurança, recomendamos o uso AWS Organizations com o IAM Identity Center para gerenciar o acesso em todos os seus Contas da AWS. Você pode criar usuários AWS IAM Identity Center, usar o Microsoft Active Directory, usar um provedor de identidade (IdP) SAML 2.0 ou federar seu IdP individualmente em. Contas da AWS Para verificar se sua Região é compatível com o IAM Identity Center, consulte Endpoints e cotas do AWS IAM Identity Center na Referência geral da Amazon Web Services.

Se você não controla o Contas da AWS e tem autoridade para habilitar AWS Organizations + AWS IAM Identity Center para você (como desenvolvedor humano):

(Recomendado) Crie um usuário do IAM com menos privilégios com permissões para sts:AssumeRole acessar sua função de destino. Em seguida, configure seu perfil para assumir uma função usando uma source_profile configuração para esse usuário.

Você também pode usar credenciais temporárias do IAM por meio de variáveis de ambiente ou do AWS credentials arquivo compartilhado. Consulte Usando credenciais de curto prazo para autenticação e ferramentas AWS SDKs .

Observação: somente em ambientes de sandbox ou de aprendizado, você pode considerar Usando credenciais de longo prazo para autenticação e ferramentas AWS SDKs .

Esse código está sendo executado no local ou em uma VM híbrida/sob demanda (como servidor que lê ou grava no Amazon S3 ou Jenkins implantando na nuvem)?

Você está usando certificados de cliente X.509?

Sim: VejaUsando o IAM Roles Anywhere para autenticação AWS SDKs e ferramentas. Você pode usar o IAM Roles Anywhere para obter credenciais de segurança temporárias no IAM para cargas de trabalho, como servidores, contêineres e aplicativos executados fora do. AWS Para usar o IAM Roles Anywhere, seu workload deve usar certificados X.509.

O ambiente pode se conectar com segurança a um provedor de identidade federado (como Microsoft Entra ou Okta) para solicitar credenciais temporárias? AWS

Sim: Use Provedor de credenciais de processo

Use Provedor de credenciais de processo para recuperar credenciais automaticamente em tempo de execução. Esses sistemas podem usar uma ferramenta auxiliar ou um plug-in para obter as credenciais e podem assumir uma função do IAM nos bastidores usando. sts:AssumeRole

Não: use credenciais temporárias injetadas via AWS Secrets Manager

Use credenciais temporárias injetadas via. AWS Secrets Manager Para opções para obter chaves de acesso de curta duração, consulte Solicitar credenciais de segurança temporárias no Guia do usuário do IAM. Para obter opções sobre como armazenar essas credenciais temporárias, consulteAWS chaves de acesso.

Você pode usar essas credenciais para recuperar com segurança permissões mais amplas do aplicativo no Secrets Manager, onde seus segredos de produção ou credenciais de longa duração baseadas em funções podem ser armazenados.

Você está usando uma ferramenta de terceiros que não está disponível AWS?

Use a documentação escrita por seu provedor terceirizado para obter a melhor orientação sobre como obter credenciais.

Se seu terceiro não forneceu a documentação, você pode injetar credenciais temporárias com segurança?

Sim: use variáveis de ambiente e AWS STS credenciais temporárias.

Não: use chaves de acesso estáticas armazenadas no gerenciador secreto criptografado (último recurso).

Métodos de autenticação

Métodos de autenticação para código executado em um AWS ambiente

Se seu código for executado AWS, as credenciais poderão ser disponibilizadas automaticamente para seu aplicativo. Por exemplo, se seu aplicativo estiver hospedado no Amazon Elastic Compute Cloud e houver uma função do IAM associada a esse recurso, as credenciais serão disponibilizadas automaticamente para seu aplicativo. Da mesma forma, se você usa contêineres do Amazon ECS ou do Amazon EKS, as credenciais definidas para a função do IAM podem ser obtidas automaticamente pelo código executado dentro do contêiner por meio da cadeia de fornecedores de credenciais do SDK.

• Usando funções do IAM para autenticar aplicativos implantados na Amazon EC2— Use funções do IAM para executar seu aplicativo com segurança em uma instância da Amazon EC2 .

• Você pode interagir programaticamente com o AWS uso do IAM Identity Center das seguintes formas:

  • Use AWS CloudShellpara executar AWS CLI comandos a partir do console.

  • Para experimentar o espaço de colaboração baseado em nuvem para equipes de desenvolvimento de software, considere usar a Amazon. CodeCatalyst

Autenticação por meio de um provedor de identidades baseado na Web: aplicativos web baseados em clientes ou móvel

Se você estiver criando aplicativos móveis ou aplicativos web baseados em clientes que exigem acesso AWS, crie seu aplicativo para que ele solicite credenciais de AWS segurança temporárias dinamicamente usando a federação de identidade da web.

Com a federação de identidades da web, você não precisa criar código de login personalizado nem gerenciar suas próprias identidades de usuários. Em vez disso, os usuários do aplicativo podem fazer login usando um provedor de identidades (IdP) externo conhecido, como Login with Amazon, Facebook, Google ou qualquer outro IdP compatível com OpenID Connect (OIDC). Eles podem receber um token de autenticação e, em seguida, trocar esse token por credenciais de segurança temporárias AWS nesse mapa para uma função do IAM com permissões para usar os recursos em seu Conta da AWS.

Para saber mais sobre como configurar isto para o seu SDK ou ferramenta, consulte Assumir uma função com identidade da web ou OpenID Connect AWS SDKs para autenticação e ferramentas.

Para aplicações móveis, recomendamos o uso do Amazon Cognito. O Amazon Cognito atua como um agente de identidades e realiza a maioria do trabalho de federação para você. Para obter mais informações, consulte Usar Amazon Cognito para aplicações móveis no Guia do usuário do IAM.

Métodos de autenticação para código executado localmente (não em AWS)

• Usando o IAM Identity Center para autenticar o AWS SDK e as ferramentas— Como prática recomendada de segurança, recomendamos o uso AWS Organizations com o IAM Identity Center para gerenciar o acesso em todos os seus Contas da AWS. Você pode criar usuários AWS IAM Identity Center, usar o Microsoft Active Directory, usar um provedor de identidade (IdP) SAML 2.0 ou federar seu IdP individualmente em. Contas da AWS Para verificar se sua Região é compatível com o IAM Identity Center, consulte Endpoints e cotas do AWS IAM Identity Center na Referência geral da Amazon Web Services.

• Usando o IAM Roles Anywhere para autenticação AWS SDKs e ferramentas— Você pode usar o IAM Roles Anywhere para obter credenciais de segurança temporárias no IAM para cargas de trabalho, como servidores, contêineres e aplicativos executados fora do. AWS Para usar o IAM Roles Anywhere, seu workload deve usar certificados X.509.

• Assumindo uma função com AWS credenciais para autenticação AWS SDKs e ferramentas— Você pode assumir uma função do IAM para acessar temporariamente AWS recursos aos quais talvez não tivesse acesso de outra forma.

• Usando chaves de AWS acesso para autenticação AWS SDKs e ferramentas— Outras opções que podem ser menos convenientes ou aumentar o risco de segurança de seus AWS recursos.

Mais informações sobre gerenciamento de acesso

O Guia do usuário do IAM tem as seguintes informações sobre o controle seguro do acesso aos AWS recursos:

• Identidades do IAM (usuários, grupos de usuários e funções) — Entenda os fundamentos das identidades em. AWS

• Melhores práticas de segurança no IAM: recomendações de segurança a serem seguidas ao desenvolver aplicativos da AWS de acordo com o modelo de responsabilidade compartilhada.

A Referência geral da Amazon Web Services tem noções básicas sobre o seguinte:

• Entender e obter suas credenciais AWS: opções de chave de acesso e práticas de gerenciamento para acesso programático e de console.

Plugin de propagação de identidade confiável (TIP) do IAM Identity Center para acessar Serviços da AWS

• Usando o plugin TIP para acessar Serviços da AWS— Se você estiver criando um aplicativo para o Amazon Q Business ou outro serviço que ofereça suporte à propagação de identidade confiável e estiver usando o AWS SDK para Java ou o AWS SDK para JavaScript, poderá usar o plug-in TIP para uma experiência de autorização simplificada.

ID do builder AWS

Você ID do builder AWS complementa qualquer um Contas da AWS que você já possua ou queira criar. Enquanto um Conta da AWS atua como um contêiner para AWS os recursos que você cria e fornece um limite de segurança para esses recursos, você ID do builder AWS representa você como um indivíduo. Você pode fazer login com você ID do builder AWS para acessar ferramentas e serviços para desenvolvedores, como Amazon Q e Amazon CodeCatalyst.

• Faça login no Guia do Início de Sessão da AWS usuário — Saiba como criar e usar um ID do builder AWS e saiba o que o Builder ID fornece. ID do builder AWS

• CodeCatalystconceitos - ID do builder AWS no Guia CodeCatalyst do usuário da Amazon — Saiba como CodeCatalyst usa um ID do builder AWS.